iSecure logo
Blog

Czy administrator musi udostępnić podmiotowi danych nagranie jego rozmów telefonicznych?

Bardzo często spotykamy się z sytuacją, w której rozmowy telefoniczne podlegają nagrywaniu. W ten sposób funkcjonuje znaczna część rynku poczynając od call centre, infolinii sprzedażowych, banków czy placówek medycznych. Osoby, których rozmowa będzie nagrywana powinny zostać o tym fakcie uprzedzone jeszcze przed rozpoczęciem nagrywania. Nagrywanie rozmów stanowi z kolei przetwarzanie danych osobowych, a zatem osoba, której rozmowa została nagrana, będzie mogła skorzystać z przysługujących jej na gruncie RODO[1] praw przewidzianych w art. 15-22.

ŻĄDANIE GLĄDU ORAZ UDOSTĘPNIENIA KOPII DANYCH OSOBOWYCH

Niezależnie od tego z jakiej podstawy prawnej przetwarzania danych osobowych w celu nagrywania rozmów korzysta administrator (wcale nie jest to taka oczywista kwestia), prawo dostępu do danych, w tym uzyskania ich kopii, będzie przysługiwało osobie w każdych okolicznościach.

Zacznijmy od tego, iż zgodnie z art. 15 RODO osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji:

  • cele przetwarzania;
  • kategorie odnośnych danych osobowych;
  • informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;
  • w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
  • informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania;
  • informacje o prawie wniesienia skargi do organu nadzorczego;
  • jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle;
  • informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Z kolei art 15 ust. 3 RODO odnosi się do prawa uzyskania kopii danych osobowych nakładając na administratora obowiązek dostarczenia osobie, której dane dotyczą kopii danych podlegających przetwarzaniu. Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się w powszechnie stosowanej formie elektronicznej.

W tym momencie należy podkreślić, iż prawo wglądu do danych, w tym uzyskania kopii danych, nie jest równoznaczne z prawem do uzyskania nośników (plików, dokumentów), w których dane są zawarte. Przepisy bowiem nie nakładają na administratora danych obowiązku udostępnienia kopii dokumentów papierowych czy plików elektronicznych zawierających dane osobowe. Administrator zobowiązany jest do przekazania kompletnych informacji o przetwarzanych danych określonej osoby. Natomiast to w jaki sposób takich informacji udzieli powinno być rozpatrywane w oparciu o indywidualne kryteria określonego żądania oraz uwzględniając interes osoby, która takie żądanie skierowała do administratora.

ŻĄDANIE UDOSTĘPNIENIA NAGRANIA ROZMOWY

W przypadku żądania udostępnienia nagrania rozmowy osoby, której dane dotyczą, administrator może udostępnić fragment samego nagrania (rozmowy) jako np. pliku z nagranym głosem lub informację o danych przetwarzanych w związku z nagraną rozmową. Sam Prezes UODO, w uzasadnieniu decyzji z 22 marca 2019 r. Stwierdził, iż „realizując obowiązek wynikający z art. 15 ust. 3 RODO, administrator może poprzestać na wskazaniu treści danych dotyczących osoby, z wyłączeniem pozostałych informacji zawartych na nośniku. Wykonanie obowiązku określonego w art. 15 ust. 3 RODO może być zatem realizowane zarówno poprzez sporządzenie kopii lub odpisu dokumentu (nośnika) zawierającego dane osobowe oraz inne dane, jak i poprzez podanie uprawnionemu treści jego danych osobowych, z pominięciem informacji znajdujących się w nośniku, które nie są danymi osobowymi w rozumieniu art. 4 pkt 1 RODO. Nie ma zatem konieczności udostępniania każdego z posiadanych dokumentów, jeżeli zakres danych, który jest w nich zawarty jest taki sam. Podkreślenia również wymaga, że w przypadku zwrócenia się do administratora o kopię przetwarzanych danych osobowych, administrator każdorazowo podejmuje decyzję, w jaki sposób zrealizuje to uprawnienie. Administrator może dokonać wyboru, czy udostępnia kopię dokumentów, czy też udostępnia kopię danych zawartych w tych dokumentach[2].

W przypadku, kiedy administrator zdecyduje się udostępnić osobie, której dane dotyczą, fragment nagrania rozmowy, powinien pamiętać o tym, aby został on tak zmodyfikowany, aby udostępnieniu podlegały tylko i wyłącznie dane osoby (głos), której dane dotyczą z pominięciem danych innych osób (np. pracowników, kontrahentów czy partnerów administratora, którzy uczestniczyli w rozmowie). Pamiętajmy, że uprawnienia przyznane na gruncie RODO, w tym prawo żądania kopii danych, odnoszą się tylko do osoby, której dane dotyczą. Administrator, chroniąc prywatność innych osób, których dane (głos) mogły zostać zarejestrowane podczas rozmowy, powinien zwrócić szczególną uwagę na to, aby tę część nagrania usunąć, zanim udostępni ją osobie zainteresowanej.

[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych RODO).

[2] Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 22 marca 2019 r., ZSZZS.440.6602018

Pobierz wpis w wersji pdf

Podobne wpisy:

Wytyczne organów – przypadkowe ujawnienie danych

Komunikacja elektroniczna jest dziś podstawowym sposobem przesyłania informacji. Wiążą się z nią jednak pewne ryzyka, zwłaszcza jeśli przekazywane komunikaty i dokumenty załączane do wiadomości elektronicznych zawierają dane osobowe. Dane osobowe mogą być również przesyłane pocztą tradycyjną i również ta forma komunikacji nie jest pozbawiona zagrożeń.  Główne ryzyko polega na przypadkowym przesłaniu danych osobowych przez administratora […]

Dostosowanie przedsiębiorców do RODO okiem specjalisty

Czy po dwóch latach od wejścia w życie RODO przedsiębiorcy dostosowali swoje działania do nowych przepisów o ochronie danych osobowych? Jak wynika z ankiety przeprowadzonej przez GDPR Community, pewność większości specjalistów co wdrożenia RODO w organizacjach wynosi mniej niż 50%. Co niepokojące, tylko 6% ankietowanych zagłosowało na „Większość jest zgodna z przepisami (80%<)”. Autorka tekstu […]

Dokładnie przeczytaj regulamin. Nie akceptuj, jeśli nie rozumiesz

Zmiana celu przetwarzania danych osobowych na gruncie RODO

Autor tekstu: Aleksandra Eluszkiewicz Przetwarzanie danych osobowych na gruncie RODO rządzi się swoimi prawami i powinno odbywać się w oparciu o zasady w nim określone. Jedną z naczelnych zasad jest zasada ograniczenia celu, według której dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki