Puheluiden tallennus - SecMeter

Sisältöön

Puheluiden tallennus

Yritysturvallisuus > Tietosuoja
Digitaalinen puheluntallennusjärjestelmä koetaan yrityksissä pääsääntöisesti hyödylliseksi palvelun kehittämisen ja asiakaspalvelijoiden kouluttamisen apuvälineeksi (asiakassuhteen hoitamista ja asiakaspalvelun kehittämistä).

Yrityksen viranomaistoiminnan osalta puhelutallenne on julkisuuslaissa tarkoitettu viranomaisen asiakirja, joka on pääsäännön mukaan julkinen, ellei salassapitoperusteista tai muusta laista toisin johdu.

Puhelut tallentuvat yleensä kiintolevyjärjestelmille. Jokaiselle järjestelmän käyttäjälle on mahdollista luoda oma henkilökohtainen käyttöoikeusprofiili, jonka avulla voidaan rajata puhelutallenteisiin liittyviä valtuuksia.

Tallentimia voidaan käyttää perinteisen puhelinliikenteen tai IP-puheluiden tallennukseen. Puhelutallenteita on mahdollista kuunnella internetselaimella joko suoraan tallentimelta tai verkkoyhteyden yli. Tallennusmuodot ovat:

  • jatkuva tallennus
  • automaattinen valikoiva tallennus
  • manuaalinen valikoiva tallennus.

Mitä puheluita voidaan tallentaa
Puhelu on sähköisen viestinnän tietosuojalain tarkoittamaa luottamuksellista viestintää. Kategorinen puheluiden tallentaminen on lain vastaista.

Tallentavat puhelinliittymät tulee määritellä yksiselitteisesti asiakaspalvelupuhelimiksi ja huolehtia, että henkilöstö on asiasta tietoinen. Yritys ei voi kuunnella henkilöstölle tulevia yksityispuheluita eikä yritykselle tulevia puheluita, jos puheluiden tallennusjärjestelmää ja sen tarkoitusta ei ole suunniteltu eikä nauhoittamisen lainmukaisuutta ole varmistettu.

Yrityksen kerätessä henkilötietoja puheluita tallentamalla, tulee puheluiden tallentamiselle olla hyväksyttävä peruste. Puhelutallenteiden käsittelyyn sovelletaan henkilötietolain säännöksiä. Tämän johdosta mm. puhelutallennerekisteristä on laadittava rekisteriseloste.

Tallentamisen perusedellytykset
Tallentamisen perusedellytys on osapuolten välinen asiakassuhde tai henkilötietojen käsittely laissa säädetyn tehtävän hoitamiseksi. Tarpeettomasti puheluita ei saa tallentaa.

Yritys voi tallentaa puhelinkeskustelun palvelutapahtuman asianmukaisuuden todentamiseksi tai asiakkaan suullisesti vireille paneman asian varmentamiseksi jälkikäteen esimerkiksi taloudellisesti tai oikeudellisesti merkittävissä asiakaspalvelutilanteissa.

Asiakaskontaktit, joissa sovitaan taloudellisesti tai oikeudellisesti tärkeistä asioista, pitäisi aina tallentaa automaattisesti. Aivan liian usein - ja täysin turhaan - syntyy epäselvyyttä siitä mitä todellisuudessa sovittiin.

Tallenteiden salaus ja eheyden varmistaminen
Puheentallentimessa tulee olla ominaisuus, jolla puhetallenteet voidaan salata ja eheys turvata ”sormenjäljellä”.

Luottamuksellisuuden vaatimusperuste
Henkilötietolain mukaan rekisterinpitäjän on suojattava henkilötiedot ulkopuolisilta. Puhelutallenteet tallennetaan puhelutallennusjärjestelmissä yleensä kiintolevymedioille.

Vaatimus
Tallenteiden pitäisi olla salatussa muodossa, jolloin niiden sisältö on suojattu mahdollisilta luvattomilta kuunteluyrityksiltä ja kopioinnilta esimerkiksi käyttämällä 256-bittistä salausta.

Eheyden vaatimusperuste
Henkilötietolain mukaan rekisterinpitäjän velvollisuus on suojata henkilötiedot vahingossa tai luvatta tapahtuvalta tietojen muuttamiselta.  Henkilörekisterin tiedot on oltava virheettömiä ts. henkilörekisteriin tallennettu tieto on säilynyt muuttumattomana viimeisestä käsittelykerrasta. Henkilötietolain mukaan rekisterinpitäjän velvollisuus on myös suojata henkilötiedot vahingossa tai luvatta tapahtuvalta tietojen käsittelyltä.

Vaatimus
Tallennetut puhetallenteet tulee varustaa automaattisesti sormenjäljellä (esimerkiksi MD5-sormenjäljellä). Sormenjäljen avulla varmistetaan, että tallentimella olevaa puhetiedostoa ei ole millään tavoin käsitelty tai muutettu sen alkuperäisen tallentamisen jälkeen. Mikäli tiedostoa joudutaan esimerkiksi riita-asiassa käyttämään oikeudessa todisteena, on puhetallenteen eheys kyettävä näyttämään kiistatilanteessa toteen.

