Czy nagrywanie rozmów może wiązać się z udostępnieniem danych osobowych?

Finanse

Bank Sign over Entrance Door in Black and White Sepia Tone

Wyobraźmy sobie taką sytuację. Jesteśmy pracownikami banku, do naszych zadań należy kontakt z klientami, którzy z różnych przyczyn zalegają z terminowym spłacaniem zaciągniętych zobowiązań. Dzwonimy zatem na wskazany przez klienta jako „do kontaktu” numer telefonu.

Po pierwszym sygnale, automatyczna sekretarka uświadamia nas, że dodzwoniliśmy się do firmy, i że rozmowa jest nagrywana. Czy z punktu widzenia bezpieczeństwa danych osobowych, których administratorem jest nasz bank, okoliczność nagrywania rozmów przez pracodawcę naszego klienta ma jakiekolwiek znaczenie? Czy nie narażając się na zarzut udostępnienia danych osobom nieupoważnionym (postronnym), możemy kontynuować rozmowę z klientem?

Na czym polega ryzyko?

Pozornie wydawać by się mogło, że powyższy przypadek nie wiąże się z żadnym ryzykiem. Klient we wniosku składanym na potrzeby skorzystania z produktu oferowanego przez nasz bank, wskazuje numer telefonu, na który należy się z nim kontaktować w celach związanych z bieżącą współpracą.

W przypadku kontaktu telefonicznego ważnym jest stworzenie procedury (i jej stosowanie), która pozwoli na wystarczająco pewne potwierdzenie tożsamości klienta. Wszystko po to, aby uniknąć sytuacji w której dane osobowe klienta zostaną udostępnione osobom nieuprawnionym. W tym celu przed przystąpieniem do meritum rozmowy, należy zadać klientowi kilka pytań, w celu weryfikacji, czy faktycznie osoba podająca się za klienta, nim jest.

Jednakże, w przypadku nagrywania rozmów przez pracodawcę klienta, pojawia się jeszcze inny czynnik ryzyka. Mianowicie rozmowa z klientem, z którym po pozytywnej weryfikacji jego tożsamości, można rozmawiać o wszelkich kwestiach związanych z np. niespłacanym kredytem, zostaje utrwalona na nośnikach podmiotu, który w relacjach pomiędzy bankiem a klientem jest całkowicie obcy.

Na banku, który w naszym przykładzie będzie administratorem danych osobowych swoich klientów, ciąży ustawowy obowiązek właściwego zabezpieczenia danych, przed ich udostępnieniem na rzecz osób nieupoważnionych. Co więcej, zgodnie z art. 51 ustawy o ochronie danych osobowych, złamanie powyższej zasady stanowić może przestępstwo zagrożone karą pozbawienia wolności do lat 2.

Generalny Inspektor Ochrony Danych Osobowych wielokrotnie podkreślał, że administrator danych powinien cechować się należytą starannością w procesie przetwarzania danych osobowych. Poza sporem pozostaje, iż w przypadku w którym pracodawca, powodowany wyłącznie ciekawością, zwróciłby się do banku o udzielenie informacji o wysokości zaciągniętych przez swoich pracowników zobowiązań i ewentualnych zaległościach w ich spłacie, bank bezwzględnie powinien odmówić przekazania takich informacji. W przypadku nagrywania rozmów przez pracodawcę klienta, bank nie jest wstanie określić, kto oraz przez jaki okres będzie posiadał dostęp do nagrań oraz w jakim celu nagrania zostaną wykorzystane. Zatem czy okoliczność nagrywania rozmów nie powinna stanowić „czerwonego światła” przed prowadzeniem z klientem dalszej rozmowy?

Dane do uwierzytelniania, powody opóźnienia w spłacie kredytu, pogorszenie sytuacji finansowej itp.

Mówiąc o danych osobowych należy pamiętać, że zgodnie z ustawą o ochronie danych osobowych każda informacja dotycząca osoby zidentyfikowanej stanowi jej dane osobowe. Zatem wszelkie dane dotyczące np. kredytu (począwszy od daty zawarcia umowy kredytu, poprzez jego wysokość, terminy spłaty, bieżące zadłużenie, wysokość odsetek, na powodach opóźnienia związanych np. z utratą źródła dochodu, chorobą w rodzinie, kończąc) będą danymi osobowymi klienta.

Dodatkowo, w związku z przywołaną na początku procedurą weryfikacji tożsamości, treść nagranej rozmowy, zawierać będzie również niezbędne do uwierzytelnienia informacje (np. ID klienta, PESEL, datę urodzenia, nazwisko rodowe matki itp.). W takim przypadku, w skrajnej sytuacji, osoba dokonująca odsłuchu, na podstawie zarejestrowanych informacji, byłaby w stanie podszywając się pod klienta np. skorzystać z innych usług banku.

Charakter powyższych informacji nakazuje przyjąć, iż nieskrępowane prowadzenie rozmowy może być uznane za naruszenie podstawowych obowiązków administratora danych (banku) związanych z prawidłowym zabezpieczeniem danych. Fakt przekazania numeru telefonu przez klienta oraz wewnętrzne regulacje dotyczące korzystania z telefonów służbowych w celach prywatnych przez pracowników zatrudnionych przez pracodawcę klienta nie będą stanowiły okoliczności wyłączającej ewentualną odpowiedzialność z tytułu nienależytego zabezpieczenia danych. Wydaje się, że skoro pracownik banku, na wstępie rozmowy pozyskał wiedzę, iż rozmowa jest nagrywana, powinien tak ją prowadzić, aby nie doszło do udostępnienia żadnych szczegółowych informacji na temat np. niespłaconego kredytu.

Co robić w przypadku nagrywania rozmów?

Warto zatem uczulić osoby odpowiadające za przygotowanie skryptów rozmów z klientami o możliwości wystąpienia takiego przypadku. Rozwiązaniem problemu wydaje się być poinformowanie klienta, iż w związku z informacją o nagrywaniu rozmów oraz troską o bezpieczeństwo jego danych, rozmowa o szczegółach współpracy nie może być kontynuowana. Przy okazji można poprosić klienta o przekazanie innego (prywatnego) numeru kontaktowego,  ewentualnie prowadzenie korespondencji drogą elektroniczną, bądź listową.

 

About Marcin Cwener 11 Articles
Prawnik, Administrator Bezpieczeństwa Informacji. Absolwent Wydziału Prawa i Administracji Uniwersytetu Szczecińskiego oraz studiów podyplomowych na kierunku „Zarządzanie Bezpieczeństwem Informacji” w Szkole Głównej Handlowej w Warszawie. W latach 2012-2013 pracownik Departamentu Orzecznictwa, Legislacji i Skarg w Biurze Generalnego Inspektora Ochrony Danych Osobowych, gdzie zajmował się prowadzeniem postępowań administracyjnych w zakresie skarg na nieprawidłowości w procesie przetwarzania danych osobowych. Doświadczony audytor i szkoleniowiec. Autor licznych artykułów z zakresu ochrony danych osobowych. Do jego szczególnych zainteresowań należy kwestia powiązań ustawy o ochronie danych osobowych z prawem bankowym oraz prawem pracy. Jego prywatną pasją jest prawo karne oraz rodzinne.