iSecure logo
Blog

Czy administrator musi udostępnić podmiotowi danych nagranie jego rozmów telefonicznych?

Bardzo często spotykamy się z sytuacją, w której rozmowy telefoniczne podlegają nagrywaniu. W ten sposób funkcjonuje znaczna część rynku poczynając od call centre, infolinii sprzedażowych, banków czy placówek medycznych. Osoby, których rozmowa będzie nagrywana powinny zostać o tym fakcie uprzedzone jeszcze przed rozpoczęciem nagrywania. Nagrywanie rozmów stanowi z kolei przetwarzanie danych osobowych, a zatem osoba, której rozmowa została nagrana, będzie mogła skorzystać z przysługujących jej na gruncie RODO[1] praw przewidzianych w art. 15-22.

ŻĄDANIE GLĄDU ORAZ UDOSTĘPNIENIA KOPII DANYCH OSOBOWYCH

Niezależnie od tego z jakiej podstawy prawnej przetwarzania danych osobowych w celu nagrywania rozmów korzysta administrator (wcale nie jest to taka oczywista kwestia), prawo dostępu do danych, w tym uzyskania ich kopii, będzie przysługiwało osobie w każdych okolicznościach.

Zacznijmy od tego, iż zgodnie z art. 15 RODO osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji:

  • cele przetwarzania;
  • kategorie odnośnych danych osobowych;
  • informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;
  • w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
  • informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania;
  • informacje o prawie wniesienia skargi do organu nadzorczego;
  • jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle;
  • informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Z kolei art 15 ust. 3 RODO odnosi się do prawa uzyskania kopii danych osobowych nakładając na administratora obowiązek dostarczenia osobie, której dane dotyczą kopii danych podlegających przetwarzaniu. Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się w powszechnie stosowanej formie elektronicznej.

W tym momencie należy podkreślić, iż prawo wglądu do danych, w tym uzyskania kopii danych, nie jest równoznaczne z prawem do uzyskania nośników (plików, dokumentów), w których dane są zawarte. Przepisy bowiem nie nakładają na administratora danych obowiązku udostępnienia kopii dokumentów papierowych czy plików elektronicznych zawierających dane osobowe. Administrator zobowiązany jest do przekazania kompletnych informacji o przetwarzanych danych określonej osoby. Natomiast to w jaki sposób takich informacji udzieli powinno być rozpatrywane w oparciu o indywidualne kryteria określonego żądania oraz uwzględniając interes osoby, która takie żądanie skierowała do administratora.

ŻĄDANIE UDOSTĘPNIENIA NAGRANIA ROZMOWY

W przypadku żądania udostępnienia nagrania rozmowy osoby, której dane dotyczą, administrator może udostępnić fragment samego nagrania (rozmowy) jako np. pliku z nagranym głosem lub informację o danych przetwarzanych w związku z nagraną rozmową. Sam Prezes UODO, w uzasadnieniu decyzji z 22 marca 2019 r. Stwierdził, iż „realizując obowiązek wynikający z art. 15 ust. 3 RODO, administrator może poprzestać na wskazaniu treści danych dotyczących osoby, z wyłączeniem pozostałych informacji zawartych na nośniku. Wykonanie obowiązku określonego w art. 15 ust. 3 RODO może być zatem realizowane zarówno poprzez sporządzenie kopii lub odpisu dokumentu (nośnika) zawierającego dane osobowe oraz inne dane, jak i poprzez podanie uprawnionemu treści jego danych osobowych, z pominięciem informacji znajdujących się w nośniku, które nie są danymi osobowymi w rozumieniu art. 4 pkt 1 RODO. Nie ma zatem konieczności udostępniania każdego z posiadanych dokumentów, jeżeli zakres danych, który jest w nich zawarty jest taki sam. Podkreślenia również wymaga, że w przypadku zwrócenia się do administratora o kopię przetwarzanych danych osobowych, administrator każdorazowo podejmuje decyzję, w jaki sposób zrealizuje to uprawnienie. Administrator może dokonać wyboru, czy udostępnia kopię dokumentów, czy też udostępnia kopię danych zawartych w tych dokumentach[2].

W przypadku, kiedy administrator zdecyduje się udostępnić osobie, której dane dotyczą, fragment nagrania rozmowy, powinien pamiętać o tym, aby został on tak zmodyfikowany, aby udostępnieniu podlegały tylko i wyłącznie dane osoby (głos), której dane dotyczą z pominięciem danych innych osób (np. pracowników, kontrahentów czy partnerów administratora, którzy uczestniczyli w rozmowie). Pamiętajmy, że uprawnienia przyznane na gruncie RODO, w tym prawo żądania kopii danych, odnoszą się tylko do osoby, której dane dotyczą. Administrator, chroniąc prywatność innych osób, których dane (głos) mogły zostać zarejestrowane podczas rozmowy, powinien zwrócić szczególną uwagę na to, aby tę część nagrania usunąć, zanim udostępni ją osobie zainteresowanej.

[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych RODO).

[2] Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 22 marca 2019 r., ZSZZS.440.6602018

Pobierz wpis w wersji pdf

Podobne wpisy:

Body leasing a zgodność z RODO

Samo pojęcie i funkcjonowanie body leasingu powoduje w praktyce wiele różnych problemów, w szczególności na gruncie ochrony danych osobowych. Zarówno przedsiębiorcy korzystający z usług body leasingu, jak i przedsiębiorcy oferujący skorzystanie z usług body leasingu powinni należycie zadbać o właściwe uregulowanie kwestii bezpieczeństwa informacji w zakresie najmu kadry pracowniczej. Problematyczne jest nie tylko określenie zakresu […]

RODO krok po kroku – część 3: obowiązek zgłaszania naruszenia danych osobowych

RODO krok po kroku – część 3: obowiązek zgłaszania naruszenia danych osobowych

W trzeciej części cyklu o najważniejszych zmianach wprowadzanych przez RODO/GDPR  przedstawiamy obowiązki zgłaszania naruszeń danych osobowych

Formularz kontaktowy – jaka podstawa prawna do udzielenia odpowiedzi?

Możliwość kontaktu to podstawa.   Duża część Spółek udostępnia na swoich stronach internetowych formularze, za pomocą których osoby fizyczne mogą zadawać pytania dotyczące np. oferowanych przez nie produktów czy usług i tematów z nimi związanych. Nawet jeżeli Spółka nie udostępnia takiego formularza, to daje możliwość wysłania takiego zapytania drogą mailową na wskazany przez Spółkę adres […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki