[b]Pracownik ubiega się o kredyt hipoteczny. Ostatnio jego pracodawca otrzymał z banku telefon. Osoba podająca się za pracownika tej instytucji zażądała potwierdzenia, czy podwładny rzeczywiście pracuje w jego firmie. Domagała się też, aby przedsiębiorca podał, ile zatrudniony zarabia. Czy stosowana przez banki procedura weryfikowania danych osobowych kredytobiorców poprzez telefoniczne potwierdzanie ich zatrudnienia i zarobków u pracodawców jest dopuszczalna?[/b]
[i] [b]Odpowiada Michał Serzycki, generalny inspektor ochrony danych osobowych:[/b][/i]
[b]Tak.[/b] Jest jednak „ale”. Pracodawca musi mieć całkowitą pewność, że odbiorca jest tą osobą, za którą się podaje.
[link=http://www.rp.pl/aktyprawne/akty/akt.spr;jsessionid=9AFCDB997F88A6B5F7FF1BBDC2C1B99A?id=166335]Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych[/link] w art. 36 ust. 1 wskazuje na jeden z podstawowych obowiązków administratora danych osobowych, w tym wypadku pracodawcy, jakim jest zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym.
W przypadku telefonicznej weryfikacji danych pracownika występującego z wnioskiem o przyznanie mu kredytu, np. w zakresie dotyczącym wysokości wypłacanego wynagrodzenia, może dojść do udostępnienia przez pracodawcę danych osobowych zatrudnionego osobie nieupoważnionej, podającej się za urzędnika.
Pracodawca potencjalnego kredytobiorcy w tym wypadku nie może z całą pewnością stwierdzić, że osoba telefonująca do niego w celu sprawdzenia podanych przez pracownika informacji rzeczywiście jest przedstawicielem banku.
[b]A jeśli bez zastanowienia poda wspomniane informacje nieznanej osobie?[/b]
Jeśli przedsiębiorca nie wywiąże się z obowiązku zabezpieczenia danych, może to prowadzić do powstania odpowiedzialności karnej na podstawie art. 51 ustawy o ochronie danych. Jest na nią narażony nie tylko ten, kto administrując zbiorem danych lub będąc obowiązany do ich ochrony, udostępnia je osobom nieupoważnionym, ale również ten, kto choćby umożliwia dostęp do takich informacji osobom nieupoważnionym. Sankcja za to jest surowa – nawet pozbawienie wolności do dwóch lat.
Również przewodniczący Komisji Nadzoru Bankowego wskazał na niebezpieczeństwo naruszenia przepisów ustawy o ochronie danych osobowych przez pracodawców w związku z telefoniczną weryfikacją informacji o kliencie banku, a ich pracowniku.
W piśmie z 1 października 2004 r. [b](NB-BPN-I-077-15/05)[/b] stwierdził, że „kiedy problem dotyczy potwierdzania danych osobowych przez banki u pracodawców ich kredytobiorców, odpowiedzialność spoczywa na pracodawcach jako administratorach danych osobowych, a nie na bankach”.
[b]A czy w ogóle zgodne z prawem jest pozyskiwanie przez banki takich tajnych danych, jak choćby wysokość zarobków podwładnych kredytobiorców, w rozmowie telefonicznej?[/b]
To równie ważna kwestia. W tym wypadku warto wskazać na [b]pismo Narodowego Banku Polskiego do generalnego inspektora nadzoru bankowego z 6 kwietnia 2001 r. (NB/BPN/I/214/01)[/b] skierowane do osób kierujących bankami. Zawiera ono stwierdzenie, że „przepisy ustawy – Prawo bankowe i ustawy o ochronie danych osobowych nie przewidują telefonicznej formy pozyskiwania żądanych informacji. Banki nie mogą więc uzależniać przyznania kredytu od udzielenia informacji w tej formie”.
W związku z taką praktyką niezbędne jest – w mojej ocenie – przyjęcie takiej formy potwierdzania informacji o osobie zatrudnionej starającej się o kredyt, która całkowicie wyeliminuje możliwość udostępnienia jej danych innej osobie niż pracownik określonej instytucji, a więc nieupoważnionej.
A zatem pracodawca lub osoba udzielająca informacji w zakresie danych osobowych musi potwierdzić tożsamość swojego rozmówcy tak, aby z całą pewnością móc stwierdzić, że jest on rzeczywiście przedstawicielem danej instytucji, w imieniu której posiada upoważnienie do uzyskania podanych informacji.