Käyttövaltuuksien rajaus
Puhelutallenteiden käsittelyyn oikeutettujen henkilöiden määrittely liittyy rekisterinpitäjän suunnitteluvelvollisuuden piiriin. Käyttöoikeuksista ja käyttöoikeuksien sisällöstä on oltava kirjallinen kuvaus.

Puhelutallenteet tulkitaan henkilörekisterin osaksi ja kuuluvat rekisteröidyn tarkastusoikeuden piiriin. Näin ollen puhelutallenteita saavat käsitellä vain ne henkilöt, joilla on siihen työtehtäviensä vuoksi oikeus.

Henkilötietoja sisältävien puhelutallenteiden esittäminen rinnastetaan henkilötietojen luovutukseksi. Koulutustilaisuuksissa, jossa käytetään tunnistettavissa olevien henkilöiden tietoja sisältäviä puhelutallenteita, saavat olla läsnä vain ne, joilla on työtehtäviensä perusteella oikeus ko. henkilötietojen käsittelyyn.

Koulutustilaisuuksissa, joissa on läsnä myös muita kuin henkilötietojen käsittelyyn oikeutettuja henkilöitä, on käytettävä vain hyvin anonymisoituja puhelutallenteita.

Asiakaspalvelijan esimiehen oikeudet tallenteiden kuunteluun
Esimiehen oikeus kuunnella puhelutallenteita on voitava perustella asiakassuhteen hoitoon liittyvillä tosiasiallisilla seikoilla, kuten esimerkiksi velvollisuudella valvoa asiakassuhteen hoitoon liittyviä väärinkäytöksiä tai virheellisiä menettelyjä.

Käsittelyn lokitus
Asiakkaalla ja asiakaspalvelijalla on oikeus tarkastaa itseään koskevat puhelutallenteet henkilötietolain 26-29 §:n mukaisesti. Tallennusjärjestelmän tulee sisältää lokijärjestelmä, joka mahdollistaa seurannan ja valvonnan, ketkä henkilöt ovat käyttäneet tallenteita.

  • puhelun aloitus- ja lopetusaika
  • puhelun kesto
  • numero, johon on soitettu
  • numero, josta soitettu (kolme viimeistä numeroa peitettävä)
  • puheluun vastanneen työntekijän nimi
  • puhelun aikana käyty keskustelu äänitallenteena.

Esimiehen puhelutallenteiden kuuntelusta tulee kirjautua lokimerkinnät ja puhelutallenteiden kuuntelua tulee valvoa, kuten muutakin henkilötietojen käsittelyä. Puhelinnumero on välitystieto, jota saa käsitellä ainoastaan käsittelyn tarkoituksen vaatimassa laajuudessa eikä käsittelyllä saa rajoittaa luottamuksellisen viestin ja yksityisyyden suojaa enempää kuin on välttämätöntä.

Asiakas voi soittaa puheluja mistä tahansa myös toisille henkilöille kuuluvista ns. B-tilaajanumeroista, jotka eivät millään tavalla liity asian käsittelyyn. Kolme viimeistä numeroa on peitettävä (maskimerkit ***), koska soittavan asiakkaan puhelinnumeron rekisteröinti ei täytä henkilörekisterilain edellyttämää tarpeellisuusvaatimusta.

Tallenteiden hävitys
Puhelutallenne on hävitettävä asian käsittelyn päätyttyä. Yleisesti sovellettu kohtuullinen säilytysaika on 1 vuosi, kuitenkin korkeintaan 2 vuotta.

Informointi
Henkilökuntaa on informoitava huomioiden tietosuojaa koskevat säännökset. Yksityisyyden suojasta työelämässä annetussa laissa on säädetty yhteistoimintamenettelyvaatimus. Tallentavat puhelinliittymät tulee määritellä yksiselitteisesti asiakaspalvelupuhelimiksi ja huolehtia, että henkilöstö on asiasta tietoinen.

Henkilöstöä on informoitava siitä, millä tavoin ja edellytyksin esimiehet työnjohto- ja valvontatehtäviinsä liittyen voivat kuunnella nauhoitettuja puheluita. Henkilöstöä on informoitava millä tavoin puhelujen tallennusjärjestelmään tallentuu lokitietoja ja millä tavoin lokitietojen käyttöä seurataan ja valvotaan.

Puhelun tallentamisesta on informoitava soittavaa asiakasta yrityksen harkinnan mukaan heti puhelun alussa toistamalla ennakkonauhoitus tai aiemmin esimerkiksi palvelusopimuksessa, johon asiakassuhde perustuu. Informointi yksinomaan internet-sivuilla ei ole riittävä menettely.

Yrityksen esitteissä ja verkkosivuilla on myös syytä tiedottaa asiakaspuheluiden nauhoittamisesta ja nauhoituksen käyttötarkoituksesta sekä lisäinformaation saatavuudesta.

Koulutus
Järjestelmän ylläpitäjille ja asiakaspalvelijoille esimiehineen on järjestettävä puhelutallennusjärjestelmään liittyvä asianmukainen koulutus, jonka yhtenä osiona tulee olla yrityksen omat ohjeet henkilörekistereiden käytöstä ja asiakastietojen käsittelystä.

Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Takaisin sisältöön