iSecure logo
Blog

Czy administrator musi udostępnić podmiotowi danych nagranie jego rozmów telefonicznych?

Bardzo często spotykamy się z sytuacją, w której rozmowy telefoniczne podlegają nagrywaniu. W ten sposób funkcjonuje znaczna część rynku poczynając od call centre, infolinii sprzedażowych, banków czy placówek medycznych. Osoby, których rozmowa będzie nagrywana powinny zostać o tym fakcie uprzedzone jeszcze przed rozpoczęciem nagrywania. Nagrywanie rozmów stanowi z kolei przetwarzanie danych osobowych, a zatem osoba, której rozmowa została nagrana, będzie mogła skorzystać z przysługujących jej na gruncie RODO[1] praw przewidzianych w art. 15-22.

ŻĄDANIE GLĄDU ORAZ UDOSTĘPNIENIA KOPII DANYCH OSOBOWYCH

Niezależnie od tego z jakiej podstawy prawnej przetwarzania danych osobowych w celu nagrywania rozmów korzysta administrator (wcale nie jest to taka oczywista kwestia), prawo dostępu do danych, w tym uzyskania ich kopii, będzie przysługiwało osobie w każdych okolicznościach.

Zacznijmy od tego, iż zgodnie z art. 15 RODO osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji:

  • cele przetwarzania;
  • kategorie odnośnych danych osobowych;
  • informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;
  • w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
  • informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania;
  • informacje o prawie wniesienia skargi do organu nadzorczego;
  • jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle;
  • informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Z kolei art 15 ust. 3 RODO odnosi się do prawa uzyskania kopii danych osobowych nakładając na administratora obowiązek dostarczenia osobie, której dane dotyczą kopii danych podlegających przetwarzaniu. Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się w powszechnie stosowanej formie elektronicznej.

W tym momencie należy podkreślić, iż prawo wglądu do danych, w tym uzyskania kopii danych, nie jest równoznaczne z prawem do uzyskania nośników (plików, dokumentów), w których dane są zawarte. Przepisy bowiem nie nakładają na administratora danych obowiązku udostępnienia kopii dokumentów papierowych czy plików elektronicznych zawierających dane osobowe. Administrator zobowiązany jest do przekazania kompletnych informacji o przetwarzanych danych określonej osoby. Natomiast to w jaki sposób takich informacji udzieli powinno być rozpatrywane w oparciu o indywidualne kryteria określonego żądania oraz uwzględniając interes osoby, która takie żądanie skierowała do administratora.

ŻĄDANIE UDOSTĘPNIENIA NAGRANIA ROZMOWY

W przypadku żądania udostępnienia nagrania rozmowy osoby, której dane dotyczą, administrator może udostępnić fragment samego nagrania (rozmowy) jako np. pliku z nagranym głosem lub informację o danych przetwarzanych w związku z nagraną rozmową. Sam Prezes UODO, w uzasadnieniu decyzji z 22 marca 2019 r. Stwierdził, iż „realizując obowiązek wynikający z art. 15 ust. 3 RODO, administrator może poprzestać na wskazaniu treści danych dotyczących osoby, z wyłączeniem pozostałych informacji zawartych na nośniku. Wykonanie obowiązku określonego w art. 15 ust. 3 RODO może być zatem realizowane zarówno poprzez sporządzenie kopii lub odpisu dokumentu (nośnika) zawierającego dane osobowe oraz inne dane, jak i poprzez podanie uprawnionemu treści jego danych osobowych, z pominięciem informacji znajdujących się w nośniku, które nie są danymi osobowymi w rozumieniu art. 4 pkt 1 RODO. Nie ma zatem konieczności udostępniania każdego z posiadanych dokumentów, jeżeli zakres danych, który jest w nich zawarty jest taki sam. Podkreślenia również wymaga, że w przypadku zwrócenia się do administratora o kopię przetwarzanych danych osobowych, administrator każdorazowo podejmuje decyzję, w jaki sposób zrealizuje to uprawnienie. Administrator może dokonać wyboru, czy udostępnia kopię dokumentów, czy też udostępnia kopię danych zawartych w tych dokumentach[2].

W przypadku, kiedy administrator zdecyduje się udostępnić osobie, której dane dotyczą, fragment nagrania rozmowy, powinien pamiętać o tym, aby został on tak zmodyfikowany, aby udostępnieniu podlegały tylko i wyłącznie dane osoby (głos), której dane dotyczą z pominięciem danych innych osób (np. pracowników, kontrahentów czy partnerów administratora, którzy uczestniczyli w rozmowie). Pamiętajmy, że uprawnienia przyznane na gruncie RODO, w tym prawo żądania kopii danych, odnoszą się tylko do osoby, której dane dotyczą. Administrator, chroniąc prywatność innych osób, których dane (głos) mogły zostać zarejestrowane podczas rozmowy, powinien zwrócić szczególną uwagę na to, aby tę część nagrania usunąć, zanim udostępni ją osobie zainteresowanej.

[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych RODO).

[2] Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 22 marca 2019 r., ZSZZS.440.6602018

Pobierz wpis w wersji pdf

Podobne wpisy:

Uregulowanie stosunku powierzenia

Każda współpraca pomiędzy podmiotami, polegająca na wykonywaniu czynności na danych osobowych, które to czynności określa jeden z tych podmiotów (administrator danych osobowych), a wykonuje je drugi w jego imieniu (podmiot przetwarzający), musi zostać uregulowana umową powierzenia. Zdarza się, że podmioty powierzając dane, nie do końca zdają sobie sprawę, że dana czynność jest właśnie powierzeniem danych […]

Przydatne aplikacje

Program lojalnościowy a przetwarzanie danych osobowych

Program lojalnościowy to nie tylko budowanie trwałych i pozytywnych relacji z klientami, ale również właściwie zabezpieczenie gromadzonych w tym celu danych osobowych. W praktyce zaprojektowanie programu lojalnościowego, bezpiecznego pod kątem przepisów o ochronie danych osobowych jest trudne i skomplikowane, ale pomimo tej niedogodności, przedsiębiorcy bardzo chętnie sięgają po tę formę reklamy i promocji. Jak zatem […]

Dlaczego RODO nie zabije blockchain i technologii rejestrów rozproszonych

Zmiany w wykazie operacji wymagających DPIA

Autor tekstu: Aleksandra Eluszkiewicz Co się zmienia? W czerwcu Prezes Urzędu Ochrony Danych Osobowych wydał komunikat dotyczący zmian w wykazie operacji przetwarzania danych osobowych, które wymagają przeprowadzenia oceny skutków dla ochrony danych (DPIA). Zmieniony wykaz znajduje się w Komunikacie Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r., który został ogłoszony w dniu […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki