W placówkach Poczty Polskiej niezwykle łatwo można przekazać nieuprawnionym osobom swoje dane osobowe, w tym m.in. imię i nazwisko oraz adres zamieszkania. Wystarczy podać dane na głos przy okienku, a osoby stojące w kolejce mogą dowiedzieć się na przykład o czyjejś sytuacji zdrowotnej lub finansowej. Na przestrzeni ostatnich kilku miesięcy wielokrotnie spotykałem się z taką sytuacją. Jednego dnia, stojąc w kolejce, przypadkiem usłyszałem, jak starsza kobieta realizowała przelew. Mówiła, że to za leczenie, a następnie, nie przejmując się długą kolejką, podała na głos swój dokładny adres zamieszkania. Innym razem klientka poczty ubrana na czarno wspomniała przy okienku o śmierci męża. Te i inne prywatne informacje usłyszałem, gdy stałem w kolejce w dużej odległości od mówiącej osoby. Podobne sytuacje mają miejsce np. w aptekach, gdzie farmaceuta prosi o podanie numeru PESEL podczas realizowania recepty. Klienci podają te dane i niestety często robią to na głos.
Wiele osób słyszało o RODO (ogólne rozporządzenie o ochronie danych osobowych), ale szczególnie osoby starsze nie mają pojęcia, jak niebezpieczne może być podawanie na głos swoich danych wrażliwych. Czy w związku z tym zlecenie ustne realizowane np. na Poczcie Polskiej nie powinno być zakazane? Czy można w jakiś sposób zwiększyć bezpieczeństwo klientów? Next.gazeta.pl poprosił Urząd Ochrony Danych Osobowych (UODO) o stanowisko w tej sprawie.
Przychodzi klient do Poczty Polskiej i... podaje wszystkim dane osobowe
"Problem podawania na głos danych osobowych przez obywateli w różnego rodzaju instytucjach, firmach, placówkach czy głośne wyczytywanie danych osobowych przez osoby realizujące jakąś czynność np. w tzw. okienkach rejestracyjnych, stanowi poważny problem w kontekście możliwości naruszeń przepisów o ochronie danych osobowych" - przekazał nam rzecznik prasowy urzędu Karol Witowski.
W tym kontekście przypomniał, że w lutym 2025 r. Naczelny Sąd Administracyjny potwierdził stanowisko prezesa UODO, że żądanie podawania na głos imienia i nazwiska stanowi przetwarzanie danych osobowych. Stanowisko dotyczyło skargi złożonej przez pasażera autobusu. Kierowca zażądał od niego, aby podał na głos swoje dane osobowe, przez co poznały je również inne osoby, które w tamtym momencie przebywały w autobusie. Więcej na ten temat pisaliśmy w poniższym artykule:
Rzecznik prasowy UODO wyjaśnił, że zlecenie ustne realizowane np. na poczcie może jak najbardziej naruszać przepisy RODO w sytuacji, gdy klient placówki jest proszony przy okienku o podanie na głos (często odbywa się to w celach pomocniczych, np. dla weryfikacji danych) przykładowo swojego imienia i nazwiska lub danych adresowych, a obok okienka czy choćby w jego pobliżu znajdują się inne osoby.
W tej sytuacji, jak podkreślił Karol Witowski, bardzo łatwo może dojść do ujawnienia danych osobowych. "Zatem w takim przypadku mogą zostać naruszone m.in. przepisy RODO - konkretnie art. 5 ust. 1, który mówi o zasadzie bezpieczeństwa, tzn. o tym, że administrator danych osobowych jest zobowiązany wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić bezpieczeństwo przetwarzania danych - oznacza to również ochronę przed nieautoryzowanym dostępem do tych danych. Przepisy te mają zapewnić poufność oraz minimalizację ryzyka przetwarzania danych" - zaznaczył.
Należy mieć na uwadze, że niezależnie od prawa do pozyskiwania danych osobowych, osoby, które te dane zbierają, powinny postępować tak, by nie dochodziło przy tym ani do ujawnienia danych osobowych osobom nieuprawnionym (np. innym osobom oczekującym w kolejce)
- dodał rzecznik prasowy UODO.
Jak chronić dane osobowe? Stanowisko UODO i Poczty Polskiej
Zapytaliśmy również, w jaki sposób można chronić swoje dane osobowe i jakie mechanizmy ochronne mogłyby wprowadzić firmy takie jak Poczta Polska.
"W miejscach, w których pracownicy danego administratora muszą weryfikować tożsamość interesantów, nietrudno wprowadzić rozwiązania, które pozwalałyby zapewnić bezpieczne przetwarzanie danych osobowych w trakcie realizowania czynność przy okienku. Jednym z nich może być zastosowanie jedynie pisemnych oświadczeń, tzn. zapewnienie przy okienku komunikacji wyłącznie pisemnej na kartkach papieru, które następnie byłyby od razu niszczone albo oddawane samemu klientowi - wymagałoby to, jak można przewidywać, zmian w przepisach wewnętrznych Poczty Polskiej jako spółki, ale też tego rodzaju zmiany zapewne stwarzałyby już mniejsze ryzyko ujawnienia danych podczas realizacji czynności z klientem przy okienku" - wyjaśnił nam rzecznik prasowy UODO.
Dodał, że korzystnym rozwiązaniem może być takie zapewnienie rozwiązań przestrzennych w placówce, aby odległości między klientami oraz między stanowiskami obsługi były na tyle duże, że zapoznanie się osób postronnych z podawanymi nagłos danymi było niemożliwe. Stanowiska obsługi/okienka mogą być również skonstruowane w inny sposób, aby zagwarantować poufność wymiany informacji.
Zdaniem Karola Witowskiego instytucja może też wprowadzić system numerów identyfikujących, aby do każdego klienta przypisany był odpowiedni numer, na podstawie którego możliwa jest identyfikacja i którego ujawnienie nie zdradza informacji o danej osobie. "Oczywiście wiąże się to z koniecznością pamiętania numerów identyfikacyjnych, ale jest to rozwiązanie znacznie bezpieczniejsze dla danych osobowych. Wystarczy bowiem, że obsługa wpisze numer do swojego systemu, by uzyskać dane osobowe potrzebne do załatwienia konkretnej sprawy" - wyjaśnił.
Poprosiliśmy również Pocztę Polską o stanowisko w tej sprawie. "W ramach świadczenia usługi Wpłata na rachunek bankowy klienci Poczty Polskiej mają dostępne szerokie możliwości i różne formy składania dyspozycji, np. poprzez przekazanie danych zanotowanych na kartce lub fakturze, na wypełnionym blankiecie wpłaty czy ostatnim dowodzie wpłaty, a także zapisanych na urządzeniu mobilnym np. telefonie, tablecie itd. Pragniemy też podkreślić, że zlecenie ustne jest dopuszczalne i zgodne z przepisami RODO i klient ma prawo składać takie zlecenia. Informujemy, że pracownicy przekazują klientom informację o różnych możliwościach zlecania wpłaty na rachunek bankowy (przypominamy: oprócz ustnego zlecenia może to być np. blankiet otrzymany od wystawcy faktury, książeczka wpłat na rachunki bankowe). Nigdy nie jest wymagane ustne przekazanie danych osobowych" - podkreśla poczta.
Czym są dane osobowe?
Zgodnie z rozporządzeniem Parlamentu Europejskiego I Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (RODO) dane osobowe to każde informacje, które pozwalają lub pomagają pośrednio zidentyfikować konkretną osobę fizyczną. Może to być np. imię i nazwisko, data urodzenia, adres zamieszkania, numer PESEL, adres e-mail lub numer telefonu.
Z kolei przetwarzanie danych oznacza "operację lub zestaw operacji wykonywanych na danych osobowych, lub zestawach danych osobowych w sposób zautomatyzowany, lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie".
W rozporządzeniu pojawia się również definicja "pseudonimizacji", która oznacza przetworzenie danych osobowych w taki sposób, aby nie można ich było przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.
Napisz do autora: dominik.molinski@grupagazeta.pl
