Συστάσεις για την εξυπηρέτηση πελατών, όταν αυτοί δεν μπορούν να επικοινωνήσουν αυτοπροσώπως
Επιμέλεια: Δημήτρης Βέρρας
Η Ιρλανδική Αρχή Προστασίας Δεδομένων (DPC) συχνά δέχεται παράπονα πολιτών σχετικά με τα μέτρα που τους ζητούνται, όταν αυτοί επικοινωνούν με έναν οργανισμό εξ ονόματος κάποιου άλλου. Μια συνήθης απάντηση που λαμβάνουν είναι ότι ο οργανισμός μπορεί να επικοινωνεί μόνο με τον ίδιο τον κάτοχο του λογαριασμού ή ότι θα πρέπει αυτοί να παρουσιάσουν σαφή αποδεικτικά στοιχεία ως προς το ότι ενεργούν για λογαριασμό του κατόχου. Μολονότι μπορεί να υπάρχουν πολλοί παράγοντες που εμπλέκονται σε αυτό (υποχρεώσεις προστασίας δεδομένων, όπως η ασφάλεια και η εμπιστευτικότητα, αλλά και άλλες νομικές υποχρεώσεις), σε αυτό το blog θα προσπαθήσουμε να εξηγήσουμε το πώς οι οργανισμοί μπορούν να υιοθετήσουν μια εύλογη και αναλογική προσέγγιση για τις καταστάσεις αυτές.
Ως είθισται, οι οργανισμοί ζητούν την ταυτοποίηση αυτών που τους καλούν, με μια σειρά μεθόδων και για προφανείς λόγους, όπως το να μπορέσουν να ανταποκριθούν σε αυτό που τους ζητείται, αλλά και να διασφαλίσουν ότι ο καλών είναι πράγματι αυτός που ισχυρίζεται πως είναι και ότι δεν θα αποκαλύψουν προσωπικά δεδομένα σε τρίτο πρόσωπο χωρίς σοβαρό λόγο. Αυτό που συχνά ζητείται από τους καλούντες είναι το όνομα ή/και ο αριθμός λογαριασμού τους, καθώς και πληροφορίες όπως η επιβεβαίωση της ημερομηνίας γέννησής τους, της διεύθυνσης, του τηλεφωνικού αριθμού ή λεπτομερειών σχετικά με την τελευταία συναλλαγή τους.
Επικοινωνώντας για λογαριασμό ενός φίλου
Ωστόσο, προβλήματα μπορούν να εμφανιστούν όταν κάποιος τηλεφωνεί σε έναν οργανισμό για λογαριασμό ενός μέλους της οικογένειάς του, ενός φίλου, ενός ασθενούς ή κάποιου άλλου, ο οποίος δεν είναι σε θέση να το κάνει αυτοπροσώπως ή θα προτιμούσε να μιλήσει κάποιος άλλος εκ μέρους του. Το πρόσωπο που τηλεφωνεί, εκπροσωπώντας τον, καλείται ενίοτε να παρουσιάσει αποδείξεις πολύ πιο απαιτητικές, ως προς το ότι έχει την άδεια να μιλά εξ ονόματός του, από εκείνες που θα ζητούνταν από τον ίδιο τον κάτοχο του λογαριασμού, εάν είχε καλέσει αυτοπροσώπως. Δεν λείπουν και οι περιπτώσεις όπου ο εκπροσωπών απλώς ενημερώνεται ότι ο οργανισμός δεν θα συνεργαστεί μαζί του για λογαριασμό κάποιου άλλου.
Αυτό έχει ως αποτελέσματα την ιδιόμορφη κατάσταση να είναι ευκολότερο να τηλεφωνήσει κανείς και να προσποιηθεί ότι είναι ο κάτοχος του λογαριασμού από ό,τι θα ήταν να εξηγήσει ειλικρινώς ότι ο κάτοχος τού έχει δώσει την άδεια να μιλά εκ μέρους του. Παρόμοια προβλήματα μπορεί κανείς να συναντήσει και όταν επικοινωνεί με άλλα μέσα, όπως φόρμες επικοινωνίας, μηνύματα ηλεκτρονικού ταχυδρομείου ή επιστολές.
Υποχρεώσεις ασφάλειας, ακεραιότητας και εμπιστευτικότητας
Είναι προφανές ότι οι οργανισμοί έχουν την υποχρέωση να διατηρούν τα προσωπικά δεδομένα ασφαλή και να μην τα αποκαλύπτουν σε κάποιον που δεν θα έπρεπε – σύμφωνα με την αρχή της «ακεραιότητας και εμπιστευτικότητας» του άρθρου 5 ΓΚΠΔ. Η αρχή αυτή απαιτεί η επεξεργασία προσωπικών δεδομένων να γίνεται μόνο «κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων».
