Pracodawca może podać dane osobowe pracownika przez telefon, jeśli jest pewien, że rozmawia z przedstawicielem banku

Telefoniczne weryfikowanie danych kredytobiorców jest dopuszczalne, pod warunkiem że pracodawca ma całkowitą pewność, że rozmówca jest tą osobą, za którą się podaje – uważa Michał Serzycki, generalny inspektor ochrony danych osobowych.

Należy zwrócić uwagę, iż ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2002 r. nr 101, poz. 926 z późn. zm.) w art. 36 ust. 1 jako jeden z podstawowych obowiązków administratora danych osobowych wymienia zabezpieczenie danych przed udostępnieniem osobom nieupoważnionym.

W przypadku telefonicznej weryfikacji danych osoby występującej z wnioskiem o przyznanie kredytu, np. w zakresie dotyczącym wysokości jej wynagrodzenia, może dojść do udostępnienia przez pracodawcę danych osobowych pracownika osobie nieupoważnionej. Pracodawca potencjalnego kredytobiorcy nie może bowiem z całą pewnością stwierdzić, iż osoba telefonująca do niego w celu zweryfikowania danych rzeczywiście jest przedstawicielem banku, a więc osobą upoważnioną do pozyskania informacji na temat pracownika. GIODO zwraca uwagę, że niewywiązywanie się przez pracodawcę z obowiązku należytego zabezpieczenia danych określonego w art. 36 ust. 1 ustawy o ochronie danych osobowych może prowadzić do powstania odpowiedzialności karnej na podstawie art. 51 tej ustawy. Jest na nią narażony nie tylko ten, kto, administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych, udostępnia je osobom nieupoważnionym, ale również ten, kto choćby dostęp osobom nieupoważnionym do tych danych umożliwia.

Na niebezpieczeństwo naruszenia przepisów ustawy o ochronie danych osobowych w związku z telefoniczną weryfikacją informacji o kliencie banku, a także na związaną z tym odpowiedzialność pracodawcy, wskazał również przewodniczący Komisji Nadzoru Bankowego. Stwierdził, że gdy problem dotyczy potwierdzania danych osobowych przez banki u pracodawców ich kredytobiorców, odpowiedzialność spoczywa na pracodawcach jako administratorach danych osobowych, a nie na bankach (pismo z 1 października 2004 r., NB-BPN-I-077-15/05).

Dodatkowo można również wskazać pismo Narodowego Banku Polskiego do Generalnego Inspektora Nadzoru Bankowego z 6 kwietnia 2001 r. (NB/BPN/I/214/01) skierowane do osób kierujących bankami, które zawiera stwierdzenie, iż przepisy ustawy – Prawo bankowe i ustawy o ochronie danych osobowych nie przewidują telefonicznej formy pozyskiwania żądanych informacji. Banki nie mogą więc uzależniać przyznania kredytu od udzielenia informacji w tej formie. Ponieważ jednak banki, najczęściej dla wygody klientów, stosują telefoniczną formę potwierdzania danych, generalny inspektor ochrony danych osobowych uznał, że w takim przypadku niezbędne jest przyjęcie takiego rozwiązania, które całkowicie wyeliminuje możliwość udostępnienia danych osobowych pracownika osobie innej, niż pracownik określonej instytucji, a więc osobie nieupoważnionej. Zatem osoba udzielająca informacji w zakresie danych osobowych musi potwierdzić tożsamość swojego rozmówcy, by z całą pewnością móc stwierdzić, że osoba telefonująca do niej w celu zweryfikowania danych jest rzeczywiście przedstawicielem określonej instytucji, w imieniu której jest upoważniona do ich uzyskania.