GDPR Návod: Aká budúcnosť čaká telefonovanie na studené kontakty, firemné kontakty a kontakty Vašich zákaznikov?

GDPR rieši v tomto období veľké množstvo podnikateľov. Ak ste nestihli termín 25.5.2018 alebo ak s podnikaním ešte len začínate, v tomto článku sa dozviete dôležité know how potrebné pre úspešné zavedenie GDPR vo Vašej firme.

Špeciálne je tento článok vhodný pre všetky spoločnosti, ktoré chcú robiť Pandamarketing – férový a poctivý telemarketing, ktorým oslovujú a získavajú nových zákazníkov. Čiže pre všetkých finančných sprostredkovateľov, obchodníkov, call centrá a ďalších.

Na začiatok spolu prejdime základy, aby ste porozumeli tejto komplexnej a dôležitej :

GDPR 1 – Právny základ pre použitie spotrebiteľských dát pre telefonovanie na studené kontakty

Povinnosti ktoré GDPR ukladá call centrám a všetkým, ktorí robia telemarketing, pokiaľ ide o predchádzajúci súhlas osôb, sú súčasťou širšieho súboru nariadení, ktoré sa nachádzajú v článku 6 smernice GDPR s názvom „Zákonnosť spracúvania“. Práve tu nájdeme požiadavky, ktoré musí organizácia splniť, aby mohla používať osobné údaje v rámci svojich podnikateľských aktivít.

Skôr, než sa pozrieme na detaily, chcem upozorniť na to, že tam, kde GDPR používa slovo „spracúvať“ vo vzťahu k údajom, budem používať slovo „používať“. Dôvod, prečo si myslím, že „používať“ je vhodnejšie sloveso, je, že „spracúvať“ naznačuje, že tieto pravidlá platia len vtedy, keď sú dáta spracovávané počítačovým systémom, zatiaľ čo GDPR sa v skutočnosti vzťahuje na akékoľvek použitie osobných údajov – a to buď automatizovaným spôsobom alebo ako súčasť archivačného systému.

Znamená to, že GDPR sa vzťahuje už aj

  • na ukladanie dát na Vašom PC
  • rovnako ako na ich vymazávanie
  • zmenu
  • pridávanie
  • zdieľanie
  • alebo volanie na telefónne čísla

Napríklad aj pridanie telefónneho čísla zákazníka do kalendára vo Vašom počítači, aby ste mu mohli zavolať naspäť, sa počíta ako spracovanie osobných údajov. Založenie životopisu do kartotéky sa počíta ako spracovanie osobných údajov.

Ak si teda myslíte, že GDPR bude mať vplyv na takmer všetky aspekty činnosti Vašej firmy, máte pravdu.

V tomto článku sa zameriame na využitie údajov na účely cold callingu, no je potrebné poznamenať, že existuje mnoho ďalších aspektov využívania dát v rámci Vášho podnikania, na ktoré by ste mali brať ohľad.

GDPR nariadenie

Na aké osobné údaje sa vzťahuje GDPR?

GDPR hovorí veľa o „osobných údajoch“ a o povinnosti spoločnosti chrániť osobné údaje, ktoré vlastní. Ak si však myslíte, že osobné údaje sú veci ako dátum narodenia, číslo poistky, atď., vedzte, že ide o oveľa širší okruh dát.

Nepatria sem veci ako zdravotné záznamy, politická orientácia, výpis z registra trestov a podobne – to sú osobitné kategórie údajov, s ktorými sa spája celý rad ďalších obmedzení a povinností.

Osobné údaje (alebo osobne identifikovateľné informácie, aby sme boli presní) sú akékoľvek informácie, týkajúce sa identifikovateľnej osoby

  • vrátane mien,
  • domácich adries,
  • e-mailových adries,
  • telefónnych čísel
  • a všetkého ostatného, čo sa v žargóne niektorých call centier zvykne označovať ako „vanilkové dáta

Vzťahuje sa GDPR aj na firemné údaje?

Medzi osobné údaje môžu patriť aj také údaje, ktoré by sme na prvý pohľad mohli zaradiť medzi firemné, ako napríklad firemný e-mail osoby, mailová adresa, ktorú daný človek používa v zamestnaní. A to aj v prípade, že tento údaj je voľne dostupný online.

Medzi osobné údaje sa zaraďuje preto, lebo na základ tejto adresy môžete o danej osobe často zistiť na internete viac informácií než na základe jej osobného e-mailu. Môžete si napríklad vyhľadať informácie na stránke www.finstat.sk zistiť, kde má trvalé bydlisko, a pod.

Príklad: kvietok123@gmail.com nie je osobný údaj, pretože podľa neho sotva identifikujete konkrétnu fyzickú osobu. Avšak andrej.kiska@government.sk môžeme považovať za osobný údaj, nakoľko pravdepodobne vieme, o koho ide – aj keby mal menovca.

Ak máte databázu, v ktorej máte osobné aj firemné e-mailové adresy ľudí, tak spracúvate osobné údaje. V tom prípade by ste mali ich spracovanie vykonávať v súlade s nariadením GDPR. Tieto údaje by ste mali chrániť (mať počítač ochránený menom a heslom) a nemali by ste ich nikde zdieľať ani zverejňovať.

GDPR platí pre takmer všetky údaje, ktoré sú alfou a omegou pre fungovanie Vášho telefonického marketingu.
Čo s tým však spraviť?

To sa dozviete nižšie:

GDPR návod

6 dôvodov, prečo môže Vaša organizácia používať osobné údaje ako súčasť Vašich podnikateľských aktivít

Tu sa vraciame späť k článku 6 o zákonnosti spracúvania osobných údajov a šiestim dôvodom, prečo môže organizácia legálne používať osobné údaje ako súčasť svojich podnikateľských aktivít, napríklad na telefonovanie na kontakty potenciálnych nových zákazníkov.

Tieto dôvody sú uvedené v spomínanom článku 6 o zákonnosti spracúvania osobných údajov a znejú zhruba takto (budem parafrázovať, ale môžete si skontrolovať originálny text pre úplné definície, napríklad tu: https://eur-lex.europa.eu/legal-content/SK/TXT/HTML/?uri=CELEX:32016R0679&from=SK):

  1. Ak vám niekto poskytol svoj výslovný súhlas na použite jeho údajov, môžete slobodne použiť tieto údaje na daný účel.
  2. Ak s niekým uzavriete zmluvu a budete potrebovať použiť jeho údaje na účely, vyplývajúce z tejto zmluvy, potom môžete tieto dáta použiť.
  3. Ak ste zo zákona povinní, používať niekoho osobné údaje, potom to môžete urobiť (a pravdepodobne by ste to aj mali urobiť).
  4. Ak je možné preukázať, že spracovanie údajov je nevyhnutné na ochranu životne dôležitých záujmov osoby, t.j. v opačnom prípade by bolo ohrozené ich zdravie alebo kvalita ich života, potom je vhodné, použiť tieto údaje.
  5. Ak je použitie údajov nevyhnutné na vykonanie úlohy, ktorá je vo verejnom záujme, potom je ich použitie v poriadku.
  6. Ak sa žiadna z vyššie uvedených skutočností neuplatňuje, ale môžete preukázať, že Vaše oprávnené záujmy nemajú tendenciu stavať sa nad základné práva a slobody jednotlivca, potom budete môcť použiť tieto údaje.

Prvý z uvedených dôvodov je, že dotknutá osoba (fyzická osoba, ktorej údaje používate), vám dala svoj súhlas na použitie jej dát. Všimnite si, že súhlas je špecifický pre konkrétne použitie dát. Ak sa spôsob, akým chcete používať údaje, značne líši od použitia, na ktoré dali osoby súhlas, potom sa súhlas nepočíta.

Príklad: Ak vám niekto dal súhlas na kontaktovanie prostredníctvom e-mailu, neznamená to, že vám dal súhlas, volať mu na mobilný telefón. Neznamená to, že mu nemôžete zavolať. Znamená to, že na to musíte splniť jedno z ďalších piatich kritérií.

Ďalšie štyri kritériá (b) až (e) sú celkom priamočiare a malo by byť jasné, či sa vzťahujú na Vašu situáciu. Ako ste si možno všimli, vo väčšine prípadov by bolo dosť prehnané zaraďovať používanie údajov na telefonovanie do ktorejkoľvek z týchto štyroch kategórií. To znamená, že ak nemáme súhlas s používaním údajov osoby na to, aby sme jej zavolali, budeme sa musieť spoliehať na bod (f).

GDPR riešenie

Prečo je článok 6, bod (f) GDPR spásou pre cold calling a telefonovanie na kontakty Vašich zákazníkov?

Čo robiť, ak Vaše zoznamy údajov zahŕňajú osoby, od ktorých nemáte výslovný súhlas na volanie za účelom, pre ktorý im chcete zavolať, a že sa neuplatňuje žiadne z kritérií (b) až (e), a vy chcete napriek tomu zákonne použiť ich osobné údaje tak, že zavoláte na ich telefónne číslo?

Odpoveďou je posledné kritérium, uvedené v článku 6, ktoré v plnom rozsahu uvádza, citujem:

  • f) spracúvanie je nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana, s výnimkou prípadov, keď nad takýmito záujmami prevažujú záujmy alebo základné práva a slobody dotknutej osoby, ktoré si vyžadujú ochranu osobných údajov, najmä ak je dotknutou osobu dieťa.

Čo to znamená?

Ak vynecháme tú časť, kde dotknutou osobou je dieťa (ak chcete obvolávať deti zo zoznamu, budete si musieť urobiť väčšiu prípravu), znamená to, že tam, kde oprávnené záujmy Vašej firmy neprevažujú (nestavajú sa nad) záujmy alebo základné práva a slobody osôb, ktorým voláte, máte dobrú štartovaciu pozíciou.

Toto porovnanie Vašich záujmov v porovnaní so záujmami osoby, ktorej plánujete volať, sa nazýva balančný test a zdá sa, že všetci, čo využívajú telefonovanie na studené kontakty, sa s ním budú musieť oboznámiť.

Vaša miska váh: oprávnené záujmy

Zdá sa, že doložka o oprávnených záujmoch bola pre autorov GDPR skôr sporná a 57-stranový „posudok“ Pracovnej skupiny pre ochranu údajov podrobne vysvetľuje, že zaradenie týchto kritérií nie je zadnými dvierkami ani všezahŕňajúcim pravidlom, ani jednoduchou možnosťou, ktorá umožňuje podnikom používať osobné údaje bez rozmyslu.

GDPR obsahuje určité kontroly a vyvažovanie na zaistenie toho, že ak sa spoliehate na tento základ na odôvodnenie Vášho používania osobných údajov, tak ste správne zvážili, aké sú oprávnené záujmy Vašej firmy a aký by to mohlo mať dopad na každú jednu dotknutú osobu.

Navyše, tieto kontroly a vyvažovanie si vyžadujú dokumentáciu, ktorá dokazuje, že ste ich vykonali. Inak môžu prísť pokuty. Naozaj veľké pokuty.

Ako sa definuje oprávnený záujem telefonovať?

Po prvé, ak sa pozrieme na bod č. 47 v úvodnej časti GDPR (plné znenie tu: https://eur-lex.europa.eu/legal-content/SK/TXT/HTML/?uri=CELEX:32016R0679&from=SK) máme dobrú východiskovú pozíciu. Citujem:

„Spracúvanie osobných údajov na účely priameho marketingu možno považovať za oprávnený záujem.“

To vyplýva z jedného z práv, stanovených v článku 16 Európskej charty základných práv, slobody podnikania. Áno, je to tak – napriek všetkej byrokracii, právnym predpisom, pravidlám, daniam a požiadavkám na výkazníctvo, máte naozaj právo na podnikanie. Dokonca aj na také, ktoré využíva stratégie priameho marketingu.

Znamená to, že prvou časťou balančného testu je zdokumentovať, aký je Váš oprávnený záujem.

„Záujem“ jednoducho znamená to, čo chce Vaša firma dosiahnuť použitím osobných údajov. To môže byť napríklad:

  1. Generovanie zisku
  2. Poskytovanie vysokokvalitných tovarov a služieb
  3. Robenie zákazníkov šťastnými

Všetky tieto aktivity sú oprávnené záujmy za predpokladu, že sú v súlade so zákonom, nepokúšajú sa zavádzať ani klamať zákazníkov a vo všeobecnosti sú pre spoločnosť prínosom. A keďže je na Vašej strane potrebné nejako vyvážiť právo osoby mať súkromie a nedvíhať telefón volajúcemu, mali by ste do toho investovať trochu času a úsilia.

Dobrou správou je, že túto aktivitu nemusíte opakovať príliš často, ak sa povaha Vášho podnikania často nemení.

Vaša miska váh: oprávnené záujmy

Zdá sa, že doložka o oprávnených záujmoch bola pre autorov GDPR skôr sporná a 57-stranový „posudok“ Pracovnej skupiny pre ochranu údajov podrobne vysvetľuje, že zaradenie týchto kritérií nie je zadnými dvierkami ani všezahŕňajúcim pravidlom, ani jednoduchou možnosťou, ktorá umožňuje podnikom používať osobné údaje bez rozmyslu.

GDPR obsahuje určité kontroly a vyvažovanie na zaistenie toho, že ak sa spoliehate na tento základ na odôvodnenie Vášho používania osobných údajov, tak ste správne zvážili, aké sú oprávnené záujmy Vašej firmy a aký by to mohlo mať dopad na každú jednu dotknutú osobu.

Navyše, tieto kontroly a vyvažovanie si vyžadujú dokumentáciu, ktorá dokazuje, že ste ich vykonali. Inak môžu prísť pokuty. Naozaj veľké pokuty.

Ako sa definuje oprávnený záujem telefonovať?

Po prvé, ak sa pozrieme na bod č. 47 v úvodnej časti GDPR (plné znenie tu: https://eur-lex.europa.eu/legal-content/SK/TXT/HTML/?uri=CELEX:32016R0679&from=SK)  máme dobrú východiskovú pozíciu. Citujem:

„Spracúvanie osobných údajov na účely priameho marketingu možno považovať za oprávnený záujem.“

To vyplýva z jedného z práv, stanovených v článku 16 Európskej charty základných práv, slobody podnikania. Áno, je to tak – napriek všetkej byrokracii, právnym predpisom, pravidlám, daniam a požiadavkám na výkazníctvo, máte naozaj právo na podnikanie. Dokonca aj na také, ktoré využíva stratégie priameho marketingu.

