Rodo a nowy klient

Artykuł

RODO - aktualne trendy w spełnianiu obowiązku informacyjnego w kontakcie z nowym klientem

Biuletyn prawny: Finanse i bankowość | Wrzesień 2018 r.

W przypadku gdy nowy klient zgłasza się do przedsiębiorcy, wyrażając zainteresowanie oferowanym produktem i przekazuje dotyczące go dane osobowe, przedsiębiorca jako administrator danych potencjalnego klienta zobowiązany jest nie tylko do spełnienia obowiązku informacyjnego (art. 13 i 14 RODO), ale przede wszystkim do zapewnienia transparentności procesu wnioskowania o produkt (art. 5 ust. 1 lit. a) RODO). Jakie wnioski wynikają z badania benchmarkowego, przeprowadzonego przez Deloitte Legal dotyczącego aktualnych trendów w spełnianiu obowiązku informacyjnego przez banki w kontakcie z nowym klientem?

Rodo a nowy klient - założenia badania

Podstawowym zamierzeniem badania była obserwacja i analiza trendów dotyczących realizacji obowiązku informacyjnego w telefonicznym kontakcie z zainteresowanym ofertą banku klientem. W tym celu porównano modele spełniania tego obowiązku w kilku bankach operujących na rynku polskim. Kontakt telefoniczny wiąże się z potrzebą zachowania jak największej zwięzłości komunikatów i chęcią maksymalnego uproszczenia procedury telefonicznego złożenia wniosku, stąd spełnienie wymogów RODO w tym kontekście okazuje się sporym wyzwaniem.

Obserwacje i wnioski z badania nt RODO

W wyniku badania zaobserwowano, iż banki stosują różne, niejednolite metody realizacji obowiązku informacyjnego:

  • Bezpośrednio po nawiązaniu połączenia nowemu klientowi została przekazana skrócona wersja klauzuli informacyjnej poprzez IVR, zaś po jej usłyszeniu odbiorca został poinformowany o możliwości odsłuchania pełnej wersji, a następnie o możliwości jej ponownego odsłuchania; 
  • Skrócony obowiązek informacyjny został zrealizowany bezpośrednio po ustaleniu przedmiotu rozmowy i w trakcie pozyskiwania danych osobowych. Pełna wersja klauzuli informacyjnej nie została odczytana w trakcie rozmowy, nie przekazano również informacji o możliwości dostępu do pełnej informacji za pośrednictwem innego kanału. Z perspektywy konieczności spełnienia obowiązku informacyjnego „podczas pozyskiwania danych osobowych” (art. 13 ust. 1 RODO – tj. gdy dane osobowe są pobierane bezpośrednio od ich podmiotu) powyższe rozwiązanie jest optymalne, ryzykogenne może okazać się nieudostępnienie potencjalnemu klientowi pełnej wersji informacji;
  • W rozmowie telefonicznej z klientem obowiązek informacyjny nie był w ogóle zrealizowany. Klauzula informacyjna została przekazana w formie wiadomości przesyłanej na wskazany przez klienta adres e-mail – w trakcie rozmowy i uzupełniania wniosku, ale przed jego złożeniem w systemie banku. Rozwiązanie zapewnia właściwy moment przekazania tej informacji (wymagany przez art. 13 ust. 1 RODO), jak i realizację pełnego obowiązku informacyjnego, co więcej w formie, która umożliwi klientowi wrócenie do treści tej informacji w dowolnym momencie; 
  • Przekazanie informacji zostało zainicjowane przez nowego klienta. Po skierowaniu zapytania, klientowi została odczytana skrócona wersja informacji i wskazano w niej, że pełna treść znajduje się na stronie internetowej banku. Praktykę tę należy ocenić jako nierealizującą wymagań RODO, gdyż Grupa Robocza art. 29 postrzega obowiązek informacyjny jako zobowiązanie do aktywnego działania administratora oraz jako ciężar obciążający go niezależnie od tego, czy podmiot danych wyrazi żądanie lub chęć poznania tej informacji.

Komentarz do badania

Sposób realizacji obowiązku informacyjnego w wybranej grupie banków jest zróżnicowany. Dostrzegalna jest tendencja wspierania się środkami pomocniczymi takimi jak wysyłka mailowa, odesłania do strony internetowej lub przekazywanie klauzuli informacyjnej w systemie bankowości transakcyjnej (w stosunku do aktualnych klientów banków).

Katrzyna Barszczewska-Mazur, Associate, Deloitte Legal

Wyraźnie widać, iż administratorzy chętnie korzystają z wypracowanej przez Grupę Roboczą art. 29 koncepcji „warstwowego podejścia”, po które warto sięgnąć w szczególności, gdy podmiot danych kontaktuje się z administratorem kanałem komunikacji łączącym się z ograniczeniami (np. rozmowa przez infolinię). Pierwsza warstwa informacji służy wtedy wprowadzeniu odbiorcy i powinna dać mu jasny ogląd na zakres dostępnych informacji i miejsca, gdzie może znaleźć bardziej szczegółowe dane. Postawienie wyłącznie na metodę odczytania informacji na infolinii znacząco obniża czytelność komunikatu oraz poziom transparentności administratora w odniesieniu do konkretnego procesu. Warto włączyć do pełnego komunikatu odczytywanego na infolinii informację o tym, w jaki sposób odbiorca informacji może się z nią samodzielnie zapoznać, przykładowo poprzez odesłanie do zakładki na stronie internetowej i podyktowanie linku do niej (optymalne byłoby nadanie zakładce krótkiej i łatwej do zapamiętania nazwy, np. RODO lub dane osobowe).

Banki starają się więc wywiązywać z obciążającego administratorów obowiązku informacyjnego, choć przyjęte metody są różne i niepozbawione ryzyk prawnych. Zastrzeżenia do części z nich mógłby skierować nie tylko potencjalny klient, ale i organ nadzoru. Szczególnie dotyczy to przypadków, kiedy doradcy pomijają element rozmowy realizujący obowiązek informacyjny. Wydaje się więc, że z perspektywy administratora warto wprowadzić procedury zapewniające efektywną kontrolę rozmów i tego, czy doradcy przeprowadzają je zgodnie z ustalonym skryptem. Warto również uzgodnić i skonsultować z profesjonalnym podmiotem optymalny sposób realizacji obowiązku informacyjnego, aby dostosować go do obowiązujących przepisów prawa, swoich możliwości i potrzeb.

Czy ta strona była pomocna?