Nagrania z infolinii

W kontaktach z bankami bardzo często możemy zetknąć się z sytuacją kiedy banki odmawiają udostępnienia nagrania z infolinii.

Wiele osób mających jakiś zatarg z bankiem, chcąc sprawdzić jaka np. była oferta kredytu żąda od banków nagrań z infolinii.infolinia Standardem jest przecież nagrywanie tego typu rozmów. Dodatkowo klient banku jest zawsze informowany o tym, że rozmowa jest nagrywana. Wydawało by się, że w przypadku zaistnienia sporu zwrócimy się do banku, który udostępni nam nagranie, aby następnie sprawdzić czy np. produkt bankowy jaki otrzymaliśmy jest rzeczywiście zgodny w 100 % z tym, który był nam oferowany przez konsultanta. Niestety rzeczywistość nie jest taka „różowa”.

Jak możemy się zorientować na różnych forach internetowych banki nie są skłonne do udostępnienia nagrań klientom. Zazwyczaj jedynie na wniosek organów ścigania tego typu dowody są przekazywane. Powstaje więc pytanie czy banki działając w wyżej opisany sposób nie naruszają ustawy o ochronie danych osobowych w zakresie prawa do informacji.
Podstawowe pytanie na jakie powinnyśmy sobie odpowiedzieć dotyczy tego czy mamy do czynienia z danymi osobowymi, a dokładniej czy nagranie naszej rozmowy z konsultantem to dane osobowe. Oczywistym jest, iż banki są zobowiązane do stosowania ustawy o ochronie danych osobowych do przetwarzanych danych.

Na początku warto sobie przypomnieć jaka jest definicja danych osobowych (art. 6 ustawy o ochronie danych osobowych).

  1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

  2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

Nie ulega wątpliwości, iż podczas rozmowy podajemy pewne dane osobowe na nasz temat takie jak: imię i nazwisko, PESEL, datę i miejsce urodzenia itp. Dodatkowo mogą zostać poruszane tematy związane z naszą zamożnością np. w postaci informacji na temat wysokości zgromadzonych wkładów, które określają pośrednio nasz status ekonomiczny. Bez wątpienia mamy więc do czynienia z danymi osobowymi na nasz temat. Banki nie kwestionują tego faktu. Jednak zdecydowana większość z nich uważa, że pozyskane dane może udostępnić wyłącznie w formie transkrypcji odsłuchu, a nie samego nagrania. Dostaniemy więc tylko zapis naszej rozmowy (warto pamiętać, że część banków dopuszcza możliwość odsłuchania nagrania w oddziale w obecności pracownika banku). Transkrypcja nie zwiera jednak wszystkich elementów jakie są zawarte w nagraniu. Mowa o danych biometrycznych takich jak barwa i ton głosu. Tego typu informacje mogą nam pozwolić na ustalenie nie tylko informacji przekazanych w toku rozmowy, ale również innych informacji, takich jak tembr głosu, jego barwa, klimat rozmowy, to wszystko zdradza osobowości, temperamenty i charaktery. Warto przytoczyć fragment orzeczenia Sądu Apelacyjnego w Gdańsku II Wydział Karny (Sygn. akt II AKa 208/13):

Jak słusznie podnosi się bowiem w orzecznictwie, słowne zapisy nagrań mogą zostać wprowadzone do procesu, lecz winno to nastąpić obok treści zarejestrowanych (utrwalonych dźwiękowo) rozmów. Trafnie zauważono, że przepis art. 410 kpk  nie eliminuje co prawda możliwości sięgania do pisemnych zapisów nagrań w miejsce ich bezpośredniego odtworzenia, lecz przekłady słowne zapisów rozmów nie stanowią samoistnego, ani pierwotnego dowodu, na którym sąd może poprzestać, a transpozycja treści nagrań na ich słowny przekład prowadzi nie tylko do zmiany formy dowodu, ale także do zmiany jego jakości. Słowny przekład nagrania nie oddaje bowiem wszystkich istotnych informacji i okoliczności (np. tembr głosu, czy towarzyszące rozmowie emocje), jakie można uzyskać w wyniku odsłuchania treści nagrania audio (por. wyrok Sądu Apelacyjnego w Lublinie z 22.11.2012r., II AKa 249/12, LEX nr 1237274; podobnie wyrok Sądu Apelacyjnego w Katowicach z 27.10.2012r., II AKa 223/10, LEX nr 785443).

W mojej ocenie nie dochodzi więc do pełnego udostępnienia danych jakie są przetwarzane przez bank jako administratora danych, a więc mamy do czynienia z naruszeniem art. 32 ustawy o ochronie danych osobowych. Dodatkowo wobec osoby, która została nagrana, bank nie jest zobowiązany do zachowania tajemnicy bankowej. W omawianym przypadku nie mamy również do czynienia z naruszeniem tajemnicy telekomunikacyjnej. Odmawiając wydania nagrań, bank nie może zatem powoływać się na te przepisy. Podsumowując brak jest jednoznacznej podstawy prawnej na którą mógłby się powołać bank odmawiając udostępnienia nagrania z infolinii.

Jak zareagować na wniosek o udostępnienie danych osobowych?

Zdarza się, że różne osoby lub instytucje zwracają się z prośbą o przekazanie danych dotyczących obecnych lub byłych pracowników, współpracowników, klientów lub innych osób, których danymi dysponujemy jako administrator danych. Przykładami takich podmiotów, które zwracają się z wnioskiem o udostępnienie danych mogą być organy ścigania takie jak Policja czy Prokuratura, urzędy skarbowe, ośrodki pomocy społecznej, zakłady ubezpieczeń społecznych, firmy windykacyjne, banki, czy osoby lub firmy chcące dochodzić swoich roszczeń przed sądem.