Znamená to, že prvou časťou balančného testu je zdokumentovať, aký je Váš oprávnený záujem.

„Záujem“ jednoducho znamená to, čo chce Vaša firma dosiahnuť použitím osobných údajov. To môže byť napríklad:

  1. Generovanie zisku
  2. Poskytovanie vysokokvalitných tovarov a služieb
  3. Robenie zákazníkov šťastnými

Všetky tieto aktivity sú oprávnené záujmy za predpokladu, že sú v súlade so zákonom, nepokúšajú sa zavádzať ani klamať zákazníkov a vo všeobecnosti sú pre spoločnosť prínosom. A keďže je na Vašej strane potrebné nejako vyvážiť právo osoby mať súkromie a nedvíhať telefón volajúcemu, mali by ste do toho investovať trochu času a úsilia.

Dobrou správou je, že túto aktivitu nemusíte opakovať príliš často, ak sa povaha Vášho podnikania často nemení.

GDPR Slovensko

Ako to funguje na Slovensku?

Oprávnený záujem je sivá oblasť. Čo sa týka volania na telefónne čísla majiteľov, alebo zamestnancov firiem, či živnostníkom, jeho predpokladom podľa Úradu na ochranu osobných údajov je, že dotknutá osoba môže v primeranej miere očakávať kontakt a že by tam mal byť nejaký obchodný vzťah.

Pri cold callingu na firemné telefónne čísla to daná osoba môže viac alebo menej očakávať. Nie je tam vytvorený vzťah. Žiaden iný právny titul sa tu použiť nedá.

A keďže podnikatelia nechcú prísť o možnosť hľadať nových zákazníkov, snažia sa to oprieť o oprávnený záujem alebo o získanie súhlasu.

Zaujímavé na tom je, že aj keď potenciálnemu klientovi žiadosť o súhlas chcete poslať, de facto už jeho osobné údaje spracúvate – lebo už ste si ich pripravili, aby ste mu tú žiadosť poslali. Je to „Hlava 22“. Potrvá cca 1-2 roky, kým sa v tom vyvinie určitá aplikačná prax.

Oprávnený záujem je však len jedna strana toho, čo sa nazýva balančná rovnica. Na druhej strane sú o niečo zložitejšie záujmy alebo základné práva a slobody dotknutej osoby, ktoré ste právne zaviazaní brať do úvahy (a prikladať im vážnosť).

GDPR balančný test

Druhá miska váh: práva a slobody potenciálneho zákazníka

Kľúčovým aspektom pri záujmoch alebo základných právach a slobodách dotknutej osoby„primerané očakávania dotknutých osôb“. Rovnako ako akékoľvek priame dôsledky z používania osobných údajov osôb, ako napríklad automatické odmietnutie žiadosti o pôžičku bez odvolania (ktoré už nebude povolené podľa GDPR), musíte zvážiť aj potenciálny emočný vplyv Vášho používania osobných údajov na danú osobu.

Aby sme boli spravodliví, GDPR uznáva, že existuje odstupňovanie, ako firmy môžu narúšať slobody a práva ľudí.

Niekto, kto zažíva negatívne emócie, pretože ste získali jeho telefónne číslo z verejného zdroja a zavolali ste mu na marketingové účely, nie je vnímaný tak vážne ako negatívne emócie osoby, vyplývajúce z toho, že údaje z jej kreditnej karty boli uverejnené na webových stránkach Vašej spoločnosti.

Pokiaľ ide o cold calling na účely priameho marketingu, GDPR považuje záujmy spoločnosti pri propagovaní svojho produktu za málo významné (vo veľkom systéme plynulého fungovania EÚ), ale tiež považuje nepríjemné pocity zákazníka pri prijímaní nevyžiadaného telefonátu za podobne triviálnu záležitosť.

Čo to znamená?

Za predpokladu, že telefonát bol vykonaný profesionálne a boli dodržané všetky pravidlá, medzi potrebami a právami je do veľkej miery rovnováha.

Takže balančná rovnica nás informuje o tom, že z pohľadu GDPR je túžba spoločnosti informovať potenciálnych zákazníkov o svojich produktoch a službách asi tak významná ako je túžba Ferka Mrkvičku, aby mu nevyzváňal telefón, kým sleduje v telke futbal.

Avšak účelom balančnej rovnice je preukázať, že Vaše potreby sú dôležitejšie než potreby toho, komu voláte, nie rovnako dôležité. Čo môžete urobiť, aby ste naklonili misku váh vo svoj prospech?

Záruky: Ako nájsť rovnováhu?

V prípadoch, že sú obe strany balančnej rovnice do veľkej miery vyrovnané, GDPR uvádza, že musia byť poskytnuté záruky, ktoré pomôžu minimalizovať riziko nepríjemností, ktoré sa dejú pri používaní osobných údajov osôb. Niektoré záruky sú povinné a niektoré sú nepovinné.

Napríklad:

  1. Osoby musia mať možnosť ľahko odmietnuť ďalšie používanie svojich osobných údajov
  2. Prísne, zdokumentované obmedzenia, týkajúce sa toho, koľko údajov sa zhromažďuje a ako dlho sa uchovávajú (minimalizácia údajov)
    1. Napríklad, ak nemáte žiaden dôvod požiadať osobu o jej dátum narodenia, tak prečo by ste si ho mali pýtať?
    2. Ak po zadaní objednávky nepotrebujete podrobnosti o objednávke v databáze, prečo ich neodstrániť?
    3. Ak máte dobré odpovede na tieto otázky, ktoré odôvodňujú získanie a uchovávanie týchto údajov, potom je to v poriadku. Stačí preukázať, že ste sa nad touto záležitosťou skutočne zamysleli
  3. Vykonávanie pravidelného vyhodnocovania vplyvu ochrany osobných údajov priamo vo Vašej firme
  4. Pravidelné školenie zamestnancov o tom, ako spracovávať
    1. žiadosti o informácie o Vašej spoločnosti
    2. údaje, ktoré uchovávate o zákazníkoch
    3. alebo žiadosti o opravu alebo vymazanie nesprávnych informácií
  5. Využívanie technológií na zvýšenie ochrany súkromia, ako sú šifrované telefónne hovory, načítavanie zoznamov zákazníckych údajov prostredníctvom zabezpečeného FTP a šifrovanie záznamov hovorov a údajov zákazníkov na disku – to všetko poukazuje na to, že beriete ochranu spotrebiteľských údajov vážne
  6. Obmedzenie počtu telefonátov osobám v danom časovom období na zmiernenie ich nepohodlia. Negatívne vplyvy sa považujú za kumulatívne, takže veľké množstvo „triviálneho otravovania“ sa bude považovať za významné, ak sa bude často opakovať
  7. Prísne pravidlá a školenie zamestnancov o tom, ako identifikovať skupiny zraniteľných dospelých osôb, ako sú osoby trpiace demenciou, a školenie, ako profesionálne ukončiť hovor bez toho, aby bol týmto osobám spôsobený stres
  8. Poskytovanie informácií zamestnancom, aby mohli presne odpovedať na otázku „Odkiaľ máte moje údaje?“ Je to tiež nová požiadavka, ktorá umožňuje, aby organizácie prebrali plnú zodpovednosť voči dotknutým osobám vo vzťahu k ich údajom a k tomu, odkiaľ ich získali

Čím viac týchto záruk spoločnosť poskytne, tým lepší balans dosiahne v prospech využívania údajov osôb pre svoje účely.

Telemarketing

Ako ostať krytý v prípade, že vystupujete pri telefonovaní ako sprostredkovateľ – obvolávate ľudí pre Vášho klienta?

  1. Sprostredkovateľská zmluva

Ak pracujete na telefóne ako sprostredkovateľ, pracovný postup by ste mali mať špecifikovaný v sprostredkovateľskej zmluve, ktorú uzavriete s Vaším klientom (prevádzkovateľom). Váš klient ju vypracuje a Vy ju podpíšete. Zodpovednosť za dodržanie nariadenia GDPR sa týmto prenáša na prevádzkovateľa.

  1. Záznamy o spracovateľských činnostiach

Prevádzkovateľ aj sprostredkovateľ sú povinní mať záznamy o prevádzkovateľských činnostiach, v ktorých bližšie špecifikujú svoje aktivity.

Ak vystupujete ako sprostredkovateľ, Vaše záznamy o spracovateľských činnostiach pre sprostredkovateľa musia obsahovať:

  • prevádzkovateľa, v mene ktorého konáte
  • IČO, adresu, PSČ, e-mail, atď. (kontaktné údaje)
  • vymenovanie bezpečnostných opatrení, ktoré ste vykonali – napr. šifrovanie, antivírus, aktualizácia operačného systému
  • záznam o tom, či sa uskutočňujete prenos údajov so tretej krajiny alebo medzinárodnej organizácie
  • kategóriu osobných údajov, s ktorými pracujete – bežné osobné údaje (kontakty)

Sprostredkovateľ nemusí uvádzať právny základ spracovateľskej činnosti.

Vzor záznamov o spracovateľských činnostiach pre prevádzkovateľa a sprostredkovateľa nájdete na stiahnutie tu:

http://gdpr-vzor.sk/

  1. Smernica na IT bezpečnosť

V tejto smernici uvediete, akým spôsobom chránite osobné údaje, ktoré spracúvate. Napríklad, že máte notebook zašifrovaný Bitlockerom, že v prípade potreby údaje neposielate kolegom e-mailom, ale ako zazipovaný súbor a heslo si dohodnete v SMS. Nie je to žiadna bondovka, ale jednoduchá ochrana – pseudonymizácia, šifrovanie, riadenie prístupu, antivírusy, atď.

Pozor! Môže sa stať, že budete pri jednej činnosti vystupovať ako prevádzkovateľ a pri inej ako sprostredkovateľ.

 

Ako správne postupovať pri telefonovaní na studené kontakty s oprávneným záujmom?

  1. Pri telefonovaní by ste sa mali predstaviť.
  2. Mali by ste povedať odkiaľ voláte (v mene akej firmy), odkiaľ máte osobné údaje danej osoby a na aký účel ich máte. Teda napríklad, že ich máte z verejných zdrojov alebo že ste si urobili prieskum a zistili ste, že ich firma sa zaoberá určitou činnosťou.
  3. Ak osoba, ktorej voláte, privolí a bude mať záujem o ďalšiu spoluprácu, berie sa to ako súhlas a je to obchodná spolupráca. Ak neprivolí, tak by ste to mali rešpektovať a ďalej s ňou nekomunikovať. Ak povie, že si neželá, aby ste mali jej osobné údaje, musíte ich vo svojej databáze zmazať.

V prípade, že ako sprostredkovateľ telefonujete fyzickým osobám, lebo Váš klient je personálna agentúra, ktorá vám poskytla databázu ľudí, je táto personálka povinná vypracovať si GDPR dokumentáciu.

Daná personálna agentúra musí vedieť, na základe akého právneho titulu tie osobné údaje spracúva, či tieto údaje získali sami alebo im ľudia poslali životopisy a poskytli súhlas.

Ako sprostredkovateľ na telefóne urobíte rozhovory s ľuďmi z databázy a údaje z rozhovorov poskytnete personálnej agentúre, ktorá si vás najala.

Telefonovanie na studene kontakty

Ako postupovať v prípade, že využívate služby sprostredkovateľa?

Ak si najímate sprostredkovateľa (napr. www.pandamarketing.sk ) na obvolávanie klientov, informujte ho najprv o obsahu sprostredkovateľskej zmluvy, ktorú s ním chcete podpísať.

Zistite, aké bezpečnostné opatrenia používa na ochranu dát a až potom s ním podpisujte zmluvu. Zodpovednosť za dodržanie GDPR je totiž na Vašich pleciach, nakoľko vy vystupujete ako prevádzkovateľ – napriek tomu, že sami nikomu nevoláte.

Ako prevádzkovateľ ste aj vy povinní mať záznamy o spracovateľských činnostiach.

Záznamy o spracovateľských činnostiach pre prevádzkovateľa sú trochu odlišné od tých, ktoré má sprostredkovateľ. Vo Vašom prípade musia obsahovať:

  1. právny základ – oprávnený záujem
  2. účel spracovania – napr. marketingové získanie zákazníkov
  3. kategóriu dotknutých osôb – dospelé osoby zo Slovenskej republiky, ktoré by si mohli kúpiť naše výrobky
  4. kategóriu osobných údajov – bežné osobné údaje (kontakty)
  5. lehotu na výmaz – napr. 2 roky
  6. kategóriu príjemcov – sprostredkovateľská agentúra
  7. záznam o tom, že prenos do tretej krajiny sa neuskutočňuje

Vzor tlačiva na stiahnutie nájdete tu: http://gdpr-vzor.sk/

Čo v prípade, že robíte cold calling na telefónne čísla získané z verejne dostupných zdrojov ako je internetová stránka, Finstat a podobne?

GDPR hovorí, že ak boli údaje zverejnené za nejakým účelom, tak to neznamená, že všetci ostatní ich môžu prebrať a začať ich spracúvať za svojím účelom.

Príklad: Ak TV Markíza niečo odvysielela, neznamená to, že TV JOJ si to môže nahrať a odvysielať to tiež. Taktiež, ak údaje o firme boli zverejnené v ORSR za účelom transparentného podnikania, my si ich nemôžeme len tak zobrať a použiť ich na iný účel.

Pri priamom marketingu by ste mali konať na základe oprávneného záujmu klienta. Otázne je, či možno očakávať oprávnený záujem od potenciálneho klienta, ktorého údaj ste objavili niekde na internete a nikdy o vás nepočul.

Telemarketing GDPR

Čo v prípade, že voláte na telefónne čísla zákazníkov, s ktorými už máte vytvorený obchodný vzťah?

Právnici sa zhodujú na tom, že priamym marketingom sa myslí aj napr. oslovenie nášho už existujúceho zákazníka, s ktorým už máme vytvorený obchodný vzťah. Teda, ak takéhoto zákazníka oslovíte s nejakou ponukou na súvisiace produkty alebo služby – za predpokladu, že to daný zákazník môže v primeranej miere očakávať a nepredstavuje to zásah do jeho práv a slobôd.

Príklad: objednáte si niečo v e-shope. Bez toho, že by ste súhlasili so zasielaním newslettera, môže e-shop v rámci oprávneného záujmu vytvoriť nejaký špeciálny mailing list a ponúknuť Vám k Vášmu nákupu ďalšie bonusy či rozširujúce služby. Alebo vám o 4 roky napísať, že ak vám zariadenie doslúžilo, je k dispozícii novšia generácia. V praxi to funguje často inak – kúpite si v e-shope napríklad nabíjačku na telefón a okamžite dostanete newsletter na krmivá.

