Prije početka prikupljanja ili bilo kakve obrade osobnih podataka svaka organizacija mora znati:
- SVRHU obrade osobnih podataka
- NUŽAN SKUP osobnih podataka s obzirom na ispunjenje svrhe
- smijemo li to raditi, odnosno, imamo li valjani PRAVNI TEMELJ
- na KOJI ROK ćemo zadržavati osobne podatke
- jesmo li o tome jasno informirali pojedince o čijim se osobnim podacima radi
- jesmo li osigurati SIGURNOSNE mjere zaštite tih podataka
Sve to vrijedi i kad se odlučimo snimati telefonske razgovore naših agenata ili osoblja na recepciji ili korisničkoj službi s našim klijentima, kupcima ili korisnicima.
Koliko nepoznavanjaeili ignoriranje GDPR-a može dovesti takav "poduhvat" do kazne od čak 150.000 EUR pokazuje nam slučaj iz Francuske.
Sve je počelo sigurnosnim incidentom na serveru tvrtke koja pruža tarot usluge ili usluge proricanja sudbine putem telefonskih poziva.
Uslijed izostanka neophodnih sigurnosnih mjera javnosti su bili određeno vrijeme dostupni osobni podaci korisnika takvih usluga, uključujući i vrlo osjetljive osobne podatke unutar snimki takvih razgovora.
Nadzorno tijelo za zaštitu osobnih podataka je prilikom istrage utvrdilo da je ta tvrtka sustavno snimala sve telefonske pozive s ciljem provjere kvalitete pruženih usluga i u svrhe svoje zaštite za slučajeve eventualnih sudskih postupaka, gdje je nadzorno tijelo prigovorilo na činjenicu da se zbog toga snimaju baš svi pozivi.
Nadzorno tijelo je zauzelo stav da nije bilo potrebe snimati sve pozive, već samo nasumično izabrane pozive.
Također, snimanje poziva sa svrhom prikupljanja dokaza za eventualne sudske postupke u budućnosti nije opravdan razlog snimanja.
No, ključna primjedba nadzornog tijela odnosi se na sadržaj snimki.
Tvrtka je snimala i razgovore s klijentima u kojima su oni dijelili podatke o svojim bankovnim karticama, što nikako ne može imati veze sa osiguranjem kvalitete usluge ili u svrhe obrane od eventualnih sudkih postupaka u budućnosti, a sami podaci o bankovnoj kartici su itekako osjetljive prirode.
Da stvar bude još gora, snimke su se zadržavale čak 5 godina, i za to vrijeme zadržavali su se i podaci o bankovnim karticama, za čije zadržavanje nema nikakvog opravdanja nakon što su plaćene sve tražene usluge. Privole pojedinaca nisu tražene.
Kako je tu uočljiv niz nepoštivanja GDPR-a, tako je i ta tvrtka "zaboravila" obavijestiti nadzorno tijelo da su im podaci iscurili uslijed sigurnosnog propusta, štoviše, po povredi podataka su izbrisali i logove na sustavima, tako da su sami sebi onemogućili istragu uzroka povrede osobnih podataka.
Više o slučaju:
https://gdprhub.eu/index.php?title=CNIL_(France)_-_SAN-2023-008&mtc=today
Image by Freepik
#gdprcroatia