Polityka i prawo
Poczta Polska jako administrator musi zapewniać skuteczną ochronę danych osobowych
Procedura Poczty Polskiej S.A. realizowania wpłat na rachunek bankowy przez tzw. zlecenie ustne wymaga ponownego zbadania, czy jest zgodna z przepisami o ochronie danych osobowych. Usługa ta wzbudziła wątpliwości Prezesa Urzędu Ochrony Danych Osobowych, dr Edyty Bielak-Jomaa.
Poprzez odbieranie zleceń w formie ustnej przez pracowników Poczty Polskiej od klientów może dochodzić do ujawnienia danych osobowych osobom trzecim. Takie przetwarzanie danych może przyczynić się do wykorzystania tych informacji do innych celów, a więc będzie to działanie niezgodne z zasadami wynikającymi z przepisów rozporządzenia ogólnego o ochronie danych osobowych (RODO). Dlatego Prezes UODO skierowała wystąpienie do Poczty Polskiej w tej sprawie (na podstawie art. 52 ustawy z 10 maja 2018 r. o ochronie danych osobowych). Zwraca w nim uwagę na zagrożenia, które wynikają z przyjętego rozwiązania.
Podawanie w obecności innych osób danych osobowych niezbędnych do przelewu ogranicza prywatność zarówno dokonującego przelew, jak i odbiorcy przelewu. Co więcej, podczas ustnego określania w placówce pocztowej tytułu przelewu, może dojść do ujawnienia szczególnych kategorii danych osobowych, np. o stanie zdrowia (tytułem przelewu może być np. leczenie, operacja etc.)
Wspomniany sposób realizowania wpłaty na rachunek bankowy to jedno z kilku rozwiązań dostępnych dla klientów Poczty Polskiej. Jak wynika z otrzymanej przez Prezesa UODO informacji, która przyczyniła się do sformułowania wystąpienia, pracownicy poczty nie informują klientów o alternatywnym sposobie zrealizowania przelewu.
Skoro regulamin Poczty Polskiej przewiduje inne sposoby realizacji przelewu bankowego niż w formie ustnej, to pracownicy Poczty Polskiej powinni informować klientów o takiej możliwości, tak by nie nakłaniać jedynie do realizacji przekazów w formie werbalnej. Pracownicy Poczty Polskiej powinni być zatem, w tym zakresie pouczeni i zobligowani do takiego przyjmowania zleceń wpłat na rachunek bankowy, które pozostawać będą w zgodzie z przepisami dotyczącymi ochrony danych osobowych
Poczta Polska jako administrator odpowiada za prawidłowe zabezpieczenie danych osobowych (art. 24 i 32 RODO). Spółka ta powinna zatem podjąć wszelkie środki, aby nie dopuścić np. do utraty czy pozyskania przez osoby trzecie danych osobowych, za których przetwarzanie jest odpowiedzialna.
Dlatego Prezes UODO proponuje, aby Poczta Polska powtórnie przeanalizowała, czy przyjęta możliwość zleceń ustnych powinna być realizowana i rozważyła, czy powinna następować w wyjątkowych sytuacjach, a nie być zasadą. Jeśli usługa ta ma być nadal dostępna, to Spółka powinna tak ją zorganizować, aby przetwarzane przez nią dane osobowe były właściwie zabezpieczone i pozyskiwane w sposób, który uniemożliwi ich ujawnianie osobom trzecim.