„Oprávnený záujem sa dá dobre právne preukázať tam, kde s danou osobou už máme vytvorený nejaký vzťah.“

 Ak pri cold callingu nemáte istotu, či by mohlo ísť o oprávnený záujem, ešte vždy môžete skúsiť získať súhlas od osoby, ktorej voláte. Dá sa to urobiť tak, že počas telefonátu poviete, že ste získali jej údaje z verejných zdrojov a chcete od nej súhlas, aby ste ju mohli poinformovať o Vašich novinkách alebo službách.

Nevýhodou však je, že väčšina ľudí Vám to zrejme v tomto momente zloží, lebo ste ich vyrušili a nemajú na vás čas. No ak by ste im zavolali, neurobili nič podľa GDPR a povedali klientovi napríklad: „Dobrý deň, máme tu pre vás ponuku lacnejšiu ako Microsoft“, tak by to možno klienta zaujalo a nezložil by Vám. V takomto prípade sa však ťažko dokazuje, či išlo o oprávnený záujem.

GDPR proporčný test

3 kroky preukazovania rovnováhy

Keď sme

  1. starostlivo zvážili našu vlastnú potrebu použiť zoznam údajov o zákazníkoch na účely telefonovania na studené kontakty
  2. zanalyzovali sme si úroveň nepríjemností alebo obáv, ktoré môžu naše telefonáty jednotlivcom spôsobiť
  3. a starostlivo sme si zvážili a implementovali toľko záruk, koľko považujeme za primerané

už sme vybavení a môžeme ísť na vec?

Nuž, nie tak celkom.

Existujú tri ďalšie kroky, ktoré musíte podniknúť.

A keďže maximálna pokuta za to, že tieto kroky nie sú vykonané, predstavuje iba 20 miliónov EUR alebo 4% celosvetového obratu (podľa toho, čo je vyššie), máte veľkú motiváciu urobiť to správne:

Balančný (proporčný) test

  1. Musíte byť schopní preukázať, že ste vykonali balančný (proporčný) test vždy, keď u vás nastanú zmeny v používaní osobných údajov. Je to nevyhnutné, pretože bez konzistentnej dokumentácie, dokazujúcej, že Vaša firma systematicky vykonáva tieto balančné testy, sa nemôžete spoliehať na „oprávnený záujem“ ako dôvod na používanie osobných údajov.To znamená, že ak spustíte novú kampaň, zmeníte formuláre, ktoré vyplňujú agenti počas hovorov, zmeníte výkazy, ktoré vytvárate alebo spôsob, akým načítavate alebo exportujete údaje o zákazníkoch, musíte mať dôkaz o tom, že balančný test bol vykonaný.Napokon, tento záznam môže byť skontrolovaný dozorným úradom (Úradom na ochranu osobných údajov) alebo dokonca súdom, takže to nemôže byť niečo, čomu sa venuje len minimálna pozornosť. Ak môžete svojmu tímu dať za úlohu pravidelne vykonávať a dokumentovať tento test ako rutinnú záležitosť, potom sa nebudete musieť ničoho obávať, ak by došlo k sťažnosti, ktorá by viedla k vyšetrovaniu dozorným úradom.Každý informačný systém, ktorý prevádzkujete a ktorý obsahuje osobné údaje, by mal byť podložený balančným testom, ktorý by mal byť súčasčou dokumentácie prevádzkovateľa. Takže ak ste sa rozhodli, že budete mať databázu a oslovovať klientov telefonicky, potrebujete mať balančný test.Ak sa rozhodnete, že za Vás bude klientov obvolávať sprostredkovateľ, stále ste to Vy, kto balančný test musí mať. Teda nie osoba, ktorá bude vo Vašom mene volať. Za spracovanie osobných údajov zodpovedá v prvom rade prevádzkovateľ, ktorý musí vedieť preukázať, že to robí v poriadku.Tip: Ak chcete, aby bol tento proces zaujímavejší, odporúčame (hoci nie je povinné), aby ste sprístupnili odôvodnenie Vášho balančného testu samotným dotknutým osobám, t.j. otvorene informovať ľudí, ktorým voláte, prečo ste vyhodnotili svoju túžbu zavolať im ako dôležitejšiu než ich potenciálne prianie nedostávať od Vás telefonáty.Mohlo by to byť súčasťou Vášho scenára pre zvládanie námietok, alebo by ste to mohli umiestniť na webovú stránku Vašej spoločnosti. Odporúča sa tiež, aby ste otvorene informovali ľudí o všetkom profilovaní, ktoré vykonávate s ich údajmi a o tom, prečo ste urobili toto profilovanie, aby ste preukázali, že sa napríklad nezameriavate na zraniteľné osoby s ponukou nevhodných služieb.

