Ohjeistus asiakkaille

Tämä ohjeistus kuvaa yleisellä tasolla puheluiden ja muun sähköisen viestinnän tallentamiseen ja hyödyntämiseen liittyviä velvoitteita. Tämä ohjeistus ei ole oikeudellisesti sitova, eikä sitä tule käsitellä oikeudellisena neuvona. Asiakasyritys vastaa itse siitä, että sen toiminta on lainmukaista, ja että asiakasyritys on selvittänyt puheluiden ja sähköisen viestinnän tallentamiseen ja hyödyntämiseen liittyvät velvoitteet kunkin yksittäistapauksen osalta.

Asiakkaan tulee huomioida

Puhelun tallentamiselle ja sitä kautta henkilötietojen keräämiselle tulee olla GDPR:n mukainen käsittelyperuste. Laillisia käsittelyperusteita henkilötietojen käsittelyyn voivat olla tilanteesta ja käsittelytarkoituksista riippuen esimerkiksi suostumus tai sopimus. Yritys voi jossain tapauksissa tallentaa asiakkaan kanssa käydyn puhelinkeskustelun esimerkiksi tilauksen tai muun liiketapahtuman todentamiseksi. Yrityksen tulee määrittää nauhoittamista koskevat menettelyt sellaisiksi, että vain ne puhelut tallennetaan, joiden osalta yrityksellä on GDPR:n mukainen käsittelyperuste henkilötietojen keräämiselle ja muulle käsittelylle.

Yrityksen on noudatettava henkilötietojen käsittelyssä GDPR 5 artiklan mukaisia periaatteita. Henkilötietoja on mm. käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi. Tämä tarkoittaa mm. sitä, että henkilötietojen keräämisestä, kuten nauhoittamisesta, on aina ilmoitettava erikseen. Yritys eli rekisterinpitäjä voi päättää oman harkintansa mukaan, miten informointi tapahtuu. Nauhoittamisesta voidaan kertoa puhelun alussa tai jo aiemmin esimerkiksi asiakassopimuksessa.

Tietosuojavaltuutetun toimiston ohjeistuksen mukaan kuitenkaan pelkkä maininta esimerkiksi yrityksen verkkosivuilla ei ole riittävä, sillä se jää helposti huomaamatta. GDPR:n mukaan rekisterinpitäjän on toimitettava tieto käsittelystä ennen henkilötietojen käsittelyn aloittamista tai aloittamishetkellä eli esimerkiksi puhelun nauhoittamisen aloitushetkellä. Lisäksi yrityksen on huolehdittava myös muilta osin rekisteröityjen informoinnista GDPR:n mukaisesti. Käytännössä informointivelvollisuutta voi täyttää esimerkiksi tietosuojaselosteen avulla.

Yritys vastaa rekisterinpitäjänä puhelutallenteiden säilytysaikojen tai säilytysaikoja koskevien kriteerien määrittämisestä tietosuojalainsäädännön mukaisesti sekä tallenteiden poistamisesta määrittämiensä säilytysaikojen päättyessä.

Yrityksen tulee varmistaa, että vain ne henkilöt saavat käsitellä puhelutallenteita, joiden nimettyihin tehtäviin tallenteiden käsittely kuuluu. Henkilöillä on vaitiolovelvollisuus tallenteiden henkilöön liittyvästä sisällöstä. Yrityksen on lisäksi syytä huomioida GDPR:n erityisiä henkilötietoryhmiä sekä muiden arkaluontoisten henkilötietoja koskevan käsittelyn erityissäännökset.

Mikäli puhelutallentamista käytetään esimerkiksi asiakaspalvelutoiminnan tai muun henkilöstön seurantaan ja valvontaan, yrityksen tulee huomioida työelämän tietosuojalainsäädännön sekä yhteistoimintamenettelyä koskevan lainsäädännön vaatimukset. Esimerkiksi työntekijöihin kohdistuvan valvonnan tarkoitus, käyttöönotto ja valvonnassa käytettävät menetelmät sekä sähköpostin ja muun tietoverkon käyttö sekä työntekijän sähköpostin ja muuta sähköistä viestintää koskevien tietojen käsittely kuuluvat yhteistoimintamenettelyn piiriin. Lisäksi työelämän tietosuojalainsäädäntö saattaa asettaa tiettyjä muita rajoituksia ja vaatimuksia työntekijöiden henkilötietojen keräämisen ja jatkokäsittelyn osalta.

