Przy udzielaniu informacji telefonicznych osobie telefonującej do jednostki, należy dokonać wnikliwej weryfikacji osób dzwoniących. Przede wszystkim należy pamiętać, że Administrator, zobowiązany jest zachować wszelkie środki ostrożności w celu ochrony danych osobowych petentów/klientów które posiada w swoich zasobach.
Sprawą pierwszoplanową dla wszystkich pracowników Administratora danych jest ochrona informacji dotycząca petentów/klientów. Pracownik udzielający telefonicznie informacji powinien zabezpieczyć, zgodnie ze ścisłymi zasadami bezpieczeństwa i poufności, każdą informację jaka dotyczy petentów/klientów.
Zgodnie z art. 12 ust. 6 RODO weryfikacja osoby dzwoniącej powinna być przeprowadzona wtedy, gdy administrator ma „uzasadnione wątpliwości co do tożsamości” osoby składającej żądanie/zadającej pytanie telefonicznie.
W celu weryfikacji Administrator może żądać dodatkowych informacji niezbędnych do potwierdzenia tożsamości osoby dzwoniącej. To jakie będą to informacje, zależeć będzie od okoliczności konkretnego przypadku, czyli okoliczności określonego procesu przetwarzania danych osobowych.
W praktyce weryfikacja najczęściej odbywa się poprzez odpytanie osoby zadającej pytanie telefonicznie o podanie swoich danych, takich jak np. nazwisko, adres e-mail, numer klienta, nr PESEL, czy innych informacji przypisanych danej osobie, którymi dysponuje Administrator.
Zestaw pytań weryfikacyjnych musi być oczywiście tak dobrany, aby dotyczył tylko takich danych czy informacji, jakie Administrator jest w stanie porównać z danymi/ informacjami zgromadzonymi w zasobach Administratora na temat tej osoby. Zbieranie szerszego zakresu danych, które nie będą służyły weryfikacji, będzie niezgodne z zasadą minimalizacji danych (art. 5 ust. 1 lit. c RODO).
Wskazane jest udokumentowanie w systemie prowadzenia rozmowy i jej efektu (notatka z rozmowy), aby zapewnić w przyszłości skuteczność procesu na wypadek kwestionowania sposobu podejmowanych działań.
Podczas rozmów dbamy o profesjonalizm. Weryfikacja jest dokonywana w celu zmniejszenia ryzyka ujawnienia tajemnicy danych osobowych osobom nieupoważnionym. Przed identyfikacją i weryfikacją nigdy nie udzielajmy żadnych informacji objętych ochroną danych osobowych. Przeprowadzamy weryfikację klienta, zadając minimum 2 pytania (np. imię i nazwisko, nr klienta, data urodzenia, PESEL, adres,). Warto dodać, że na każde pytanie musimy uzyskać poprawną odpowiedź. Jeżeli rozmówca podaje prawidłowe dane, ale podejrzewamy, że może pod klienta podszywać się osoba trzecia, musimy zadać co najmniej jedno pytanie dodatkowe (numer telefonu, adres e-mail, adres do korespondencji). Na każde zadane pytanie pracownik Administratora powinien uzyskać odpowiedź jednoznaczną, nie budzącą żadnych wątpliwości oraz zgodną z danymi zawartymi w systemie lub dokumentacji. Pamiętać również należy, że nigdy nie potwierdzamy odpowiedzi klienta. Pracownik nie może okazać rozmówcy, czy udzielona odpowiedź jest poprawna czy błędna. Nie można również zadawać pytań weryfikujących; na które pracownik nie potrafi odnaleźć odpowiedzi w systemie lub na które w systemie odpowiedź w ogóle nie widnieje. W przypadku jakichkolwiek wątpliwości, co do tożsamości, pracownik Administratora odmawia udzielenia informacji przez telefon i prosi o przesłanie prośby/wniosku w formie pisemnej do siedziby Administratora, bądź kontaktu osobistego w siedzibie Administratora.
Podstawa prawna
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.).