Muszę Pana zweryfikować…

przez | 13 lipca 2020

W związku z COVID-19 wiele instytucji ograniczyło bezpośrednią obsługę interesantów. Urzędy, szkoły, banki, administracja osiedla, ZUS zachęcały do kontaktu telefonicznego zamiast osobistego. W ten sposób wykorzystywany od dawna kanał komunikacji nabrał w czasach pandemii szczególnego znaczenia.

Dość często na szkoleniach spotykam się z pytaniem, czy przez telefon można ujawniać dane osobowe. Niektórzy uważają, że nic się nie zmieniło, inni z kolei, że „nie, bo przecież jest RODO” i obowiązuje powszechny zakaz ujawniania danych osobowych. Na przepisy RODO powołano się odmawiając udzielenia informacji rodzicom, którzy obdzwaniali szpitale w poszukiwaniu własnego dziecka po wypadku autokaru.

Zacznijmy od kwestii nie budzącej wątpliwości: Przepisy RODO są zbyt ogólne i nie wskazują zabronionych czy dopuszczonych, bezpiecznych czy niebezpiecznych kanałów komunikacji. List, e-mail, telefon, fax – każdy sposób przekazywania informacji niesie jakieś ryzyko, którego trzeba być świadomym i które należy zminimalizować. Natomiast przepisy o ochronie danych osobowych mówią jasno: dane można ujawnić tylko osobie uprawnionej. Dobrze, ktoś powie: osobie uprawnionej czyli komu? Kto to jest ten uprawniony? Otóż w dużym uproszczeniu jest to osoba lub instytucja, której przepisy prawa pozwalają na uzyskanie dostępu do tych danych. Oto kilka przykładów:

  • każdy ma dostęp do danych dotyczących siebie, każdy może zapytać jakie dane w jakim zakresie są gromadzone czy przetwarzane, czy w jaki sposób zostały pozyskane;
  • rodzic jako przedstawiciel ustawowy ma dostęp do danych dziecka niepełnoletniego, np. w szkole, szpitalu czy urzędzie;
  • policja czy sąd ma prawo dostępu do danych dotyczących każdej osoby;
  • podczas rekrutacji przyszły pracodawca ma dostęp do danych osobowych kandydatów do pracy, ale tylko w zakresie przewidzianym przepisami prawa (przyszły pracodawca nie może np. zapytać kandydata do pracy o poglądy polityczne czy przekonania religijne);
  • pracodawca ma dostęp do danych osobowych każdego własnego pracownika, ale w zakresie przewidzianym przez przepisy prawa (to znaczy, że pracodawca nie wszystkie dane na temat pracownika może zbierać i gromadzić);
  • szkoła może udzielić informacji babci o ocenach wnuczka tylko w sytuacji gdyby babcia była opiekunem prawnym tego dziecka.

Osobną kwestią jest zgoda. Zgoda też daje uprawnienie dostępu do danych, np.:

  • wychowawca klasy zgodził się na przekazanie numeru prywatnego telefonu rodzicom dzieci swojej klasy (nauczyciel wyraził zgodę) – wówczas osobami uprawnionymi są wybrani rodzice, ale nie wszyscy;
  • kandydat do pracy składając CV udostępnił więcej danych dotyczących swojej osoby, niż przyszły pracodawca może pozyskać. Ponieważ nastąpiło to z woli kandydata, który wyraził w ten sposób zgodę to przyszły pracodawca stał się osobą uprawnioną;

W przypadku rozmowy telefonicznej szczególnego znaczenia nabiera możliwość stwierdzenia, czy rozmówca jest tym za kogo się podaje. Weryfikację rozmówcy można przeprowadzić w bardzo prosty sposób pytając o dwie lub trzy cechy tej osoby. Mogą to być data i miejsce urodzenia, imię ojca, seria i numer dowodu osobistego, PESEL, wygląd – w zależności od posiadanego zestawu cech.

Po zweryfikowaniu rozmówcy należy jeszcze ustalić czy faktycznie jest on osobą uprawnioną a udzielając informacji przez telefon należy robić w taki sposób, aby osoby postronne nie mogły rozmówcy zidentyfikować – wówczas przekazywane dane nie będą danymi osobowymi.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *