Obowiązkiem administratora danych jest zapewnienie takich środków ochrony danych osobowych, aby były skutecznie zabezpieczone przed:

• udostępnieniem osobom nieupoważnionym,
• zabraniem przez osobę nieuprawnioną,
• przetworzeniem z naruszeniem ustawy,
• zmianą, utratą, uszkodzeniem lub zniszczeniem.

Za niedostateczna ochronę danych osobowych RODO przewiduje wysokie kary.

Jedna z najczęstszych sytuacji związanych z informowaniem przez telefon dotyczy służby zdrowia. Dane dotyczące stanu zdrowia należą do tzw. danych wrażliwych i podlegają szczególnej ochronie.

W świetle obowiązującego prawa personel szpitala czy przychodni nie może przekazywać informacji o pacjencie przez telefon. Regulują to m.in. RODO i ustawa o prawach pacjenta i Rzeczniku Praw Pacjenta.

Co jednak zrobić w sytuacji, gdy nikt z osób bliskich pacjentowi nie może osobiście przyjść do szpitala, aby porozmawiać o jego stanie zdrowia z lekarzem? Nawet jeśli pacjent wcześniej wskazał osobę, z którą lekarz może porozmawiać, to i tak lekarz nie będzie pewien, czy przez telefon rozmawia z właściwą osobą.

Z tej sytuacji jest jednak pewne wyjście: lekarz może sam zadzwonić pod numer telefonu wskazany przez pacjenta. A co, gdy sprawa dotyczy sytuacji nagłej, np. wypadku, i bliscy pacjenta pytają o stan jego zdrowia, a nie zostali wcześniej zgłoszeni jako osoby uprawnione?

Dyskusja na ten temat rozgorzała w czerwcu tego roku, kiedy doszło do poważnego wypadku w okolicach Tenczyna na tzw. zakopiance, gdzie autobus wycieczkowy wiozący dzieci zderzył się z ciężarówką. Do kilku szpitali trafiły 34 osoby, głównie dzieci. Rodzice usiłowali się dowiedzieć przez telefon (co zrozumiałe, bo dzieci były z Warszawy), do którego szpitala trafiło ich dziecko oraz w jakim jest stanie. W większości placówek odmówiono im odpowiedzi, powołując się na przepisy RODO.

W sprawie wypowiadał się Maciej Kawecki, dyrektor Departamentu Zarządzania Danymi i koordynator prac nad reformą ochrony danych osobowych w Ministerstwie Cyfryzacji oraz Bartłomiej Chmielowiec, Rzecznik Praw Pacjenta.

– Pacjent ma prawo, by jego bliscy dowiedzieli się o jego stanie zdrowia, tj. rodzice w przypadku małoletnich czy upoważnione osoby w przypadku osób dorosłych. Najważniejsze jest zachowanie zdrowego rozsądku. Są sposoby, by uwiarygodnić tożsamość rozmówcy, można spytać o PESEL, datę urodzenia etc. –- stwierdził rzecznik praw pacjenta.

– Oczywiście nie może być tak, że telefonicznie uzyskujemy wszelkie informacje o pacjentach, ale możliwe jest zastosowanie metod uwierzytelniających osobę dzwoniącą jako rodzica. RODO nie jest zero jedynkowe  – zapewniał Maciej Kawecki.

Osobie, która złożyła oświadczenie o tym, że jest przedstawicielem ustawowym lub w inny sposób uwiarygodniła swoją tożsamość, na przykład przez podanie danych o swoim dziecku czy o osobie będącej pod jej opieką, takich jak numer PESEL, data urodzenia bądź drugie imię, powinna zostać udzielona informacja. W przypadku gdy pracownik szpitala uznałby podane informacje za niewystarczające do zweryfikowania tożsamości rozmówcy, powinien – ze względu na dobro pacjenta – udzielić jedynie informacji, czy taką osobę rzeczywiście przyjęto do szpitala.

Ustawa o działalności leczniczej przewiduje, że w razie pogorszenia się stanu zdrowia pacjenta placówka medyczna ma obowiązek niezwłocznego powiadomienia opiekuna ustawowego lub wskazanej przez pacjenta osoby. Wykonanie tego obowiązku niezwłocznie w praktyce oznaczaprzekazanie informacji telefonicznie.

Informacje o wynikach w nauce, o zachowaniu ucznia również należą do danych osobowych i muszą być chronione. Od chwili obowiązywania RODO pracownicy szkoły nie chcą udzielać informacji przez telefon, zasłaniając się restrykcyjnymi przepisami. Nie ma problemu tylko wtedy, gdy nauczyciel zna osobiście, w tym także poznaje po głosie rodzica ucznia, który chce zasięgnąć informacji przez telefon.

Sposoby zweryfikowania tożsamości osoby ubiegającej się o informacje są różne. Mogą to być pytania o datę urodzenia dziecka, imiona rodziców, nazwisko wychowawcy itp. W razie wątpliwości powinno się odmówić udzielenia informacji, ewentualnie podać informacje ogólne lub odesłać do opublikowanych np. na stronie internetowej szkoły.

Zdarzają się jednak nieprzewidziane sytuacje nagłe, wymagające pilnego, telefonicznego kontaktu rodzica ze szkołą lub szkoły z rodzicem. Na takie sytuacje szkoła powinna mieć przygotowane procedury postępowania. W sytuacjach kryzysowych dotyczących bezpieczeństwa lub zdrowia wystarczy przekazać przez telefon np. informacje o miejscu i rodzaju zdarzenia oraz gdzie aktualnie znajduje się dziecko.

Informacje o wysokości zarobków pracownika należą do jego danych osobowych. Starając się o kredyt w banku, często udziela się bankowi zgody na telefoniczne potwierdzenie danych u pracodawcy. Przedstawiciel banku telefonicznie prosi więc pracodawcę o potwierdzenie zatrudnienia danej osoby i potwierdzenie wysokości jej zarobków.

Czy pracodawcy wolno udzielać takich informacji? Teoretycznie telefoniczne weryfikowania informacji jest dopuszczalne pod warunkiem że pracodawca ma całkowitą pewność, że rozmawia z przedstawicielem banku. Jednak samo przyzwolenie pracownika na taką formę weryfikacji jego danych może się okazać niewystarczające. Prawo bankowe nie przewiduje bowiem telefonicznego pozyskiwania danych. Banki nie powinny zatem uzależniać przyznania kredytu od udzielenia/potwierdzenia informacji przez telefon.

Natomiast pracodawca musi pamiętać, że nie bank, lecz on jako administrator danych jest odpowiedzialny za ujawnienie osobie nieupoważnionej informacji o pracowniku. Może zatem poprosić pracownika banku, który chce potwierdzenia danych o imię, nazwisko i numer telefonu do niego, tj. nr telefonu na centralę, tak aby mógł oddzwonić, upewniwszy się, z kim ma do czynienia. W praktyce tylko nieliczni pracodawcy mają czas na taką weryfikację. Najbezpieczniejsza jest odpowiedź w formie pisemnej udzielona na pisemne zapytanie.

Wniosek banku powinien zawierać informacje umożliwiające wyszukanie w zbiorze żądanych danych osobowych oraz wskazywać ich zakres i przeznaczenie.

Bardzo częstym zjawiskiem jest telefoniczne pozyskiwanie informacji dotyczących wysokości opłat, zadłużeń czynszowych i wysokości salda za zajmowane lokale przez członków spółdzielni i użytkowników. Czy i w jaki sposób można ich udzielać?

Chcąc uniknąć ryzyka działania niezgodnego z prawem, pracownik spółdzielni powinien dołożyć wszelkich starań, aby wyeliminować wątpliwości dotyczące tożsamości osoby, której przekazuje dane i tego, czy ma ona prawo do ich otrzymania.

Tak jak we wszystkich wcześniej przedstawionych sytuacjach, tu również kluczową sprawą jest weryfikacja osoby, której ma być udzielona informacja. W przypadku spółdzielni może to być na przykład podanie przez pytającego indeksu lokalu oraz numeru PESEL ( jeśli takowy jest w bazie danych).

Podsumowując:

• Odpowiedzialność za ochronę danych osobowych, a zatem także za udzielanie informacji z w tym zakresie ponosi zawsze administrator danych.
• Informacje mogą być udzielane tylko osobie do tego uprawnionej.
• Udzielanie przez telefon informacji odnośnie danych osobowych jest w niektórych przypadkach możliwe, ale zawsze po spełnieniu podstawowego warunku, jakim jest zweryfikowanie tożsamości osoby pytającej.
• W przypadku jakiejkolwiek wątpliwości należy udzielić informacji o charakterze ogólnym lub wystąpić o pisemne zadanie pytania.