Poczta Polska jako administrator musi zapewniać skuteczną ochronę danych osobowych

Poprzez odbieranie zleceń w formie ustnej przez pracowników Poczty Polskiej od klientów może dochodzić do ujawnienia danych osobowych osobom trzecim. Takie przetwarzanie danych może przyczynić się do wykorzystania tych informacji do innych celów, a więc będzie to działanie niezgodne z zasadami wynikającymi z przepisów rozporządzenia ogólnego o ochronie danych osobowych (RODO). Dlatego Prezes UODO skierowała wystąpienie do Poczty Polskiej w tej sprawie (na podstawie art. 52 ustawy z 10 maja 2018 r. o ochronie danych osobowych). Zwraca w nim uwagę na zagrożenia, które wynikają z przyjętego rozwiązania.

- Podawanie w obecności innych osób danych osobowych niezbędnych do przelewu ogranicza prywatność zarówno dokonującego przelew, jak i odbiorcy przelewu. Co więcej, podczas ustnego określania w placówce pocztowej tytułu przelewu, może dojść do ujawnienia szczególnych kategorii danych osobowych, np. o stanie zdrowia (tytułem przelewu może być np. leczenie, operacja etc.) - stwierdza dr Edyta Bielak-Jomaa.

Wspomniany sposób realizowania wpłaty na rachunek bankowy to jedno z kilku rozwiązań dostępnych dla klientów Poczty Polskiej. Jak wynika z otrzymanej przez Prezesa UODO informacji, która przyczyniła się do sformułowania wystąpienia, pracownicy poczty nie informują klientów o alternatywnym sposobie zrealizowania przelewu.

- Skoro regulamin Poczty Polskiej przewiduje inne sposoby realizacji przelewu bankowego niż w formie ustnej, to pracownicy Poczty Polskiej powinni informować klientów o takiej możliwości, tak by nie nakłaniać jedynie do realizacji przekazów w formie werbalnej. Pracownicy Poczty Polskiej powinni być zatem, w tym zakresie pouczeni i zobligowani do takiego przyjmowania zleceń wpłat na rachunek bankowy, które pozostawać będą w zgodzie z przepisami dotyczącymi ochrony danych osobowych - wyjaśnia dr Edyta Bielak-Jomaa.

Poczta Polska jako administrator odpowiada za prawidłowe zabezpieczenie danych osobowych (art. 24 i 32 RODO). Spółka ta powinna zatem podjąć wszelkie środki, aby nie dopuścić np. do utraty czy pozyskania przez osoby trzecie danych osobowych, za których przetwarzanie jest odpowiedzialna .

Dlatego Prezes UODO proponuje, aby Poczta Polska powtórnie przeanalizowała, czy przyjęta możliwość zleceń ustnych powinna być realizowana i rozważyła, czy powinna następować w wyjątkowych sytuacjach, a nie być zasadą. Jeśli usługa ta ma być nadal dostępna, to Spółka powinna tak ją zorganizować, aby przetwarzane przez nią dane osobowe były właściwie zabezpieczone i pozyskiwane w sposób, który uniemożliwi ich ujawnianie osobom trzecim.