GDPR

Rešpektujte právo namietať voči používaniu osobných údajov

  1. Dotknuté osoby musia mať možnosť uplatniť svoje právo namietať voči používaniu ich údajov a pokiaľ neexistujú naliehavé dôvody, pre ktoré musíte údaje použiť bez ohľadu na ich námietku (čo je veľmi nepravdepodobné v prípade priameho marketingu), potom musíte okamžite prestať s používaním ich údajov.Rovnako tak je potrebné rešpektovať vôľu ľudí, ktorí chcú zrušiť svoj súhlas alebo už nechcú mať svoje údaje spracovávané na účely priameho marketingu.

Rešpektujte právo na vymazanie a zabudnutie

  1. A napokon, dotknuté osoby musia mať možnosť požiadať o elektronickú kópiu všetkých údajov, ktoré o nich máte k dispozícii (máte mesiac na to, aby ste im vyhoveli a nemôžete si nič účtovať za prvú žiadosť) a možnosť požiadať o opravu týchto údajov, možnosť, pripojiť k nim nové údaje alebo ich neodvolateľne odstrániť.Právo na vymazanie (niekedy označované ako „právo na zabudnutie“) nemusí nutne zahŕňať všetky údaje, ktoré máte o danej osobe. Môžu Vás napríklad požiadať, aby ste vymazali všetky informácie, ktoré o máte k dispozícii, s tým, že súhlasia, že si môžete ponechať ich telefónne číslo na Vašom zozname čísel, na ktoré nesmú volať.

Aký význam má nariadenie GDPR a ako môže podnikateľom dokonca pomôcť?

Je pravdepodobné, že po niekoľkých rokoch sa budeme obzerať späť na dni pred májom 2018 ako na zmes zlatého veku priameho marketingu a niečoho na štýl divokého Západu.

Procesy, ktorých zavedenie GDPR vyžaduje, sú do veľkej miery veľkým šokom pre systém práve preto, lebo doteraz existovalo len niekoľko procesov na ochranu údajov, ktoré firmy museli dodržiavať.

Balančný test je tu na preukázanie toho, že Váš biznis funguje zodpovedne a venuje náležitú pozornosť používaniu informácií iných ľudí.

Aj keď ide o dodatočné administratívne zaťaženie, z ktorého sa zrejme nikto z nás neteší, z dlhodobého hľadiska je pravdepodobné, že posilní dôveru verejnosti v podniky a že napokon spôsobí, že keď ľudia dostanú telefonát od Vašej firmy, budú radi, že dobre nakladáte s ich osobnými údajmi.

Ak to znamená, že budú tiež s nadšením počúvať Vášho predajcu a zvážia nákup Vašich produktov alebo služieb, potom bude toto nariadenie prospešné pre všetkých.

GDPR príprava

Čo teraz v prípade, že potrebujete Vaše GDPR legálne ošetriť?

V prípade, že vás zaujíma kompletné znenie GDPR v slovenskom jazyku, nájdete ho na stránke Úradu na ochranu osobných údajov: https://dataprotection.gov.sk/uoou/sk/main-content/nariadenie-gdpr

Na tejto stránke nájdete aj ďalšie užitočné dokumenty a formuláre, súvisiace s GDPR.

Za poradenstvo a cenné príspevky do článku o GDPR ďakujeme Dušanovi Peškovi zo spoločnosti SecuTreo (www.secutreo.sk ), ktorá sa venuje dátovej bezpečnosti. Sledujte novinky na Facebooku: https://www.facebook.com/Secutreo/  Využite možnosť konzultácie zdarma alebo si stiahnite e-book na tému GDPR (grátis na tomto odkaze ): http://secutreo.sk/gdpr/?utm_source=facebook&utm_medium=cpc&utm_campaign=remarketing2#form

V prípade, že hľadáte jednoduché GDPR riešenie pre Vašu firmu, alebo živnosť, využite http://gdpr-vzor.sk/

V prípade, že Vám tieto vzory nestačia a potrebujete zistiť, ako celé GDPR ošetriť, odporúčame Vám konzultovať GDPR s profeionálmi, ktorí sa venujú dátovej bezpečnosti www.secutreo.sk

Čo teraz v prípade, že potrebujete viac nových zákazníkov/klientov a viac predajov Vašich služieb?

V prípade, že chcete telefonovať na kontakty Vašich zákazníkov, na firemné kontakty, alebo na studené kontakty, využite naše služby Pandamarketingu, poctivého telemarketingu, kde oslovíme Vašich zákazníkov a potenciálnych zákazníkov a zvýšime Vám predaje: www.pandamarketing.sk/sluzby

V prípade, že chcete naučiť Vašu asistentku telefonovať, aby za Vás mohla dohadovať obchodné stretnutia a Vy ste tak mohli úspešne uzatvárať predaje, využite naše služby Pandamarketingu, kde učíme, ako telefonovať férovo, úspešne a v súlade s GDPR: www.pandamarketing.sk/sluzby

By | 2018-08-13T13:24:48+00:00 august 13th, 2018|Blog|