Zapewne pojawia się w takich sytuacjach pytanie czy mamy prawo takich czynności dokonać, a jeżeli tak to skąd wynika takie uprawnienie? Na pierwszy rzut oka przynajmniej w części sytuacji wymienionych powyżej wydaje się, że nie powinniśmy tego robić, bo przecież istnieje ochrona danych osobowych. Wbrew pozorom w niektórych sytuacjach jak się zaraz okaże dane powinniśmy udostępnić, a w tych już na pozór oczywistych już nie.

Zanim odpowiem na stawiane wyżej pytania, najpierw kilka słów teorii. Ustawa o ochronie danych osobowych wymienia wśród operacji, które składają się na przetwarzanie danych osobowych udostępnianie. W związku z powyższym wniosek o udostępnianie danych osobowych powinnyśmy oceniać w oparciu przepisy ustawy o ochronie danych osobowych dotyczące podstaw przetwarzania, czy w oparciu o art. 23 – w przypadku danych zwykłych lub art. 27 – w przypadku danych wrażliwych.

Czy jeżeli zatem do naszej siedziby dzwoni lub przychodzi funkcjonariusz Policji prosząc a czasami żądając o przekazanie jakiś informacji dotyczących pracowników, to czy powinnyśmy takie informacje przekazać. Pierwszy odruch zapewne mówi nam, że tak przecież to organ państwowy, ale zachowałbym ostrożność, bo skąd mamy pewność, że jest rzeczywiście osobą za którą się podaje. Słyszeliśmy o sytuacji, w której dane osobowe pracownika zostały udostępnione, osobie, która podczas wizyty podała się za funkcjonariusza Policji, a jej dane nie zostały w żaden sposób zweryfikowane. Wynik był taki, że dane udostępniono osobom nieuprawnionym, a takie działanie zagrożone jest karą pozbawienia wolności (art. 51 ustawy o ochronie danych osobowych). Zalecamy nie tylko weryfikować, ale w jakiś sposób potwierdzić tożsamość osoby – np. w Komisariacie. Warto również, choć nie jest to obowiązek, poprosić o przygotowanie pisma z wnioskiem o udostępnienie danych.

Takie wnioski również zdarzają się w formie pisemnej lub telefonicznej złożone przez zakłady ubezpieczeń społecznych, urzędy skarbowe, ośrodki pomocy społecznej. Wspólnym mianownikiem tych wszystkich wniosków jest podstawa udostępnienia czyli przepisy prawa. Z praktyki wiem, że wnioski często wykraczają poza zakres upoważnienia ustawowego. W związku z tym warto skonfrontować wniosek z przepisem na który się podmioty powołują.

Kolejną sytuacją związaną z udostępnieniem danych jest potwierdzanie telefonicznie pracownikowi banku okoliczności wcześniej wymienionych w wydanym dla pracownika zaświadczenia. Generalny Inspektor Ochrony Danych Osobowych (GIODO) dopuszcza taki sposób potwierdzania informacji zawartych w zaświadczeniu. Zdaniem GIODO osoba udzielająca informacji w zakresie danych osobowych musi potwierdzić tożsamość swojego rozmówcy, by z całą pewnością móc stwierdzić, że osoba telefonująca do niej w celu zweryfikowania danych jest rzeczywiście przedstawicielem określonej instytucji, w imieniu której posiada upoważnienie do uzyskania podanych informacji .

Warto zwrócić również uwagę na sytuacje, w której do pracodawcy zwracają się osoby fizyczne czy firmy z wnioskiem o udostępnienie danych adresowych pracowników, w związku z dochodzeniem roszczeń – np. w postępowaniu cywilnym. Takie przetwarzanie danych osobowych mieści się w ramach art. 23 ust. 1 pkt. ustawy, stosownie do którego przetwarzanie jest dopuszczalne jeżeli jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych. Za taki prawnie usprawiedliwiony cel uznaje się dochodzenie roszczeń w postępowaniu cywilnym. Warto zwrócić uwagę, że 21 sierpnia 2013 r. zapadł wyrok Naczelnego Sądu Administracyjnego na podstawie którego możliwe będzie udostępnienia danych tzw. „hejterów”.
W sytuacji, gdy odmówimy udostępnienia danych osobowych, osoba lub podmiot, który chce uzyskać dane osobowe może się zwrócić do GIODO o nakazanie udostępnienia danych osobowych, a ten może nam nakazać przekazanie takich informacji.

Wzór wniosku o udostępnienie danych osobowych

Jako ciekawostkę zamieszczam wzór wniosku o udostępnienie danych osobowych, który stanowi załącznik nr 1 do nieobowiązującego już rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia wzoru wniosku o udostępnienie danych osobowych, zgłoszenia zbioru danych do rejestracji oraz imiennego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych (Dz. U. z 1998 r. Nr 80, poz. 522, ze zm.). Rozporządzenie to obowiązywało jeszcze w czasie, gdy obowiązywał art. 29 ustawy o ochronie danych osobowych, dotyczący udostępniania danych osobowych.

Wraz z jedną z nowelizacji prawa, derogowano ww. rozporządzenie. Niestety… Szkoda, ponieważ aktualnie brakuje nam powszechnie aprobowanego wzoru wniosku o udostępnienie danych osobowych. Pomijam tutaj kwestię, że aktualnie nie ma wymogu formy pisemnej wniosku o udostępnienie danych osobowych (co nawiasem mówiąc, jest moim zdaniem dużym błędem ustawodawcy). Dlaczego więc zamieszczam nieobowiązujący wzór wniosku o udostępnienie danych osobowych? Ponieważ, jest całkiem „niezły” i spokojnie może posłużyć, każdemu zainteresowanemu (szczególnie administratorowi bezpieczeństwa informacji), jako baza.