Az ügyfelek adatainak védelme – nem a GDPR alapján

A munkám során többször előfordul, hogy 3. (vagy 4., stb.) személyt kell bevonni egy-egy ügymenetbe. Vagy éppen nem “kell”, hanem egyszerre csak megjelenik egy addig ismeretlen fél a folyamatban.

Két példa, hogy érthető legyen, mire is gondolok:

  1. Az ügyfél oldaláról változás történik a személyi állományban: vagy mást jelölnek ki webes kapcsolattartónak és/vagy a régi kapcsolattartó elment a cégtől. És hirtelen valaki megkeres egy korábbi munkám kapcsán.
  2. Szükségem van olyan információra, amit pl. egy tárhelyszolgáltató (az ügyfélé) tud megadni számomra.

Az ügyfél-azonosítás fontossága

Véleményem szerint az a szolgáltató, aki ügyfél-azonosítás nélkül kiad bármilyen infót az ügyfélről, az nem jár el korrekt módon. Ez akkor is igaz, ha 99%-osan feltételezhető, hogy legális a megkeresés, amelyet ügyfél-azonosításra hivatkozva (annak megtörténtéig) elutasítok.

Ha pl. megkeres egy weboldallal kapcsolatban egy olyan személy, akit nem ismerek, akkor mindig azt szoktam kérni, hogy az eredeti kapcsolattartó írjon nekem egy e-mailt, amelyben megerősíti a személyét, és azt, hogy eljárhat a weboldal ügyében, illetve kiadhatok neki olyan adatokat, amelyekre igényt tart. Irreális kérés? Nem hinném! Ebben az esetben nem szoktam felfedni a kapcsolattartó kilétét sem. Miért tenném? Ha nem adathalásszal van dolgom, tudnia kell, kihez kell fordulnia.

Példa visszaélés-gyanús esetekre:

  • Felhív valaki, hogy xy cégnél dolgozik, és azért hív, mert én csináltam a weboldalt, és ez és ez (akár adat, akár módosítás, akár infó) kellene. Honnan kellene tudnom azonosítás nélkül, hogy valóban eljárhat-e az ügyben?
  • Megkeres valaki olyan e-mail címről, ami a weboldal domain neve is: és? Nem lehet egy már kirúgott, és bosszúra szomjas dolgozó, aki még hozzáfér a céges levelezéséhez?
  • Felhív az ügyfél felesége/férje (honnan kell tudom, hogy valóban az-e?), hogy a másik fél kérte meg, hogy hívjon: előbb az eredeti félnek kell jóváhagynia, hogy a párja eljárhat helyette. Ez nem így működik.
  • Telefonon hív olyan ügyfél, aki nem szokott. Ha gyanakszom, hogy nem az ügyféllel beszélek, szoktam kérni más azonosítási módot (e-mail és/vagy kiállított számlám sorszáma, stb.).

De a fent leírtakat visszafelé is betartom: Ha az ügyfél tárhelyszolgáltatójától kell információ, mindig arra kérem az ügyfelet, hogy írjon egy olyan e-mailt a tárhelyszolgáltatónak, amelyen én is címzett vagyok, és amely e-mailben leírja, hogy a felmerülő kérdéseimre válaszolhat a tárhelyszolgáltató. Erre azért van szükség, mert pusztán az “én vagyok az ügyfél webfejlesztője” típusú közvetlen megkeresésre nem fog nekem semmilyen adatot kiadni a tárhelyes. Ha mégis, azonnali tárhelyváltás szükségeltetik, ahol nem tud ezzel visszaélni pl. egy konkurens. Ha az e-mail elment az ügyfél részéről, onnantól kezdve nem kell egy közvetítő szerepét játszania, hiszen nélküle is le tudom levelezni a szolgáltatóval a technikai kérdéseket.

Nem kellemetlen ez? Nem felesleges “szívatás” ez?

De, néha irtó kellemetlen. De kevésbé, mintha én lennék a “gyenge láncszem” a gépezetben, amelyen keresztül mondjuk feltörik és kárt tesznek egy ügyfelem weboldalában. A két lépcsős azonosítás szívatás? Nem. Az is a biztonságunkat szolgálja.

Volt nemrég egy eset, ahol egy olyan informatikus keresett meg, aki az ügyfél cégénél dolgozott. Megkeresése tárgya az volt, hogy a weboldalra riasztást küldött a tárhelyszolgáltató, és ezzel kapcsolatban kellene segítség. Kértem, hogy azonosíttassa magát az ügyfél kapcsolattartójával, és akkor tudunk továbbhaladni (addig nem is kommunikáltam vele) a problémával. Elhiszem, hogy ez neki is kellemetlen, mert nem tud haladni a problémájával, de neki kell gondoskodnia arról, hogy tudjam ki ő, és nem fordítva.

3. fél megkeresése esetén szoktam írni az ügyfélnek is, hogy tudjon az esetről. Nem történt megerősítés. 5 nap múlva, amikor a tárhelyszolgáltató lekapcsolta a weboldalt, akkor került elő az ügyfél, hogy tényleg az ő embere keresett meg.

Az ilyen esetek tényleg kellemetlenek (és szerencsére nagyon ritkák), de azt gondolom, hogy elkerülhetőek lennének, ha az ügyfél részéről azonnal történne annyi erőfeszítés, hogy visszaír legalább annyit, hogy “az én emberem, válaszolhatsz neki”, vagy előre írna egy olyan üzenetet, hogy “xy keresni fog”. És nem akkor érdemes ezt megtenni, amikor már megtörtént a baj, mint a fenti esetben.

Mobilszolgáltatók

Többször előfordult már, hogy hívtak a mobilszolgáltatómtól, hogy feltennének pár kérdést. Néha látszik a hívó fél számából, hogy “biztosan” a mobilszolgáltatóé, hiszen annyira speciális, hogy “más nem lehet” (tekintsünk el attól, hogy lehet vásárolni speciális telefonszámokat, mint ahogy rendszámot is). Néha viszont olyan számról keresnek meg, ami “bárkié” (pl.: telefonbetyáré) lehet, semmilyen speciális nincs benne. Ilyenkor meg szoktam kérdezni: Honnan tudjam, hogy tényleg X mobiltársaságtól telefonál? Erre mindig hebegés-habogás a válasz, még nem volt olyan, aki tudta volna azonosítani magát. Bár volt már olyan, aki azt válaszolta, hogy hívjam vissza, ő fogja felvenni. Mondom neki: és? Ha engem is visszahív, itt is ugyanez a helyzet.

Hasonló eset volt már a bankommal is, ott ügyesebben megoldották a választ, tudták magukat hitelt érdemlően azonosítani.

Szólj hozzá!

A honlap cookie-kat használ. Részletek

A hatályos jogszabályok alapján kötelező tájékoztatni a látogatókat, hogy a weboldal ún. cookie-kat használ és tárol a számítógépén. Ha ezt nem szeretné, akkor a böngészője megfelelő beállításait használva tiltsa le a cookie-k tárolását, vagy zárja be a weboldalt. Mik azok a cookie-k? Hogyan tudja tiltani a tárolásukat? Hogyan kezelem a személyes adatokat? Mindenre választ ad a részletes adatvédelmi és cookie tájékoztatóm.

Bezárás