Ιδιαίτερη σημασία έχει ο όρος «κατάλληλα», ο οποίος έχει την έννοια ότι οι υπεύθυνοι επεξεργασίας στις περιπτώσεις αυτές θα πρέπει να εξετάζουν ποιο επίπεδο ασφάλειας είναι το κατάλληλο σε διαφορετικές καταστάσεις. Θα πρέπει να λαμβάνουν υπόψη ζητήματα όπως η φύση και η ευαισθησία των δεδομένων προσωπικού χαρακτήρα, η ενδεχόμενη βλάβη από την αποκάλυψη δεδομένων σε λάθος πρόσωπο και η πιθανότητα οι άνθρωποι να νομιμοποιούνται να μιλήσουν εξ ονόματος του κατόχου του λογαριασμού.
Οι οργανισμοί πρέπει επίσης να εξετάζουν τις ενέργειες που ζητούνται από τον καλούντα – τα αναλογικά μέτρα ασφαλείας (εάν αυτά υπάρχουν) για ένα αίτημα, όπως η επανέκδοση λογαριασμού στη διεύθυνση του κατόχου, μπορεί να είναι πολύ λιγότερο αυστηρά από εκείνα που θα ήταν σκόπιμο να απαιτηθούν όταν ο καλών ζητά τη διαγραφή λογαριασμού ή τη γνωστοποίηση ευαίσθητων πληροφοριών.
Περίπτωση 1
Ζητήθηκαν από τη DPC συμβουλές σε μια περίπτωση όπου πολίτης αντιμετώπιζε δυσκολίες επιχειρώντας να επικοινωνήσει με έναν πάροχο υπηρεσιών μέσω διερμηνέα. Μολονότι ο διερμηνέας παρέσχε σωστά τις αναγκαίες πληροφορίες του λογαριασμού και απάντησε στις ερωτήσεις ασφάλειας που σχετίζονταν με αυτόν, ο οργανισμός δεν θέλησε να ασχοληθεί με το αίτημά του, εάν προηγουμένως δεν υποβαλλόταν γραπτή εξουσιοδότηση, που να αποδεικνύει ότι αυτός είχε την άδεια του κατόχου του λογαριασμού να μιλά εξ ονόματός του.
Στην περίπτωση αυτή, η DPC δεν διαπίστωσε κανένα ζήτημα προστασίας δεδομένων που να εμποδίζει το οργανισμό να ικανοποιήσει τον πελάτη μέσω του διερμηνέα. Από τη στιγμή που ο οργανισμός θεωρεί ότι η σωστή απάντηση σε ερωτήσεις ασφάλειας είναι επαρκής, ως μέτρο ασφάλειας, για την επαλήθευση της ταυτότητας του καλούντος πελάτη, έπεται ότι η απάντηση αυτή θα μπορούσε να είναι επαρκής και για την επαλήθευση της ταυτότητας του διερμηνέα και της άδειας που του έχει παρασχεθεί να ενεργεί εξ ονόματος του κατόχου του λογαριασμού.
Δεν κατέστη σαφές ότι ήταν εύλογο ή αναγκαίο, από άποψη ασφάλειας, να έχει τεθεί μια πρόσθετη απαίτηση ασφάλειας για όσους χρησιμοποιούν διερμηνέα, καθώς δεν φαίνεται να υπάρχει αυξημένος κίνδυνος μη εξουσιοδοτημένης πρόσβασης σε δεδομένα προσωπικού χαρακτήρα. Σε κάθε περίπτωση, ακόμη και αν χρειαζόταν ένα πρόσθετο μέτρο ασφαλείας, προκειμένου να επαληθευτεί ότι ο διερμηνέας είχε την άδεια του κατόχου του λογαριασμού, η γραπτή εξουσιοδότηση μάλλον είναι δυσανάλογα αυστηρό μέτρο, από τη στιγμή που θα αρκούσε η απάντηση σε πρόσθετες ερωτήσεις ασφαλείας ή η επιβεβαίωση των στοιχείων του λογαριασμού.
Περίπτωση 2
Ένας κωφός πολίτης, ο οποίος χρειαζόταν διερμηνέα νοηματικής για να έλθει σε επαφή με πάροχο υπηρεσιών, αντιμετώπισε την άρνηση πρόσβασης στην υπηρεσία, καθώς ο οργανισμός δεν δέχτηκε να συνεργαστεί με τον διερμηνέα. Ως αιτιολογία για την άρνησή του αυτή, ο οργανισμός επικαλέστηκε «ζητήματα ΓΚΠΔ και προστασίας προσωπικών δεδομένων”.
