RODO a asystenci telefoniczni AI: co muszą wiedzieć polskie firmy

Praktyczny przewodnik po zgodności z RODO przy korzystaniu z asystentów telefonicznych AI. Obejmuje zbieranie danych, podstawy prawne, przechowywanie, prawa dzwoniących i na co zwracać uwagę przy wyborze dostawcy.

RODO a asystenci telefoniczni AI: co muszą wiedzieć polskie firmy Poradniki
David Schemm David Schemm

Jeśli prowadzisz firmę i rozważasz wdrożenie asystenta telefonicznego AI, ochrona danych osobowych powinna znaleźć się na Twojej liście kwestii do rozważenia. I słusznie. Polska, jako członek Unii Europejskiej, podlega regulacjom RODO, a Urząd Ochrony Danych Osobowych aktywnie egzekwuje te przepisy. Nieprawidłowe postępowanie z danymi może oznaczać kary finansowe, skargi do UODO lub po prostu utratę zaufania klientów, którzy oczekują, że ich dane będą właściwie chronione.

Jednak zgodność z RODO w przypadku asystenta telefonicznego AI nie jest tak skomplikowana, jak mogłoby się wydawać. Nie potrzebujesz dyplomu prawniczego. Musisz rozumieć, jakie dane są zbierane, na jakiej podstawie prawnej odbywa się to przetwarzanie, jak długo dane są przechowywane i jakie prawa przysługują Twoim dzwoniącym. Ten przewodnik omawia wszystkie cztery kwestie.

Zastrzeżenie: Ten artykuł zawiera ogólne informacje na temat RODO w kontekście asystentów telefonicznych AI. Nie stanowi porady prawnej. W przypadku konkretnych pytań dotyczących zgodności skonsultuj się z wykwalifikowanym prawnikiem ds. ochrony danych lub Inspektorem Ochrony Danych w Twojej firmie.

Jakie dane zbiera asystent telefoniczny AI?

Gdy ktoś dzwoni do Twojej firmy i połączenie odbiera asystent AI, przetwarzanych jest kilka rodzajów danych:

1. Numer telefonu dzwoniącego. Numer jest przesyłany automatycznie przez identyfikację dzwoniącego. Jest to dane osobowe w rozumieniu RODO, ponieważ numer telefonu może identyfikować osobę fizyczną, bezpośrednio lub w połączeniu z innymi informacjami.

2. Nagranie głosowe rozmowy. AI musi przetwarzać mowę w czasie rzeczywistym, aby zrozumieć, co mówi dzwoniący, i odpowiedzieć. Większość asystentów telefonicznych AI przechowuje nagranie, przynajmniej tymczasowo, w celu wygenerowania transkrypcji i podsumowania.

3. Transkrypcja rozmowy. Wypowiedziane słowa są zamieniane na tekst. Transkrypcja często zawiera dane osobowe: imię i nazwisko dzwoniącego, powód kontaktu, prośby o umówienie wizyty, dane kontaktowe podane dobrowolnie.

4. Metadane połączenia. Czas i data połączenia, czas trwania, czy połączenie zostało zakończone czy przerwane. Te dane są mniej wrażliwe, ale nadal podlegają RODO.

5. Dane pochodne. AI generuje podsumowanie, wyodrębnia zadania do wykonania i może kategoryzować połączenie (nowy potencjalny klient, obecny klient, reklamacja). Te wyniki również stanowią przetwarzanie danych osobowych, ponieważ opierają się na informacjach od dzwoniącego.

Jest to porównywalne z tym, co dzieje się, gdy połączenie odbiera ludzki recepcjonista: słyszy dzwoniącego, robi notatki i przekazuje wiadomość. Różnica polega na tym, że w przypadku AI przetwarzanie jest zautomatyzowane, co uruchamia dodatkowe wymogi RODO (w szczególności art. 22 dotyczący zautomatyzowanego podejmowania decyzji, choć większość asystentów telefonicznych AI nie wchodzi w zakres tego artykułu, ponieważ nie podejmuje decyzji wywołujących skutki prawne).

Podstawa prawna: dlaczego to przetwarzanie jest dozwolone

Zgodnie z RODO potrzebujesz podstawy prawnej do przetwarzania danych osobowych. W przypadku asystentów telefonicznych AI dwie podstawy są najbardziej istotne:

Prawnie uzasadniony interes (art. 6 ust. 1 lit. f)

To najczęstsza podstawa prawna dla biznesowych połączeń telefonicznych. Twój prawnie uzasadniony interes to: prowadzenie firmy, obsługa klientów i nieprzegapianie ważnych połączeń. Odbieranie telefonu i rejestrowanie treści zapytań biznesowych to normalna, oczekiwana część działalności handlowej.

Aby prawnie uzasadniony interes miał zastosowanie, musisz przeprowadzić test równowagi: Twój interes w przetwarzaniu danych musi przeważać nad interesami prywatności dzwoniącego. W kontekście rozmowy biznesowej ta równowaga zazwyczaj przemawia na korzyść firmy, ponieważ:

  • Dzwoniący zainicjował połączenie dobrowolnie.
  • Dzwoniący oczekuje, że jego wiadomość zostanie odebrana i potraktowana odpowiednio.
  • Zbierane dane ograniczają się do tego, co jest niezbędne do obsłużenia zapytania.
  • Dzwoniący może racjonalnie oczekiwać, że firma wykorzystuje technologię do zarządzania połączeniami.

Powinieneś udokumentować ten test równowagi (wystarczy jednostronicowa ocena) i przechowywać go w dokumentacji.

Zgoda (art. 6 ust. 1 lit. a)

Niektóre firmy decydują się poinformować dzwoniących na początku rozmowy, że połączenie odbiera asystent AI i że rozmowa będzie nagrywana. Jeśli dzwoniący kontynuuje rozmowę po usłyszeniu tego komunikatu, może to stanowić zgodę dorozumianą, choć siła prawna zgody dorozumianej w porównaniu ze zgodą wyraźną jest przedmiotem dyskusji.

Bezpieczniejsze podejście: połącz krótki komunikat na początku rozmowy (“To połączenie jest obsługiwane przez asystenta AI i może być nagrywane w celach obsługi klienta”) z prawnie uzasadnionym interesem jako główną podstawą prawną. W ten sposób masz transparentność (której RODO wymaga niezależnie od podstawy prawnej) plus solidne uzasadnienie prawne.

Ważne: Jeśli nagrywasz rozmowy, a Twoja firma działa w Polsce, pamiętaj, że nagrywanie rozmowy telefonicznej bez jakiejkolwiek formy powiadomienia może naruszać przepisy Kodeksu karnego dotyczące nagrywania wypowiedzi bez zgody. Komunikat na początku rozmowy odpowiada zarówno na wymogi transparentności RODO, jak i na te przepisy karne.

Przechowywanie danych: gdzie, jak długo i w jaki sposób

Trzy pytania mają tutaj znaczenie:

Gdzie przechowywane są dane?

RODO wymaga, aby dane osobowe były przechowywane na terenie UE/EOG, w kraju zapewniającym odpowiedni poziom ochrony lub z zastosowaniem odpowiednich zabezpieczeń (takich jak Standardowe Klauzule Umowne) w przypadku transferu poza UE.

Dla polskich firm najprostszą i najbezpieczniejszą opcją jest dostawca, który przechowuje dane na serwerach w Niemczech lub UE. Pozwala to uniknąć złożoności międzynarodowych transferów danych.

Jeśli dostawca Twojego asystenta telefonicznego AI przechowuje dane na serwerach w USA, musisz zweryfikować, czy wdrożone zostały odpowiednie mechanizmy transferu. Od wejścia w życie unijno-amerykańskiego Systemu Ochrony Danych Osobowych (Data Privacy Framework) w lipcu 2023 roku transfery do certyfikowanych firm amerykańskich są dopuszczalne, ale ten mechanizm może zostać zakwestionowany (jak jego poprzednicy).

Jak długo dane powinny być przechowywane?

Zasada ograniczenia przechowywania RODO (art. 5 ust. 1 lit. e) stanowi, że dane osobowe powinny być przechowywane tylko tak długo, jak jest to niezbędne do realizacji celu, w jakim zostały zebrane.

Dla nagrań i transkrypcji rozmów rozsądne okresy przechowywania to:

  • Podsumowania i transkrypcje rozmów: 6-12 miesięcy, dostosowane do potrzeb biznesowych (okres kontaktu z potencjalnymi klientami, okresy gwarancyjne dla połączeń serwisowych itp.)
  • Surowe nagrania audio: Krótsze, często 30-90 dni. Po wygenerowaniu transkrypcji i podsumowania nagranie audio spełniło swój cel.
  • Metadane połączeń: Mogą być przechowywane dłużej na potrzeby analityki biznesowej, ponieważ są mniej wrażliwe pod kątem prywatności.

Udokumentuj okresy przechowywania w swojej dokumentacji przetwarzania danych i skonfiguruj asystenta telefonicznego AI, aby automatycznie usuwał dane po upływie tych okresów.

W jaki sposób dane są chronione?

Twój dostawca powinien oferować co najmniej:

  • Szyfrowanie w trakcie przesyłania (TLS) i w spoczynku (AES-256 lub równoważne)
  • Kontrolę dostępu (tylko upoważnieni pracownicy mogą uzyskać dostęp do danych rozmów)
  • Regularne audyty bezpieczeństwa lub certyfikacje (ISO 27001, SOC 2)
  • Udokumentowany proces reagowania na incydenty

Prawa dzwoniących

Zgodnie z RODO dzwoniący, których dane przetwarzasz, mają określone prawa. Musisz być przygotowany na ich realizację:

Prawo dostępu (art. 15): Dzwoniący może zażądać informacji o tym, jakie dane o nim posiadasz. Musisz odpowiedzieć w ciągu jednego miesiąca.

Prawo do usunięcia danych (art. 17): Dzwoniący może poprosić o usunięcie swoich danych. Jeśli nie istnieje nadrzędny obowiązek prawny ich przechowywania (np. wymogi podatkowe), musisz spełnić to żądanie.

Prawo do sprostowania (art. 16): Jeśli transkrypcja zawiera błędy (błędnie zapisane nazwisko, nieprawidłowy numer telefonu), dzwoniący może zażądać korekty.

Prawo do sprzeciwu (art. 21): Jeśli przetwarzasz dane na podstawie prawnie uzasadnionego interesu, dzwoniący mogą sprzeciwić się przetwarzaniu. Musisz wtedy wykazać istotne prawnie uzasadnione podstawy lub zaprzestać przetwarzania.

Prawo do informacji (art. 13/14): Dzwoniący muszą zostać poinformowani o tym, kto przetwarza ich dane, w jakim celu i jak długo są przechowywane. W praktyce można to zrealizować poprzez informację o ochronie prywatności na stronie internetowej oraz krótki komunikat na początku rozmowy.

W praktyce żądania na podstawie tych praw w odniesieniu do połączeń telefonicznych są rzadkie. Powinieneś jednak mieć wdrożony proces: adres e-mail, na który dzwoniący mogą składać żądania, oraz procedurę ich obsługi w 30-dniowym terminie.

Na co zwracać uwagę u dostawcy

Nie wszyscy dostawcy asystentów telefonicznych AI traktują ochronę danych równie poważnie. Oto lista kontrolna:

Umowa powierzenia przetwarzania danych. Zgodnie z art. 28 RODO potrzebujesz pisemnej umowy z każdym dostawcą, który przetwarza dane osobowe w Twoim imieniu. To jest bezwzględne. Umowa powinna określać, jakie dane są przetwarzane, jak długo są przechowywane, jakie środki bezpieczeństwa są wdrożone i co dzieje się z danymi po zakończeniu współpracy.

Lokalizacja serwerów. Niemcy > UE > kraj z decyzją o adekwatności > reszta świata. Każdy krok dalej od UE dodaje złożoności i ryzyka.

Podwykonawcy przetwarzania. Twój dostawca prawdopodobnie korzysta z podwykonawców (dostawcy hostingu w chmurze, API rozpoznawania mowy itp.). Poproś o ich listę. Sprawdź, gdzie ci podwykonawcy przechowują dane. Asystent AI z siedzibą w Niemczech, który wysyła nagrania rozmów do amerykańskiego API rozpoznawania mowy, może nie być tak zgodny z RODO, jak się wydaje.

Usuwanie danych. Czy możesz samodzielnie usunąć dane rozmów? Czy istnieje automatyczne usuwanie po konfigurowalnym okresie przechowywania? Co dzieje się z kopiami zapasowymi?

Transparentność. Czy dostawca jasno wyjaśnia, jakie dane zbiera, jak je wykorzystuje i czy używa Twoich danych do trenowania swoich modeli AI? Niektórzy dostawcy wykorzystują dane rozmów klientów do doskonalenia swojego AI. To osobny cel przetwarzania, który wymaga własnej podstawy prawnej.

Certyfikacje. ISO 27001, SOC 2 lub równoważne certyfikaty bezpieczeństwa sygnalizują, że dostawca traktuje bezpieczeństwo danych poważnie. Nie są wymagane przez RODO, ale dają pewność.

Szersze porównanie dostawców asystentów telefonicznych AI i ich funkcji znajdziesz na naszej stronie porównawczej.

Jak Safina podchodzi do RODO

Skoro to blog Safina, bądźmy transparentni co do naszego podejścia:

  • Made in Germany. Safina jest tworzona przez niemiecką firmę podlegającą niemieckim przepisom o ochronie danych.
  • Serwery w Niemczech. Wszystkie dane są przechowywane na serwerach w Niemczech. Brak transatlantyckich transferów danych przy przetwarzaniu rozmów.
  • Umowa powierzenia przetwarzania danych. Udostępniamy umowę powierzenia wszystkim klientom biznesowym, zgodnie z wymogami art. 28 RODO.
  • Konfigurowalne okresy przechowywania. Kontrolujesz, jak długo dane rozmów są przechowywane i możesz usunąć pojedyncze rozmowy lub wszystkie dane w dowolnym momencie.
  • Informacja o AI. Safina może być skonfigurowana tak, aby informować dzwoniących, że rozmawiają z asystentem AI, co odpowiada zarówno na wymogi transparentności RODO, jak i przepisy prawa telekomunikacyjnego.
  • Szyfrowanie. Wszystkie dane są szyfrowane podczas przesyłania i w spoczynku.
  • Brak trenowania na Twoich danych. Twoje dane rozmów nie są wykorzystywane do trenowania naszych modeli AI.

To nie są po prostu funkcje. To minimalne wymagania dla prowadzenia usługi AI zgodnej z RODO. Jeśli Twój dostawca nie spełnia tych warunków, to sygnał ostrzegawczy.

Praktyczne kroki dla Twojej firmy

Oto, co zrobić przed aktywacją asystenta telefonicznego AI:

  1. Podpisz umowę powierzenia przetwarzania danych. Przed uruchomieniem zawrzyj umowę z dostawcą. Bez wyjątków.
  2. Zaktualizuj politykę prywatności. Dodaj sekcję o obsłudze połączeń wspomaganej przez AI do polityki prywatności na swojej stronie internetowej. Wskaż cel, podstawę prawną, okres przechowywania i prawa dzwoniących.
  3. Włącz komunikat informacyjny. Skonfiguruj asystenta AI, aby informował dzwoniących na początku rozmowy. Wystarczy proste “To połączenie jest obsługiwane przez asystenta AI i może być nagrywane”.
  4. Ustaw okresy przechowywania. Skonfiguruj automatyczne usuwanie nagrań (30-90 dni) oraz transkrypcji i podsumowań (6-12 miesięcy).
  5. Udokumentuj ocenę prawnie uzasadnionego interesu. Napisz krótki dokument wyjaśniający, dlaczego korzystasz z asystenta telefonicznego AI, jakie dane zbiera i dlaczego Twój interes biznesowy przeważa nad wpływem na prywatność.
  6. Stwórz procedurę obsługi żądań osób, których dane dotyczą. Wyznacz adres e-mail (np. dane@twojafirma.pl), na który dzwoniący mogą składać żądania dostępu, sprostowania lub usunięcia swoich danych.

