LexDigital

Czy numer telefonu to dane osobowe?

Odwieczne pytanie każdego Administratora brzmi: czy ten zakres danych to już dane osobowe? Niestety, odpowiedź nie jest jednoznaczna. W świecie ochrony danych osobowych pozostaje jeszcze wiele szarych stref, których wyjaśnienia trudno szukać w decyzjach organów nadzoru czy komentarzach do RODO. W artykule postaramy się wskazać możliwe podejście do przetwarzania numeru telefonu, w zależności od kontekstu.

Czy numer telefonu to dane osobowe?

Jak RODO określa informacje o możliwej do zidentyfikowania osobie? Kontekst przetwarzania numeru telefonu.

Rozważając, czy uznajemy numeru telefonu za dane osobowe, musimy zwrócić uwagę na definicję danych osobowych, która znajduje się w art. 4 pkt. 1 rodo:

  „dane osobowe” oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

Powyższa definicja nie przybliża nas do odpowiedzi czy numer telefonu stanowi dane osobowe. Jednocześnie wskazuje ona, że to czy dana informacja jest daną osobową zależy od kontekstu, w którym ta informacja występuje oraz w zestawie z jakimi innymi informacjami czy danymi ją przetwarzamy.

W przypadku, gdy numer telefonu będzie przypisany do konkretnego imienia i nazwiska nie mamy wątpliwości, że połączenie tych danych stanowi dane osobowe. Ponieważ jesteśmy w stanie bezpośrednio lub pośrednio zidentyfikować kim jest ta osoba.

mobile phone, business, phone

Numer telefonu jako jedyna dana osobowa - co wtedy?

W tym przypadku sprawa nabiera kolorów szarości - czy po samym numerze telefonu jesteśmy w stanie przeprowadzić identyfikację konkretnej osoby? I tak i nie, lub jak lubią to określać prawnicy "to zależy".

Dane osobowe należy traktować globalnie w obrębie konkretnego Administratora, czyli firmy, która te dane gromadzi i przetwarza. Jeżeli w jednej z baz posiadamy same numery telefonu np. z ID klienta, a w innej bazie przechowujemy tożsame ID klienta z innymi danymi (np. imię i nazwisko, numer zamówienia, adres korespondencyjny, wartość zakupów itd.), to dla tej firmy baza z ID klienta i numerem telefonu stanowi dane osobowe.

Z odpowiedzią na to pytanie przychodzą decyzje organu nadzorczego, które jeszcze za czasów GIODO w 2007 i w 2008 roku, wskazywały, iż:

W świetle przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. Zm.), zwanej dalej również ustawą, nie budzi wątpliwości, iż numer telefonu jest daną osobową w rozumieniu art. 6 ust. 1 ustawy, bowiem dotyczy możliwej do zidentyfikowania osoby fizycznej.

Oczywiście, jest to decyzja sprzed niemalże 15 lat i została ona wydana w reżimie ustawy o ochronie danych osobowych z 1997 r. Jednak, w świetle braku decyzji czy komentarzy, aktualnie działającego Urzędu ochrony danych osobowych, może stanowić podpowiedź co do rozumienia organu nadzorczego w tej konkretnej sytuacji.

business, computer, mobile

Telemarketing - losowanie numerów telefonów

Zdaje się, że praktyki z tym związane są coraz rzadsze. Często podczas rozmów z osobami, które nie rozumieją realnego wpływu rodo na ochronę naszej prywatności, przytaczamy przykłady związane z nękaniem przez firmy zajmujące się sprzedażą garnków, pościeli czy paneli fotowoltaicznych. Działania takich podmiotów od 2018r. zdecydowanie wyhamowały.

No właśnie - dlaczego jest ich mniej? Ponieważ rodo stało się aktem prawnym promowanym na skalę masową. W mediach słyszymy o rodo, incydentach, naruszeniach czy wyciekach danych. Nasza świadomość co do ochrony naszych danych rośnie z roku na rok. Osoby, które odbierają te telefony pytają i mają do tego prawo: Skąd macie Państwo mój numer telefonu?

Powinniśmy przecież spełnić obowiązek informacyjny w momencie gromadzenia danych osoby fizycznej. Lub jeżeli nie pozyskujemy danych bezpośrednio od osoby, której dane dotyczą, podczas pierwszego kontaktu z nią lub do miesiąca od momentu zgromadzenia, jeśli kontakt nie nastąpił wcześniej to ciąży na nas taki sam obowiązek informacyjny.

Trudno jest spełnić obowiązek informacyjny wobec konkretnej osoby, której numer telefonu został "wylosowany"- brak tutaj źródła pozyskania danych.

makeup, beauty, cosmetics

Dolejmy oliwy do ognia - co na to Prawo telekomunikacyjne?

Nie tylko rodo rości sobie prawa do ustalania wymagań co do przetwarzania danych osobowych. W przypadku, gdy numer telefonu ma zostać wykorzystany do działań marketingowych tj. promowania naszych produktów czy usług należy zweryfikować czy działamy zgodnie z art. 172 Prawa telekomunikacyjnego, który brzmi:

Art.  172.  [Używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego]

  1. Zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę.
  2. Przepis ust. 1 nie narusza zakazów i ograniczeń dotyczących przesyłania niezamówionej informacji handlowej wynikających z odrębnych ustaw.
  3. Używanie środków, o których mowa w ust. 1, dla celów marketingu bezpośredniego nie może odbywać się na koszt konsumenta.

Zwróćcie Państwo uwagę, że w rozumieniu art. 172 PT nie mówimy już tylko o możliwej do zidentyfikowania fizycznej osobie, ale o użytkowniku końcowym. To oznacza, że każdy numer telefonu posiada użytkownika końcowego, który jakby nie patrzeć jest osobą fizyczną.

Zgodnie z wymaganiami Prawa telekomunikacyjnego - w przypadku chęci kontaktu z potencjalnym klientem potrzebujemy uzyskać jego uprzedniej zgody. Tutaj trudno jest uznać, że w procesie prowadzenia marketingu Administrator nie wie, do kogo go kieruje, a numer telefonu to jedyne dane osobowe, które posiada.

iphone, smartphone, apps

Nagrywanie rozmów telefonicznych

Nawet, jeżeli posiadamy tylko numer telefonu konkretnej osoby, podczas gdy w naszej organizacji nagrywamy rozmowy telefoniczne należy wskazać, że podane podczas rozmowy dane będą stanowiły dane osobowe i w połączeniu z numerem telefonu jest daną osobową. Bardzo często systemy centralne obsługujące połączenia infolinii zbierają również dane o lokalizacji, z której dano połączenie nastąpiło.

Proces ten będzie wymagał, jak każda inna sytuacja gromadzenia danych osobowych, pozyskania odpowiedniej podstawy prawnej np. zgody osoby oraz poinformowania o przetwarzaniu (zgodnie z art. 13 rodo). Stąd też zauważamy, że podczas wybrania telefonu infolinii banku, recepcji hotelu itd. słyszymy na początku połączenia informację o tym, kto przetwarzana nasze dane, w jakim celu, jakie mamy prawa oraz pod którym klawiszem możemy odsłuchać szczegółowe informacje o ochronie naszych danych osobowych.

call center, customer service, business solutions

Rozliczalność i dokumentowanie analizy ryzyka

Każdy z Inspektorów ochrony danych osobowych zdaje sobie sprawę, że decyzja Administratora co do tego, czy uznaje numer telefonu jako dane osobowe czy nie i tak odbije się na konieczności opracowania dokumentacji wewnętrznej. Taka dokumentacja będzie stanowiła dowód wykonania analizy ryzyka w tym procesie. Warto jest zatem - jaką ta decyzja nie będzie - udokumentować ją i rozliczyć się z podjętych działań na wypadek kontroli organu nadzorczego. Przemilczenie tej sprawy i brak dowodów na jej analizę może stanowić brak należytej staranności, którą uodo może negatywnie ocenić.

Podsumowując... - rekomendujemy podejście, w którym numer telefonu jest daną osobową osoby fizycznej. Zazwyczaj lepiej dmuchać na zimne i zagwarantować odpowiedni poziom ochrony wszystkim osobom, które pozostawiają nam swoje dane osobowe, nawet jeżeli jest to tylko i aż ich numer telefonu.

Pamiętajmy, że numer telefonu jest dla wielu osób daną osobową bardzo poufną, chronioną przed obcymi osobami. Wiele osób nie chce, aby ktoś przerywał im pracę, czas wolny lub co gorsza budził je w trakcie nocy tylko z uwagi na fakt, że chce sprzedać swoją usługę czy produkt.

Polecane

Co to jest "przetwarzanie danych osobowych"?

Co to jest "przetwarzanie danych osobowych"?

"Przetwarzanie danych osobowych" jest jednym z kluczowych pojęć związanych z ochroną prywatności w dzisiejszym świecie cyfrowym. Oznacza ono wszelkie operacje wykonywane na danych osobowych, takie jak m.n. zbieranie, przechowywanie, czy udostępnianie ich innym podmiotom.

GRC — Governance Risk Compliance

GRC — Governance Risk Compliance

GRC to skrót od angielskich pojęć Governance Risk Compliance, co wolnym tłumaczeniu oznacza: ład korporacyjnym ryzyko i zgodność. Innymi słowy, jest pojęciem, które określa podejście do zarządzania ryzykiem i zgodnością w organizacjach. GRC pomaga firmom w identyfikacji, zarządzaniu i kontrolowaniu różnych rodzajów ryzyk związanych z działalnością biznesową oraz zapewnia, że organizacja działa zgodnie z wymaganiami regulacyjnymi i etycznymi.

Popularne

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency > <img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk