Stanowisko PUODO na temat możliwości udzielania bankom przez telefon informacji
W związku z pojawiającymi się wątpliwościami dotyczącymi możliwości udzielania bankom przez telefon informacji nt. zatrudnienia pracownika, ewentualnie jego wynagrodzenia, zamieszczamy stanowisko ówczesnego GIODO (obecnie PUODO).
„Stosowana przez banki procedura weryfikowania danych osobowych kredytobiorców poprzez m.in. telefoniczne potwierdzanie ich zatrudnienia i zarobków u pracodawców jest dopuszczalna, ale tylko wówczas, gdy pracodawca ma całkowitą pewność, że odbiorca jest tą osobą, za którą się podaje. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych w art. 36 ust 1 wskazuje na jeden z podstawowych obowiązków administratora danych osobowych, jakim jest obowiązek zabezpieczenia danych osobowych przed ich udostępnieniem osobom nieupoważnionym. W przypadku telefonicznej weryfikacji danych osoby występującej z wnioskiem o przyznanie kredytu, np. w zakresie dotyczącym wysokości jej wynagrodzenia, u pracodawcy tej osoby, może dojść do udostępnienia przez pracodawcę danych osobowych pracownika osobie nieupoważnionej. Pracodawca potencjalnego kredytobiorcy, w tym przypadku, nie może z całą pewnością stwierdzić, iż osoba telefonująca do niego w celu zweryfikowania danych rzeczywiście jest przedstawicielem banku, a więc osobą upoważnioną do pozyskania informacji na temat pracownika. Niewywiązywanie się przez pracodawcę z obowiązku określonego we wspomnianym art. 36 ust. 1 może prowadzić do powstania odpowiedzialności karnej na podstawie art. 51 ustawy. Jest na nią narażony nie tylko ten, kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je osobom nieupoważnionym, ale również ten, kto choćby dostęp osobom nieupoważnionym do tych danych umożliwia. Sankcją za powyższe może być nawet kara pozbawienia wolności do lat 2.
Na niebezpieczeństwo naruszenia przepisów ustawy o ochronie danych osobowych w związku z telefoniczną weryfikacją informacji o kliencie banku, a w związku z tym na powstanie po stronie pracodawcy odpowiedzialności za naruszenie tej ustawy, wskazał również Przewodniczący Komisji Nadzoru Bankowego, stwierdzając w szczególności, iż „w przypadku, kiedy problem dotyczy potwierdzania danych osobowych przez banki u pracodawców ich kredytobiorców, odpowiedzialność spoczywa na pracodawcach jako administratorach danych osobowych, a nie na bankach” (pismo z dnia 1 października 2004 r. sygn. NB-BPN-I-077-15/05).
Dodatkowo można również wskazać na pismo Narodowego Banku Polskiego do Generalnego Inspektora Nadzoru Bankowego z dnia 6 kwietnia 2001 r. (NB/BPN/I/214/01) skierowane do osób kierujących bankami, które zawiera stwierdzenie, iż „przepisy ustawy – Prawo bankowe i ustawy o ochronie danych osobowych nie przewidują telefonicznej formy pozyskiwania żądanych informacji. Banki nie mogą więc uzależniać przyznania kredytu od udzielenia informacji w tej formie”.
W związku z taką praktyką niezbędne jest – w ocenie Generalnego Inspektora Ochrony Danych Osobowych – przyjęcie takiego rozwiązania (formy potwierdzania danych), które całkowicie wyeliminuje możliwość udostępnienia tych danych osobie innej, niż pracownik określonej instytucji, a więc osobie nieupoważnionej. Zatem, osoba udzielająca informacji w zakresie danych osobowych musi potwierdzić tożsamość swojego rozmówcy, by z całą pewnością móc stwierdzić, że osoba telefonująca do niej w celu zweryfikowania danych jest rzeczywiście przedstawicielem określonej instytucji, w imieniu której posiada upoważnienie do uzyskania podanych informacji.
Pozdrawiam
Katarzyna Buczak-Rakowiecka
Radca prawny