iSecure logo
Blog

Czy administrator musi udostępnić podmiotowi danych nagranie jego rozmów telefonicznych?

Bardzo często spotykamy się z sytuacją, w której rozmowy telefoniczne podlegają nagrywaniu. W ten sposób funkcjonuje znaczna część rynku poczynając od call centre, infolinii sprzedażowych, banków czy placówek medycznych. Osoby, których rozmowa będzie nagrywana powinny zostać o tym fakcie uprzedzone jeszcze przed rozpoczęciem nagrywania. Nagrywanie rozmów stanowi z kolei przetwarzanie danych osobowych, a zatem osoba, której rozmowa została nagrana, będzie mogła skorzystać z przysługujących jej na gruncie RODO[1] praw przewidzianych w art. 15-22.

ŻĄDANIE GLĄDU ORAZ UDOSTĘPNIENIA KOPII DANYCH OSOBOWYCH

Niezależnie od tego z jakiej podstawy prawnej przetwarzania danych osobowych w celu nagrywania rozmów korzysta administrator (wcale nie jest to taka oczywista kwestia), prawo dostępu do danych, w tym uzyskania ich kopii, będzie przysługiwało osobie w każdych okolicznościach.

Zacznijmy od tego, iż zgodnie z art. 15 RODO osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji:

  • cele przetwarzania;
  • kategorie odnośnych danych osobowych;
  • informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;
  • w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
  • informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania;
  • informacje o prawie wniesienia skargi do organu nadzorczego;
  • jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle;
  • informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Z kolei art 15 ust. 3 RODO odnosi się do prawa uzyskania kopii danych osobowych nakładając na administratora obowiązek dostarczenia osobie, której dane dotyczą kopii danych podlegających przetwarzaniu. Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się w powszechnie stosowanej formie elektronicznej.

W tym momencie należy podkreślić, iż prawo wglądu do danych, w tym uzyskania kopii danych, nie jest równoznaczne z prawem do uzyskania nośników (plików, dokumentów), w których dane są zawarte. Przepisy bowiem nie nakładają na administratora danych obowiązku udostępnienia kopii dokumentów papierowych czy plików elektronicznych zawierających dane osobowe. Administrator zobowiązany jest do przekazania kompletnych informacji o przetwarzanych danych określonej osoby. Natomiast to w jaki sposób takich informacji udzieli powinno być rozpatrywane w oparciu o indywidualne kryteria określonego żądania oraz uwzględniając interes osoby, która takie żądanie skierowała do administratora.

ŻĄDANIE UDOSTĘPNIENIA NAGRANIA ROZMOWY

W przypadku żądania udostępnienia nagrania rozmowy osoby, której dane dotyczą, administrator może udostępnić fragment samego nagrania (rozmowy) jako np. pliku z nagranym głosem lub informację o danych przetwarzanych w związku z nagraną rozmową. Sam Prezes UODO, w uzasadnieniu decyzji z 22 marca 2019 r. Stwierdził, iż „realizując obowiązek wynikający z art. 15 ust. 3 RODO, administrator może poprzestać na wskazaniu treści danych dotyczących osoby, z wyłączeniem pozostałych informacji zawartych na nośniku. Wykonanie obowiązku określonego w art. 15 ust. 3 RODO może być zatem realizowane zarówno poprzez sporządzenie kopii lub odpisu dokumentu (nośnika) zawierającego dane osobowe oraz inne dane, jak i poprzez podanie uprawnionemu treści jego danych osobowych, z pominięciem informacji znajdujących się w nośniku, które nie są danymi osobowymi w rozumieniu art. 4 pkt 1 RODO. Nie ma zatem konieczności udostępniania każdego z posiadanych dokumentów, jeżeli zakres danych, który jest w nich zawarty jest taki sam. Podkreślenia również wymaga, że w przypadku zwrócenia się do administratora o kopię przetwarzanych danych osobowych, administrator każdorazowo podejmuje decyzję, w jaki sposób zrealizuje to uprawnienie. Administrator może dokonać wyboru, czy udostępnia kopię dokumentów, czy też udostępnia kopię danych zawartych w tych dokumentach[2].

W przypadku, kiedy administrator zdecyduje się udostępnić osobie, której dane dotyczą, fragment nagrania rozmowy, powinien pamiętać o tym, aby został on tak zmodyfikowany, aby udostępnieniu podlegały tylko i wyłącznie dane osoby (głos), której dane dotyczą z pominięciem danych innych osób (np. pracowników, kontrahentów czy partnerów administratora, którzy uczestniczyli w rozmowie). Pamiętajmy, że uprawnienia przyznane na gruncie RODO, w tym prawo żądania kopii danych, odnoszą się tylko do osoby, której dane dotyczą. Administrator, chroniąc prywatność innych osób, których dane (głos) mogły zostać zarejestrowane podczas rozmowy, powinien zwrócić szczególną uwagę na to, aby tę część nagrania usunąć, zanim udostępni ją osobie zainteresowanej.

[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych RODO).

[2] Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 22 marca 2019 r., ZSZZS.440.6602018

Pobierz wpis w wersji pdf

Podobne wpisy:

Dane osobowe dzieci w internecie

Zgoda dziecka na przetwarzanie danych osobowych

Publikacja mojego artykułu przypada na pierwszy dzień kwietnia, który w łacinie to nie inaczej, jak prima (dies) Aprilis. Pomimo tej okoliczności, dzisiaj nie o żartach, a o poważnych i interesujących tematach, jak na blog iSecure przystoi, a mianowicie – o zgodzie dzieci na przetwarzanie ich danych osobowych. Zaznaczam na wstępie, że niniejszy artykuł tylko o […]

W jaki sposób stosować przepisy dotyczące obniżki cen na podstawie Dyrektywy Omnibus?

Od 1 stycznia 2023 r. doszło do sporej rewolucji w przepisach ustawy o prawach konsumenta, jak również ustawy o informowaniu o cenach towaru i usług. Same zmiany w prawie konsumenckim były jeszcze szersze niż tylko te, o których wspominamy. W dzisiejszym wpisie postaramy się podsumować zmiany w sposobie prezentacji promocji/obniżek cenowych. Bardziej skupimy się na […]

Czy zawsze należy zawierać umowę powierzenia przetwarzania danych osobowych ze współpracownikiem?

Odpowiedź na pytanie, czy należy zawierać umowę powierzenia przetwarzania danych osobowych ze współpracownikiem nie jest jednoznaczna. W praktyce okazuje się, że wielu administratorów zastanawia się nad prawidłową podstawą uregulowania kwestii ochrony danych osobowych z osobami współpracującymi na podstawie umów cywilnoprawnych, w szczególności współpracowników prowadzących jednoosobowe działalności gospodarcze. Dla administratora istotne jest określnie kilku czynników, które […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki