Jednym z najczęstszych zagadnień jawiących się na tle stosowania przepisów o ochronie danych osobowych jest telefoniczne udostępnianie przez pracodawcę bankowi danych o wynagrodzeniu pracownika w celu weryfikacji jego zdolności kredytowej przy ubieganiu się o kredyt lub pożyczkę. W związku z tą praktyką nasuwają się pytania o dopuszczalność i sposób ujawnienia tego rodzaju informacji.
W pierwszym rzędzie należy odpowiedzieć sobie na pytanie czy pracodawca może ujawnić podmiotowi trzeciemu informacje o zarobkach pracownika, a jeśli tak, to na jakiej podstawie prawnej.
Dopuszczalność ujawnienia danych pracownika na potrzeby weryfikacji jego zdolności kredytowej, co docelowo służyć ma zaciągnięciu przez podwładnego zobowiązania, nie budzi żądnych wątpliwości. Wszakże odmowa potwierdzenia informacji o zarobkach pracownika mogłaby skutkować ujemnymi konsekwencjami dla pracownika jako słabszej strony stosunku prawnego, uniemożliwiając mu realizację celów konsumpcyjnych finansowanych przez bank. Nadto, za dopuszczalnością ujawnienia danych o dochodach pracowników opowiedział się już swego czasu Generalny Inspektor Ochrony Danych Osobowych na gruncie nieobowiązującej już ustawy o ochronie danych osobowych z 1997 r. Pogląd ten zachowuje aktualność także na gruncie obowiązywania ogólnego rozporządzenia o ochronie danych (RODO) i ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych.
Podstawy prawnej dla omawianej operacji przetwarzania danych należy upatrywać w zgodzie pracownika [art. 6 ust. 1 lit. a) RODO]. Rekomendujemy, aby pracodawca odebrał od pracownika oświadczenie o wyrażeniu zgody na udostępnienie danych osobowych, w tym informacji o wysokości zarobków konkretnemu bankowi w celu umożliwienia temu podmiotowi weryfikacji wysokości zarobków pracownika na potrzeby skorzystania z usług banku. Wprawdzie składając wniosek o wydanie zaświadczenia o zarobkach pracownik przyzwala jednocześnie na przetwarzanie dotyczących go danych osobowych poprzez wyraźne działanie potwierdzające (art. 4 pkt 11 RODO), jednak z czynności takiej nie wynika jeszcze zezwolenie na ujawnienie przez pracodawcę tego rodzaju informacji w korespondencji z bankiem. Przed wydaniem zaświadczenia o zarobkach pracodawca winien uprzedzić pracownika o możliwości potwierdzania bankowi informacji objętych zaświadczeniem, a ewentualna zgoda na ten krok winna zostać utrwalona w formie pisemnej lub dokumentowej, by w myśl zasady rozliczalności (art. 5 ust. 2 RODO) podmiot zatrudniający mógł wykazać przed organem nadzorczym fakt jej udzielenia przez pracownika.
Kolejnym aspektem omawianego problemu jest kwestia sposobu ujawnienia powyższych informacji. Banki częstokroć wybierają kontakt telefoniczny z pracodawcą jako najszybszą metodę potwierdzenia autentyczności treści zaświadczenia. Jest to jednak praktyka budząca spore kontrowersje w kontekście poufności danych osobowych, gdyż osoba przedstawiająca się za pracownika banku wcale nie musi nim być. Swego czasu GIODO zajął stanowisko na ten temat (dostępne na stronie internetowej pod następującym adresem: https://giodo.gov.pl/pl/329/2876), podkreślając, że pracodawca musi zachować daleko idącą ostrożność przy ujawnianiu danych, uznając za niezbędne „przyjęcie takiego rozwiązania (formy potwierdzania danych), które całkowicie wyeliminuje możliwość udostępnienia tych danych osobie innej niż pracownik określonej instytucji, a więc osobie nieupoważnionej. Zatem, osoba udzielająca informacji w zakresie danych osobowych musi potwierdzić tożsamość swojego rozmówcy, by z całą pewnością móc stwierdzić, że osoba telefonująca do niej w celu zweryfikowania danych jest rzeczywiście przedstawicielem określonej instytucji, w imieniu której posiada upoważnienie do uzyskania podanych informacji”.
Na kanwie tego stanowiska przyjmuje się różne sposoby uwierzytelnienia tożsamości osoby podającej się za pracownika banku, chcącej ustalić fakt zatrudnienia i wysokość zarobków pracownika starającego się o kredyt lub pożyczkę. Jednym z takich sposobów jest prośba o podanie przez rozmówcę imienia, nazwiska, stanowiska oraz stacjonarnego numeru telefonu do kontaktu celem sprawdzenia, czy podany numer rzeczywiście należy do banku. Niekiedy podkreśla się obowiązek zapytania czy pracownik pytający może mieć w ogóle dostęp do danych, o które wystąpił podczas rozmowy. W tym celu należałoby zadzwonić na publicznie dostępny numer danego oddziału banku z pytaniem czy osoba, która wykonała połączenie rzeczywiście jest pracownikiem banku i posiada stosowne upoważnienia do przetwarzania danych podanych w rozmowie telefonicznej. Za jeszcze bezpieczniejsze rozwiązanie powszechnie uznaje się poproszenie rozmówcy o pisemne zwrócenie się przez bank z prośbą o potwierdzenie danych zawartych w zaświadczeniu, gdyż pracodawca nie ma obowiązku podawania tego typu informacji przez telefon. Nieco mniej formalnym rozwiązaniem byłoby poproszenie pracownika banku o przesłanie zapytania za pośrednictwem (służbowego) maila, na który pracodawca udzieliłby odpowiedzi. Nawet w takim wypadku zalecane jest sprawdzenie danych podanych w mailu pracownika banku poprzez skontaktowanie się z placówką, w której ten pracownik jest zatrudniony (podwójna weryfikacja zapobiegająca ryzyku założenia skrzynki mailowej przez hakera na domenie banku).
Być może niektórym pracodawcom takie działania wydają się zbyt rygorystyczne, jednak skutki braku weryfikacji tożsamości pracownika banku, w razie gdyby okazało się, że nim jednak nie jest, mogłyby okazać się zgubne dla pracodawcy. Wśród konsekwencji należy wymienić m.in. konieczność zgłoszenia organowi nadzorczemu naruszenia ochrony danych osobowych.
Data publikacji: 24.10.2018.