Κατά την άποψη της DPC, ούτε ο Γενικός Κανονισμός Προστασίας Δεδομένων, ούτε ο εθνικός νόμος περί προστασίας δεδομένων εμποδίζουν ή απαγορεύουν τη χρήση διερμηνέα νοηματικής, υπηρεσιών αναμετάδοσης κειμένου ή άλλου παρεμφερούς συστήματος, τα οποία μπορούν να χρησιμοποιούνται από ένα πρόσωπο με προβλήματα ακοής, όταν έρχεται σε επικοινωνία με παρόχους υπηρεσιών.
Οι πάροχοι υπηρεσιών έχουν την υποχρέωση να λαμβάνουν κατάλληλα μέτρα ασφαλείας για την προστασία της ακεραιότητας και της εμπιστευτικότητας των προσωπικών δεδομένων των πελατών τους. Ωστόσο, τα μέτρα αυτά δεν πρέπει να θέτουν σε δυσανάλογα μειονεκτική θέση εκείνους που πρέπει να χρησιμοποιούν διερμηνέα νοηματικής γλώσσας ή υπηρεσίες κειμένου.
Περαιτέρω, η εθνική νομοθεσία περί Ισότητας απαγορεύει τις διακρίσεις στην παροχή αγαθών και υπηρεσιών. Ο νόμος προβλέπει ότι ως διάκριση νοείται και η άρνηση ή παράλειψη του παρόχου υπηρεσιών να πράξει οτιδήποτε είναι αναγκαίο, προς το σκοπό της εξυπηρέτησης ατόμου με αναπηρία, παρέχοντάς του ειδική μεταχείριση ή παροχές, εφόσον, χωρίς αυτά, η πρόσβαση στην υπηρεσία θα ήταν αδικαιολόγητα δυσχερής.
Ο ΓΚΠΔ ή η νομοθεσία για την προστασία των προσωπικών δεδομένων εν γένει δεν πρέπει να χρησιμοποιούνται από τους παρόχους υπηρεσιών ως εμπόδιο που οδηγεί στην δυσχέρανση της προσβασιμότητας σε υπηρεσίες και τη διάκριση σε βάρος ατόμων λόγω αναπηρίας τους.
Συστάσεις
Υπάρχουν, πράγματι, λόγοι για τους οποίους ένας οργανισμός ενδέχεται να μη θέλει ή να μη μπορεί να συνεργαστεί με οποιονδήποτε άλλον, παρά μόνο με τον κάτοχο του λογαριασμού – όπως εσωτερικές πολιτικές ή άλλες απαιτήσεις του νόμου σχετικά με το απόρρητο ή την εμπιστευτικότητα. Ωστόσο, η θέση της DPC είναι ότι η νομοθεσία για την προστασία προσωπικών δεδομένων δεν εμποδίζει καταρχήν τους οργανισμούς από το να συνεργαστούν με κάποιον που εκπροσωπεί τον κάτοχο του λογαριασμού, από τη στιγμή που έχουν λάβει εύλογα και αναγκαία μέτρα για να διασφαλίσουν τη συμμόρφωση με τις υποχρεώσεις τους ως προς την ασφάλεια και την εμπιστευτικότητα.
Η σύσταση της DPC προς τους οργανισμούς, ειδικά τους παρόχους υπηρεσιών και τους δραστηριοποιούμενος στην εξυπηρέτηση πελατών, είναι, όταν σχεδιάζουν και εφαρμόζουν «κατάλληλα τεχνικά ή οργανωτικά μέτρα» για την προστασία των δεδομένων, να διασφαλίζουν μια ισορροπημένη και αναλογική προσέγγιση των μέτρων τους για την ασφάλεια και την επαλήθευση της ταυτότητας. Θα πρέπει να εφαρμόζουν μέτρα, τα οποία παρέχουν μεν υψηλό επίπεδο προστασίας στα άτομα, αλλά δεν θέτουν σε δυσανάλογα μειονεκτική θέση εκείνους που δεν μπορούν εύκολα να ανταποκριθούν στα μέτρα αυτά και που ενδεχομένως θα χρειαστούν κάποιον άλλο να επικοινωνήσει εξ ονόματός τους.
* Το κείμενο αποτελεί ελεύθερη απόδοση στα ελληνικά της ανάρτησης στο blog της Ιρλανδικής Αρχής.