W związku z COVID-19 wiele instytucji ograniczyło bezpośrednią obsługę interesantów. Urzędy, szkoły, banki, administracja osiedla, ZUS zachęcały do kontaktu telefonicznego zamiast osobistego. W ten sposób wykorzystywany od dawna kanał komunikacji nabrał w czasach pandemii szczególnego znaczenia.
Dość często na szkoleniach spotykam się z pytaniem, czy przez telefon można ujawniać dane osobowe. Niektórzy uważają, że nic się nie zmieniło, inni z kolei, że „nie, bo przecież jest RODO” i obowiązuje powszechny zakaz ujawniania danych osobowych. Na przepisy RODO powołano się odmawiając udzielenia informacji rodzicom, którzy obdzwaniali szpitale w poszukiwaniu własnego dziecka po wypadku autokaru.
Zacznijmy od kwestii nie budzącej wątpliwości: Przepisy RODO są zbyt ogólne i nie wskazują zabronionych czy dopuszczonych, bezpiecznych czy niebezpiecznych kanałów komunikacji. List, e-mail, telefon, fax – każdy sposób przekazywania informacji niesie jakieś ryzyko, którego trzeba być świadomym i które należy zminimalizować. Natomiast przepisy o ochronie danych osobowych mówią jasno: dane można ujawnić tylko osobie uprawnionej. Dobrze, ktoś powie: osobie uprawnionej czyli komu? Kto to jest ten uprawniony? Otóż w dużym uproszczeniu jest to osoba lub instytucja, której przepisy prawa pozwalają na uzyskanie dostępu do tych danych. Oto kilka przykładów:
- każdy ma dostęp do danych dotyczących siebie, każdy może zapytać jakie dane w jakim zakresie są gromadzone czy przetwarzane, czy w jaki sposób zostały pozyskane;
- rodzic jako przedstawiciel ustawowy ma dostęp do danych dziecka niepełnoletniego, np. w szkole, szpitalu czy urzędzie;
- policja czy sąd ma prawo dostępu do danych dotyczących każdej osoby;
- podczas rekrutacji przyszły pracodawca ma dostęp do danych osobowych kandydatów do pracy, ale tylko w zakresie przewidzianym przepisami prawa (przyszły pracodawca nie może np. zapytać kandydata do pracy o poglądy polityczne czy przekonania religijne);
- pracodawca ma dostęp do danych osobowych każdego własnego pracownika, ale w zakresie przewidzianym przez przepisy prawa (to znaczy, że pracodawca nie wszystkie dane na temat pracownika może zbierać i gromadzić);
- szkoła może udzielić informacji babci o ocenach wnuczka tylko w sytuacji gdyby babcia była opiekunem prawnym tego dziecka.
Osobną kwestią jest zgoda. Zgoda też daje uprawnienie dostępu do danych, np.:
- wychowawca klasy zgodził się na przekazanie numeru prywatnego telefonu rodzicom dzieci swojej klasy (nauczyciel wyraził zgodę) – wówczas osobami uprawnionymi są wybrani rodzice, ale nie wszyscy;
- kandydat do pracy składając CV udostępnił więcej danych dotyczących swojej osoby, niż przyszły pracodawca może pozyskać. Ponieważ nastąpiło to z woli kandydata, który wyraził w ten sposób zgodę to przyszły pracodawca stał się osobą uprawnioną;
W przypadku rozmowy telefonicznej szczególnego znaczenia nabiera możliwość stwierdzenia, czy rozmówca jest tym za kogo się podaje. Weryfikację rozmówcy można przeprowadzić w bardzo prosty sposób pytając o dwie lub trzy cechy tej osoby. Mogą to być data i miejsce urodzenia, imię ojca, seria i numer dowodu osobistego, PESEL, wygląd – w zależności od posiadanego zestawu cech.
Po zweryfikowaniu rozmówcy należy jeszcze ustalić czy faktycznie jest on osobą uprawnioną a udzielając informacji przez telefon należy robić w taki sposób, aby osoby postronne nie mogły rozmówcy zidentyfikować – wówczas przekazywane dane nie będą danymi osobowymi.