Truebar
Nazaj na blog

Objavljeno

GDPR in snemanje klicev v Sloveniji: kaj morate vedeti

Praktičen pregled zakonskega okvira za snemanje in prepisovanje klicev v Sloveniji: GDPR, ZVOP-2, ZEKom-2 in obveznosti upravljavca podatkov.

Avtor: Vitasis

  • gdpr
  • zvop-2
  • skladnost
  • klicni-center

Snemanje telefonskih klicev je za marsikatero slovensko organizacijo postalo del vsakdana — od klicnih centrov in zavarovalnic do bank in javne uprave. Z razmahom samodejnega prepisa in analize klicev pa se je razširilo tudi vprašanje, ali smo pri tem zares skladni z evropskim in slovenskim pravnim okvirom. V tem članku obnovimo, kaj zakon zahteva, kdaj je snemanje sploh dovoljeno in kako zagotoviti, da so posnetki in njihovi prepisi obravnavani na varen način.

Članek je informativen pregled in ne nadomešča pravnega nasveta; za konkretne odločitve se posvetujte s svojo pravno službo ali z Informacijskim pooblaščencem.

Pravni okvir

Za snemanje in prepisovanje klicev v Sloveniji veljajo trije ključni predpisi.

Splošna uredba o varstvu podatkov (GDPR), ki se uporablja neposredno v vseh državah članicah EU od leta 2018. Določa pravne podlage za obdelavo osebnih podatkov, načela obdelave, pravice posameznikov in obveznosti upravljavcev.

Zakon o varstvu osebnih podatkov (ZVOP-2), ki je leta 2023 nadomestil ZVOP-1 in v slovenski pravni red prenesel GDPR ter ga v določenih delih konkretiziral, na primer pri zaposlovanju, videonadzoru in tudi pri snemanju klicev v določenih kontekstih.

Zakon o elektronskih komunikacijah (ZEKom-2), ki ureja zaupnost komunikacij. Po njem je vsebina komunikacije zaupna in se sme snemati le ob izpolnjenih zakonskih pogojih.

V praksi mora upravljavec, ki snema klice, izpolniti zahteve vseh treh predpisov hkrati.

Kdaj je snemanje dovoljeno

Snemanje klicev je oblika obdelave osebnih podatkov. Za vsako obdelavo potrebujemo veljavno pravno podlago iz 6. člena GDPR. V kontekstu klicnih centrov in podobnih okolij se najpogosteje uporabljajo tri.

Soglasje

Klicatelj pred začetkom snemanja izrecno soglaša, da se klic snema. To se v praksi izvede s samodejnim sporočilom na začetku klica ("Klic bo posnet za namen ...") z možnostjo zavrnitve. Soglasje mora biti svobodno, informirano in razumljivo; klicatelj mora vedeti, kdo je upravljavec, kakšen je namen, kako dolgo bo posnetek hranjen in da lahko soglasje umakne.

Sklenitev ali izvajanje pogodbe

Snemanje, ki je nujno za izvajanje pogodbe, na primer dokumentiranje naročila po telefonu v zavarovalnici ali banki. V tem primeru ni potrebno ločeno soglasje, mora pa biti namen jasno predstavljen.

Zakoniti interes

Za interno kontrolo kakovosti, izobraževanje agentov ali zaščito pred sporom o vsebini dogovora. Pri tej podlagi je obvezen test sorazmernosti: ali je snemanje zares nujno, ali je manj invaziven način dosegljiv, ali interes upravljavca prevlada nad pravicami klicatelja. Test je treba dokumentirati.

V vsakem primeru mora biti klicatelj o snemanju obveščen pred začetkom. Skrito snemanje brez ene od zgornjih podlag ni dovoljeno.

Kaj morate povedati klicatelju

Obveščanje je v praksi pogosto izvedeno z začetnim posnetkom. Vsebovati mora:

  • dejstvo, da bo klic posnet,
  • namen snemanja (npr. kontrola kakovosti, dokumentacija pogodbe),
  • identiteto upravljavca,
  • pravice posameznika in kje so na voljo (povezava na obvestilo o varstvu osebnih podatkov),
  • način, kako se snemanju izogniti, če je to za klicatelja možnost.

V daljši obliki morajo te informacije biti na voljo v javno objavljeni politiki zasebnosti.

Hramba in roki

GDPR zahteva, da podatkov ne hranimo dlje, kot je potrebno za namen. Konkretni roki niso predpisani, ampak izhajajo iz namena hrambe.

V praksi se v slovenskih organizacijah uporabljajo različni roki, najpogosteje med 30 dnevi in 5 leti, odvisno od dejavnosti. Banke in zavarovalnice posnetke pogodbenih klicev hranijo do iztega zastaralnih rokov. Klicni centri za kontrolo kakovosti pogosto določijo bistveno krajše roke, recimo 30 do 90 dni.

Pomembno je, da je rok zapisan v internem aktu, da se ga sistem dejansko drži in da po roku posnetki res izginejo iz vseh kopij.

Kje se podatki hranijo

Posnetki klicev so občutljivi že sami po sebi: vsebujejo glas, ki je biometričen podatek, in vsebino pogovora, ki lahko vključuje zdravstvene, finančne ali pravne informacije.

Prenos teh podatkov izven EU je dovoljen le ob izpolnjenih pogojih iz V. poglavja GDPR (sklep o ustreznosti, standardne pogodbene klavzule, zavezujoča poslovna pravila). Po sodbi Schrems II je preverjanje ustreznosti tretje države odgovornost upravljavca, ne le pogodbenika.

Najbolj enostavna rešitev je, da posnetki nikoli ne zapustijo Slovenije ali EU. Pri izbiri ponudnika storitve prepisa to pomeni preveriti dvoje:

  • v kateri državi tečejo strežniki,
  • ali pogodba in tehnična implementacija dejansko preprečujeta prenos v ZDA ali druge tretje države, vključno z dostopom matične družbe.

Truebar tu izhaja iz preprostega položaja: vsa obdelava poteka v Sloveniji oziroma v EU, na voljo je tudi namestitev v okolju stranke. Glas in prepis ne potujeta čez Atlantik.

Pravice posameznika

Posameznik, čigar klic je posnet, ima pravico do:

  • vpogleda v posnetek in prepis, ki ga zadeva,
  • popravka, če prepis vsebuje napake,
  • izbrisa, kadar pravna podlaga preneha (npr. ob umiku soglasja),
  • omejitve obdelave in ugovora.

Organizacija mora imeti vzpostavljen postopek, ki te zahteve sprejme, identificira posameznika in v 30 dneh odgovori. Pri velikih obsegih posnetkov je iskanje konkretnega klica praktično nemogoče brez metapodatkov: identifikator klicatelja, čas, agent. Te metapodatke je treba snemati hkrati z zvokom in jih hraniti enako varno.

Samodejni prepis: kaj se spremeni

Ko klice samodejno prepisujemo z ASR sistemom, nastane nov nabor osebnih podatkov — pisni prepis. Zanj veljajo enaka pravila kot za zvočni posnetek: pravna podlaga, rok hrambe, lokacija, pravice posameznika.

Tri dodatna vprašanja, ki se pojavijo pri ASR:

Ali ponudnik ASR podatke uporablja za učenje? Standardni komercialni ponudniki to pogosto dovoljujejo v privzetih pogojih in zahtevajo izrecno zavrnitev. Truebar pri pogodbenih strankah podatkov stranke ne uporablja za splošno učenje modelov.

Ali se posnetki obdelujejo v realnem času in nato izbrišejo, ali se shranjujejo? Tehnično je obojo mogoče in obojo zahteva svoj rok hrambe.

Ali je dostop do prepisa omejen z dnevnikom dostopov? Pri občutljivih vsebinah (zdravstvo, pravo) je revizijska sled, kdo je kdaj dostopal do prepisa, pogosto zakonska zahteva.

Praktičen kontrolni seznam

Pred zagonom snemanja in prepisa klicev v vaši organizaciji preverite:

  1. Pravna podlaga za snemanje je določena in zapisana.
  2. Klicatelji so o snemanju obveščeni pred začetkom.
  3. Politika zasebnosti je posodobljena z informacijami o snemanju in prepisu.
  4. Rok hrambe je določen in tehnično uveljavljen.
  5. Posnetki in prepisi se hranijo v EU oziroma v Sloveniji.
  6. Dostop je omejen, prijave so dnevnikirane.
  7. Postopek za uveljavljanje pravic posameznika je opisan.
  8. Pogodba s ponudnikom ASR vključuje določila o obdelavi osebnih podatkov (DPA).
  9. Test zakonitega interesa je dokumentiran, če je ta podlaga.
  10. Ocena učinka v zvezi z varstvom podatkov (DPIA) je izdelana, kadar gre za sistemsko obdelavo večjega obsega.

Če v tej točki nimate jasnih odgovorov za vse točke, je pravi trenutek, da se z notranjo pravno službo in pooblaščeno osebo za varstvo podatkov pogovorite, preden gre sistem v produkcijo.

Pri postavitvi infrastrukture za skladno obdelavo zvoka in prepisov v slovenskem in EU okolju vam lahko pomagamo — to počnemo za organizacije v javnem sektorju, zdravstvu, finančnih ustanovah in podjetjih, kjer občutljivost vsebine ne dopušča kompromisa.

Nazaj na blog