Ochrona danych a udzielanie informacji przez telefon

Przepisy RODO nie zabraniają wprost udzielania informacji przez telefon, zabraniają przekazywania ich w sytuacji, gdy istnieje ryzyko naruszenia bezpieczeństwa danych. Administrator danych jest odpowiedzialny za ich ochronę i to na nim spoczywa obowiązek należytego zabezpieczenia danych podczas ich przekazywania, tak aby nie dostały się w ręce osób nieuprawnionych. A zatem to administrator danych musi sobie odpowiedzieć na pytanie, czy udzielenie informacji przez telefon jest zabezpieczone przed takim ryzykiem. W artykule podpowiemy, jakie są najczęstsze sytuacje, w których udzielane bywają informacje przez telefon i jak ich bezpiecznie udzielać.

Obowiązkiem administratora danych jest zapewnienie takich środków ochrony danych osobowych, aby były skutecznie zabezpieczone przed:

  • udostępnieniem osobom nieupoważnionym,
  • zabraniem przez osobę nieuprawnioną,
  • przetworzeniem z naruszeniem ustawy,
  • zmianą, utratą, uszkodzeniem lub zniszczeniem.

Za niedostateczna ochronę danych osobowych RODO przewiduje wysokie kary.

Problem uznania numeru telefonu jako jednej z danych osobowych wcale nie jest taki błahy, jak mogłoby się wydawać. Co więcej twierdząca odpowiedź na to pytanie wiąże się z objęciem ochroną i nałożeniem na podmioty przetwarzających numery telefonów szeregu obowiązków.

W artykule przedstawiono stanowiska wyrażone w orzecznictwie, przez Generalnego Inspektora Ochrony Danych Osobowych oraz przedstawicieli nauki prawa. 

Co to są dane osobowe?

Ustawodawca zdefiniował  dane osobowe jako wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.  

Ponadto ustawodawca określił, że osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio. Podał on także przykłady informacji umożliwiających identyfikację osoby – są nimi, w szczególności, numer identyfikacyjny, np. numer powszechnego elektronicznego systemu ewidencji ludności (PESEL); numer identyfikacji podatkowej (NIP), a także numer dokumentu tożsamości (dowodu osobistego oraz paszportu) albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne (np. m.in.: wygląd zewnętrzny, wzór siatkówki oka) , fizjologiczne (np. m.in. struktura kodu genetycznego, grupa krwi), ekonomiczne (np. status majątkowy), umysłowe, kulturowe lub społeczne (np. poglądy polityczne, przekonania religijne lub filozoficzne oraz przynależność wyznaniowa, partyjna lub związkowa). Pamiętać trzeba, że wskazane wyżej informacje są tylko przykładami. Ponadto informacją umożliwiającą określenie tożsamości osoby, jest taka informacja, która nie wymaga przy tym nadmiernych kosztów, czasu lub działań.

Informacje o stanie zdrowia

Jedna z najczęstszych sytuacji związanych z informowaniem przez telefon dotyczy służby zdrowia. Dane dotyczące stanu zdrowia należą do tzw. danych wrażliwych i podlegają szczególnej ochronie.

W świetle obowiązującego prawa personel szpitala czy przychodni nie może przekazywać informacji o pacjencie przez telefon. Regulują to m.in. RODO i ustawa o prawach pacjenta i Rzeczniku Praw Pacjenta.

Co jednak zrobić w sytuacji, gdy nikt z osób bliskich pacjentowi nie może osobiście przyjść do szpitala, aby porozmawiać o jego stanie zdrowia z lekarzem? Nawet jeśli pacjent wcześniej wskazał osobę, z którą lekarz może porozmawiać, to i tak lekarz nie będzie pewien, czy przez telefon rozmawia z właściwą osobą.

Z tej sytuacji jest jednak pewne wyjście: lekarz może sam zadzwonić pod numer telefonu wskazany przez pacjenta. A co, gdy sprawa dotyczy sytuacji nagłej, np. wypadku, i bliscy pacjenta pytają o stan jego zdrowia, a nie zostali wcześniej zgłoszeni jako osoby uprawnione?

W nagłych przypadkach

Dyskusja na ten temat rozgorzała w czerwcu tego roku, kiedy doszło do poważnego wypadku w okolicach Tenczyna na tzw. zakopiance, gdzie autobus wycieczkowy wiozący dzieci zderzył się z ciężarówką. Do kilku szpitali trafiły 34 osoby, głównie dzieci. Rodzice usiłowali się dowiedzieć przez telefon (co zrozumiałe, bo dzieci były z Warszawy), do którego szpitala trafiło ich dziecko oraz w jakim jest stanie. W większości placówek odmówiono im odpowiedzi, powołując się na przepisy RODO.

W sprawie wypowiadał się Maciej Kawecki, dyrektor Departamentu Zarządzania Danymi i koordynator prac nad reformą ochrony danych osobowych w Ministerstwie Cyfryzacji oraz Bartłomiej Chmielowiec, Rzecznik Praw Pacjenta.

– Pacjent ma prawo, by jego bliscy dowiedzieli się o jego stanie zdrowia, tj. rodzice w przypadku małoletnich czy upoważnione osoby w przypadku osób dorosłych. Najważniejsze jest zachowanie zdrowego rozsądku. Są sposoby, by uwiarygodnić tożsamość rozmówcy, można spytać o PESEL, datę urodzenia etc. –- stwierdził rzecznik praw pacjenta.

– Oczywiście nie może być tak, że telefonicznie uzyskujemy wszelkie informacje o pacjentach, ale możliwe jest zastosowanie metod uwierzytelniających osobę dzwoniącą jako rodzica. RODO nie jest zero jedynkowe  – zapewniał Maciej Kawecki.

UwagaArtykuł 9 RODO  zezwala na przetwarzanie danych osobowych, gdy jest to niezbędne dla ochrony żywotnych interesów osoby, której dotyczą, lub osoby, która nie może wyrazić zgody na ich przetwarzanie. Warunkiem podstawowym  jest weryfikacja tożsamości dzwoniącej osoby.

Osobie, która złożyła oświadczenie o tym, że jest przedstawicielem ustawowym lub w inny sposób uwiarygodniła swoją tożsamość, na przykład przez podanie danych o swoim dziecku czy o osobie będącej pod jej opieką, takich jak numer PESEL, data urodzenia bądź drugie imię, powinna zostać udzielona informacja. W przypadku gdy pracownik szpitala uznałby podane informacje za niewystarczające do zweryfikowania tożsamości rozmówcy, powinien – ze względu na dobro pacjenta – udzielić jedynie informacji, czy taką osobę rzeczywiście przyjęto do szpitala.

UwagaJeżeli rozmowy w placówce medycznej są nagrywane, tak przeprowadzona weryfikacja zabezpiecza administratora danych osobowych w zakresie dołożenia należytej staranności przy weryfikacji osoby dzwoniącej.  Jeśli placówka nie rejestruje rozmów, pracownik szpitala powinien sporządzić notatkę służbową o przebiegu rozmowy.

W razie drastycznego pogorszenia się stanu zdrowia

Ustawa o działalności leczniczej przewiduje, że w razie pogorszenia się stanu zdrowia pacjenta placówka medyczna ma obowiązek niezwłocznego powiadomienia opiekuna ustawowego lub wskazanej przez pacjenta osoby. Wykonanie tego obowiązku niezwłocznie w praktyce oznaczaprzekazanie informacji telefonicznie.

Informacje o uczniu

Informacje o wynikach w nauce, o zachowaniu ucznia również należą do danych osobowych i muszą być chronione. Od chwili obowiązywania RODO pracownicy szkoły nie chcą udzielać informacji przez telefon, zasłaniając się restrykcyjnymi przepisami. Nie ma problemu tylko wtedy, gdy nauczyciel zna osobiście, w tym także poznaje po głosie rodzica ucznia, który chce zasięgnąć informacji przez telefon.

UwagaTylko wtedy, gdy jest pewien, z kim rozmawia, nauczyciel czy dyrektor szkoły może udzielić informacji o uczniu. W przeciwnym wypadku istnieje ryzyko, że udostępni dane osobie nieupoważnionej, co stanowi naruszenie przepisów o ochronie danych osobowych.

Sposoby zweryfikowania tożsamości osoby ubiegającej się o informacje są różne. Mogą to być pytania o datę urodzenia dziecka, imiona rodziców, nazwisko wychowawcy itp. W razie wątpliwości powinno się odmówić udzielenia informacji, ewentualnie podać informacje ogólne lub odesłać do opublikowanych np. na stronie internetowej szkoły.

W sytuacjach nagłych

Zdarzają się jednak nieprzewidziane sytuacje nagłe, wymagające pilnego, telefonicznego kontaktu rodzica ze szkołą lub szkoły z rodzicem. Na takie sytuacje szkoła powinna mieć przygotowane procedury postępowania. W sytuacjach kryzysowych dotyczących bezpieczeństwa lub zdrowia wystarczy przekazać przez telefon np. informacje o miejscu i rodzaju zdarzenia oraz gdzie aktualnie znajduje się dziecko.

Informacje o pracowniku

Informacje o wysokości zarobków pracownika należą do jego danych osobowych. Starając się o kredyt w banku, często udziela się bankowi zgody na telefoniczne potwierdzenie danych u pracodawcy. Przedstawiciel banku telefonicznie prosi więc pracodawcę o potwierdzenie zatrudnienia danej osoby i potwierdzenie wysokości jej zarobków.

Czy pracodawcy wolno udzielać takich informacji? Teoretycznie telefoniczne weryfikowania informacji jest dopuszczalne pod warunkiem że pracodawca ma całkowitą pewność, że rozmawia z przedstawicielem banku. Jednak samo przyzwolenie pracownika na taką formę weryfikacji jego danych może się okazać niewystarczające. Prawo bankowe nie przewiduje bowiem telefonicznego pozyskiwania danych. Banki nie powinny zatem uzależniać przyznania kredytu od udzielenia/potwierdzenia informacji przez telefon.

Natomiast pracodawca musi pamiętać, że nie bank, lecz on jako administrator danych jest odpowiedzialny za ujawnienie osobie nieupoważnionej informacji o pracowniku. Może zatem poprosić pracownika banku, który chce potwierdzenia danych o imię, nazwisko i numer telefonu do niego, tj. nr telefonu na centralę, tak aby mógł oddzwonić, upewniwszy się, z kim ma do czynienia. W praktyce tylko nieliczni pracodawcy mają czas na taką weryfikację. Najbezpieczniejsza jest odpowiedź w formie pisemnej udzielona na pisemne zapytanie.

UwagaW przypadku prośby banku o potwierdzenia danych pracownika najbezpieczniejsze dla pracodawcy jest udzielenie informacji w formie pisemnej w odpowiedzi na pisemny, umotywowany wniosek banku.

Wniosek banku powinien zawierać informacje umożliwiające wyszukanie w zbiorze żądanych danych osobowych oraz wskazywać ich zakres i przeznaczenie.

Pracodawco pamiętaj!

Za nieprawidłowe przetwarzanie danych osobowych swoich pracowników, w tym za udostępnianie informacji o ich wynagrodzeniu osobom nieupoważnionym, ponosisz odpowiedzialność cywilną i karną. Pracownik, którego danymi osobowymi zadysponowałeś niezgodnie z prawem, może żądać od ciebie odszkodowania zgodnie z przepisami RODO, Kodeksu pracy i Kodeksu cywilnego.

Informacja o członkach spółdzielni

Bardzo częstym zjawiskiem jest telefoniczne pozyskiwanie informacji dotyczących wysokości opłat, zadłużeń czynszowych i wysokości salda za zajmowane lokale przez członków spółdzielni i użytkowników. Czy i w jaki sposób można ich udzielać?

Chcąc uniknąć ryzyka działania niezgodnego z prawem, pracownik spółdzielni powinien dołożyć wszelkich starań, aby wyeliminować wątpliwości dotyczące tożsamości osoby, której przekazuje dane i tego, czy ma ona prawo do ich otrzymania.

Tak jak we wszystkich wcześniej przedstawionych sytuacjach, tu również kluczową sprawą jest weryfikacja osoby, której ma być udzielona informacja. W przypadku spółdzielni może to być na przykład podanie przez pytającego indeksu lokalu oraz numeru PESEL ( jeśli takowy jest w bazie danych).

Podsumowując:

  • Odpowiedzialność za ochronę danych osobowych, a zatem także za udzielanie informacji z w tym zakresie ponosi zawsze administrator danych.
  • Informacje mogą być udzielane tylko osobie do tego uprawnionej.
  • Udzielanie przez telefon informacji odnośnie danych osobowych jest w niektórych przypadkach możliwe, ale zawsze po spełnieniu podstawowego warunku, jakim jest zweryfikowanie tożsamości osoby pytającej.
  • W przypadku jakiejkolwiek wątpliwości należy udzielić informacji o charakterze ogólnym lub wystąpić o pisemne zadanie pytania.
Podstawa prawna: 

rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

źródło odo.wip.pl