Asiakkaiden soittamat puhelut yrityksen palvelusarjaan

Kun yrityksen palvelusarjaan soitetaan, tulee puhelun alussa kertoa tallentamisesta, mikäli sellainen on aktivoitu. Jos soittaja päätyy valikkoon, jossa osa vaihtoehdoista ei ole tallennettavia, ilmoitus voidaan toteuttaa niiden valikoiden taakse, joissa puhelutallennus on aktiivinen. Ilmoitus voi olla automaattinen tiedote. Lisäksi soittajaa tulee informoida siitä, mistä muu GDPR:n edellyttämä tietosuojainformaatio on saatavilla.

Mikäli soittaja on tunnistettu asiakkaaksi, tai muuksi henkilöksi, joka on jo tehnyt sopimuksen yrityksen kanssa, ja kyseistä henkilöä on jo informoitu aiemmin puhelujen nauhoituksesta ja henkilötietojen käsittelystä esimerkiksi sopimuksessa, puhelun tallennuksesta ei ole pakollista informoida.

Yrityksen tulee huolehtia asiakaspalvelijoiden pääsyoikeuksien rajaamisesta edellä mainittujen tietosuojalainsäädännön periaatteiden mukaisesti.

Työntekijän omien puhelujen nauhoitus

GDPR ei sovellu tilanteisiin, joissa yksityishenkilö käsittelee henkilötietoja siten, että toiminta on yksinomaan henkilökohtaista tai kotitalouteen liittyvää, eikä sidoksissa ammatilliseen tai kaupalliseen toimintaan. Jos yksityishenkilö käsittelee henkilötietoja yksityiselämän ulkopuolella esimerkiksi työtehtävien hoitoon liittyen, GDPR:n säännökset tulevat lähtökohtaisesti sovellettavaksi. Henkilökohtaisen nauhoituksen osalta tulee huomioida, että nauhoitteiden käyttö esimerkiksi ammatilliseen tai kaupalliseen toimintaan edellyttää GDPR:n velvoitteiden noudattamista.

Työnantajan tulee huomioida, että se saa käsitellä vain tarpeellisuusvaatimuksen mukaisesti välittömästi työntekijän työsuhteen kannalta tarpeellisia henkilötietoja, jotka liittyvät työsuhteen osapuolten oikeuksien ja velvollisuuksien hoitamiseen tai työnantajan työntekijöille tarjoamiin etuuksiin taikka johtuvat työtehtävien erityisluonteesta. Tästä tarpeellisuusvaatimuksesta ei voida poiketa työntekijän suostumuksella.

Yrityksen asiakaspalvelun ulos soittamat puhelut

Mikäli yritys haluaa tallentaa asiakaspalvelun ulos soittamat puhelut, tulee nauhoittamisesta kertoa puhelun alussa. Jos puhelun vastaanottaja on tunnistettu asiakkaaksi, tai muuksi henkilöksi, joka on tehnyt sopimuksen yrityksen kanssa ja jota on jo informoitu aiemmin puhelujen tallentamisesta ja henkilötietojen käsittelystä esimerkiksi sopimuksessa, puhelun tallentamisesta ei ole pakollista informoida.

Yrityksen tulee huolehtia asiakaspalvelijoiden pääsyoikeuksien rajaamisesta edellä mainittujen tietosuojalainsäädännön periaatteiden mukaisesti.

Muutokset

Yrityksen tulee rekisterinpitäjänä seurata tietosuojalainsäädännön muutoksia ja henkilötietojen käsittelyä koskevaa viranomaiskäytäntöä.

Enreach ei vastaa tämän ohjeistuksen virheettömyydestä tai ajantasaisuudesta. Enreach varaa oikeuden päivittää ja muuttaa tätä ohjeistusta.