Żaden z tych kroków nie zajmuje więcej niż godzinę. A po ich wykonaniu działasz zgodnie z przepisami.

Podsumowanie

Zgodność z RODO nie jest powodem, aby unikać asystentów telefonicznych AI. To powód, aby wybrać właściwego dostawcę. Dostawca z siedzibą w Niemczech, z serwerami w Niemczech, prawidłową umową powierzenia przetwarzania danych i transparentnymi praktykami w zakresie danych zapewnia taki sam poziom zgodności jak każdy inny podmiot przetwarzający, z którym już współpracujesz (dostawca poczty e-mail, CRM, przechowywanie w chmurze).

Firmy, które mają problemy z RODO, to zazwyczaj nie te, które dokładnie przemyślały swoje praktyki w zakresie danych. To te, które w ogóle o tym nie pomyślały.

Jeśli chcesz poznać, jak Safina może działać w Twojej firmie, sprawdź nasze rozwiązania do automatycznego odbierania połączeń lub zobacz, jak wypadamy na tle innych dostawców. A jeśli masz konkretne pytania dotyczące ochrony danych, nasza strona integracji opisuje, jak Safina łączy się z Twoimi istniejącymi narzędziami przy zachowaniu zgodności z RODO.

9:41

Safina obsłużyła w tym tygodniu 51 połączeń

46

Zaufane

4

Podejrzane

1

Niebezpieczne

Ostatnie 7 dni
Filter
EM
Emma Martin 67s 15:30

Chce omówić ofertę na nową kampanię i ma pytania dotyczące harmonogramu.

KN
Katarzyna Nowak 54s 14:45

Pyta o status zamówienia i termin dostawy.

TW
Tomasz Wiśniewski 34s 13:10

Umówienie spotkania w sprawie projektu na przyszły tydzień.

Nieznany 44s 11:30

Obietnica wygranej — prawdopodobnie spam.

MW
Magdalena Wójcik 10s 09:15

Reklamacja ostatniego zamówienia, prosi o oddzwonienie.

PZ
Piotr Zieliński 95s 13 gru

Chce omówić potencjalną współpracę.

AR
Anna Rutkowska 85s 13 gru

Jest Twoją koleżanką i chce porozmawiać o projekcie.

JK
Jakub Krawczyk 42s 12 gru

Pyta o dostępne terminy na przyszły tydzień.

LB
Lena Bąk 68s 12 gru

Ma pytania dotyczące faktury i prosi o wyjaśnienie.

Połączenia
Safina
Kontakty
Profil
9:41
Połączenie od Emmy Martin
12 gru
11:30
67s

Chce omówić ofertę na nową kampanię i ma pytania dotyczące harmonogramu.

Kluczowe punkty

  • Oddzwonić do Emmy Martin
  • Wyjaśnić pytania o harmonogram i warunki cenowe
Oddzwoń
Edytuj kontakt

Wgląd AI

Nastrój rozmówcy Bardzo dobry

Rozmówca był współpracujący i przekazał potrzebne informacje.

Pilność Niski

Rozmówca może poczekać na odpowiedź.

Audio i transkrypcja

0:16

Dzień dobry, tu Safina AI, cyfrowy asystent Piotra. W czym mogę pomóc?

Dzień dobry Safina, tu Emma Martin. Chciałam porozmawiać o ofercie i harmonogramie.

Dziękuję, Emmo. Czy przy wdrożeniu rozważają Państwo głównie pakiet Standard czy Pro?

Dokładnie. Potrzebujemy pakietu Pro i chcielibyśmy wystartować w przyszłym miesiącu, jeśli onboarding będzie możliwy w pierwszym tygodniu.

Pożegnaj się ze staromodną pocztą głosową.

Wypróbuj Safina za darmo i zacznij inteligentnie zarządzać swoimi połączeniami.

Wypróbuj za darmo