Przetwarzanie numeru telefonu

Imię, nazwisko, adres — to podstawowe dane osobowe, po których z łatwością zidentyfikować konkretną osobę. A co z numerem telefonu? Wydaje się, że jest to jedynie sekwencja cyfr, ale nie potrzeba wielkiego wysiłku, by ustalić, kto jest właścicielem numeru. Dlatego też numer telefonu należy traktować jak daną osobową i wiedzieć, jak ją odpowiednio przetwarzać.

  • Rafał Stępniewski
  • /
  • 8 sierpnia 2019

Przesłanki, które pozwalają przetwarzać numer telefonu

Częstą sytuacją jest realizacja umowy bądź podejmowanie działań prowadzących do jej zawarcia na wniosek osoby, której dane osobowe są przetwarzane. W takim wypadku numer telefonu może być użyty po to, by udzielić informacji o zawieranej umowie lub chociażby dopytać osobę o informacje niezbędne do przygotowania oferty. Telefon powinien być wykonany jedynie w celach, które wynikają z zawartej umowy bądź są niezbędne do jej zawarcia.

Należy pamiętać, że jeżeli ktoś nie wyraził zgody na kontakt telefoniczny, mimo posiadania w bazie numeru telefonu, nie można go użyć np. do zaproponowania innych własnych usług. Takie działanie jest uznawane za działanie marketingowe.

Przetwarzanie danych osobowych dotyczy również żywotnych interesów. Przez żywotne interesy należy rozumieć takie, które są bardzo ważne dla życia danej osoby i zasługują na przyznanie im pierwszeństwa przed obowiązkiem zachowania danych osobowych w poufności. 

Oczywiste, że w przypadku zagrożenia zagrożenia życia lub zdrowia nikt nie będzie się zastanawiać, czy osoba, która uległa wypadkowi, wyraża zgodę na przetwarzanie jej danych osobowych. Przykładem takiego działania może być wzywanie pomocy w górach, gdzie pomoc może zostać wysłana dopiero po namierzeniu lokalizacji telefonu osoby dzwoniącej.

Innym ciekawym przypadkiem przetwarzania numeru telefonu jest wykonywanie zadań realizowanych w interesie publicznym. Takim przykładem może być np. wiadomość sms z alertem RCB, który informuje osoby z danego terenu o zagrożeniu burzami. Oprócz numeru telefonu Rządowe Centrum Bezpieczeństwa przetwarza również informacje o lokalizacji, ponieważ wiadomości z ostrzeżeniami docierają do osób na konkretnym terenie.

Przetwarzanie numeru telefonu można również wykorzystać chociażby do zbadania satysfakcji po dokonanym zakupie. Trzeba oczywiście pamiętać, że ten fakt musi być wcześniej opisany np. w regulaminie sklepu, który zostaje zaakceptowany przez osobę dokonującą zakupów. Dodatkowo trzeba mieć na względzie kwestię, że badanie satysfakcji powinno odbyć się w rozsądnym czasie, a nie rok po zakupach klienta. Taka rozmowa musi dotyczyć transakcji — nie może być to kolejna rozmowa reklamująca produkty lub usługi.

Przepisy RODO a przetwarzanie danych osobowych

W przepisach RODO przetwarzanie danych osobowych przewidziane jest w kilku przypadkach. Mowa o nich w art. 5 ust. 1. i zgodnie z nim przetwarzanie danych osobowych jest możliwe w 6 przypadkach:

  1. za zgodą osoby zainteresowanej,

  2. w celu wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań, na żądanie osoby, której dane dotyczą, przed zawarciem umowy,

  3. w celu wypełnienia obowiązku prawnego ciążącego na administratorze,

  4. w celu do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej,

  5. w celu wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi,

  6. kiedy jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią.

Uzyskanie zgody na przetwarzanie danych osobowych powinno opierać się na formule, pozwalającej na odebranie zgody wcześniej, jeszcze przed kontaktem. Administrator musi być w stanie wykazać, jak i kiedy taką zgodę odebrał. Wykluczone jest dzwonienie do osoby tylko po to, by tę zgodę uzyskać — zgoda musi być udzielona odpowiednio wcześniej.

Oprócz uzyskania zgody na przetwarzanie numeru telefonu, ważnym punktem przepisów RODO jest spełnienie tzw. obowiązku informacyjnego. Zakres informacji, który powinien zostać przekazany przez administratora danych został zawarty w art. 13 przepisów RODO.

Wyciekły w Twojej firmie dane osobowe

możemy Ci pomóc w analizie i zgłoszeniu do UODO

Sprawdź szczegóły

Dlaczego obowiązek informacyjny jest taki ważny?

Może dojść do sytuacji, w której zostanie pozyskany numer telefonu od innej osoby, niż ta, do której numer należy. Tak może być w przypadku, gdy np. serwis świadczy usługę “powiadamiania przyjaciela”, która polega na podaniu numeru telefonu, aby w odpowiednim momencie powiadomić “przyjaciela” o dostępności produktu lub ciekawego artykułu. 

W praktyce najczęściej podaje się adres e-mail, ale bez problemu w taki sam sposób można wykorzystać numer telefonu. Przy czym należy pamiętać, aby usługa była opisana w regulaminie serwisu oraz należy poinformować, że numer będzie wykorzystany do przesłania informacji, a nie pełnej reklamy produktów lub usług. W tym przypadku również administrator danych jest zobligowany do obowiązku informacyjnego. Jednak jego podstawy leżą w art. 14 RODO. Obowiązek musi być spełniony w rozsądnym terminie, czyli nie później niż w ciągu miesiąca, w przypadku, gdy dane mają służyć do komunikacji z osobą, to najpóźniej przy pierwszej komunikacji. Jeżeli dane mają zostać ujawnione innemu odbiorcy, to najpóźniej przy ich pierwszym ujawnieniu.

W przypadku numeru telefonu, jak i również innych danych, osoba, do której dane należą ma swoje prawa, a firma powinna być przygotowana na ich realizację. RODO o tych prawach wspomina w artykułach od 15 do 22. 

Osoba, której dane są przetwarzane ma prawo do:

  • Dostępu do swoich danych, czyli osoba ma prawo do uzyskania od administratora informacji, czy przetwarza jej dane, a jeżeli tak, to osoba ma prawo dostępu do nich.

  • Uzyskania informacji o celu przetwarzania danych, ich odbiorcach lub kategoriach odbiorców, którym te dane zostaną lub zostały ujawnione.

  • Poznania przybliżonego czasu, w którym dane będą przetwarzane (o ile to możliwe), a jeżeli nie jest to możliwe, to poznanie kryteriów ustalania tego czasu.

  • Sprostowania, usunięcia lub ograniczenia przetwarzania danych, 

  • Bycia powiadomioną o prawie złożenia skargi do organu nadzorczego, a w przypadku, gdy dane zostały zebrane od innej osoby, wszystkich istotnych informacjach o ich źródle.

  • Bycia powiadomioną, gdy jej dane służą do podejmowania zautomatyzowanych decyzji (w tym profilowaniu) oraz powinna zostać poinformowana o istotnych zasadach podejmowania decyzji oraz konsekwencjach takiego przetwarzania.

  • Właściciel danych powinien zostać poinformowany o odpowiednich zabezpieczeniach związanych z przekazaniem danych w przypadku, gdy dane przekazywane byłyby do państwa trzeciego. Administrator musi dostarczyć bezpłatnie kopię posiadanych danych, w celu obrony administratora — prawo to zostało ograniczone do pierwszej kopii. Za każdą następną może pobrać opłatę w rozsądnej wysokości, wynikającej z kosztów administratora.

  • Sprostowania danych, a to oznacza, że administrator powinien niezwłocznie sprostować dane, jeśli są nieprawidłowe lub niekompletne.

  • Bycia zapomnianym, co oznacza, że osoba, której dane dotyczą, ma prawo

żądać od administratora, aby bez zbędnej zwłoki usunął przetwarzane dane. Może mieć to miejsce w przypadku, gdy dane nie są już niezbędne do realizacji celu w którym zostały zebrane,cofnęła wyrażoną zgodę, na której opierało się przetwarzanie lub wniosła sprzeciw wobec przetwarzania danych. Taka sytuacja może również dotyczyć stanu, gdy dane były przetwarzane niezgodnie z prawem, więc muszą zostać usunięte ze względu na konieczność wywiązania się z obowiązku prawnego, któremu podlega administrator lub też dane zostały zebrane w związku z oferowaniem usług społeczeństwa informatycznego.

  • Ograniczenia przetwarzania — to prawo związane jest z żądaniem ograniczenia przetwarzania w przypadku, gdy przetwarzanie ma być ograniczone na czas np. sprawdzenia prawidłowości danych, rozpatrzenia sprzeciwu do przetwarzania danych czy też zakończenia przetwarzania danych przez administratora.

  • Tego, aby administrator powiadomił o sprostowaniu, usunięciu lub ograniczeniu przetwarzania danych wszystkich podmiotów, którym dane ujawnił. To prawo nie dotyczy sytuacji, gdy jest to niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku. Administrator na żądanie osoby, której dane dotyczą ma obowiązek powiadomić ją o tych odbiorcach. Osoba, której dane przetwarzamy ma prawo przenieść przetwarzane dane do innego administratora, to oznacza, że administrator powinien udostępnić posiadane dane w ustrukturyzowanej formie w powszechnie używanym formacie, nadającym się do odczytu maszynowego. Prawo obowiązuje w okoliczności, gdy przetwarzanie odbywa się na podstawie zgody lub na podstawie przetwarzania niezbędnego do realizacji umowy lub podjęcia działań zmierzających do jej zawarcia na żądanie osoby, której dane dotyczą.

  • Sprzeciwu wobec przetwarzania danych; prawo obowiązuje, gdy dane są przetwarzane na podstawie przetwarzania niezbędnego w interesie publicznym lub przetwarzania na podstawie prawnie uzasadnionych interesów administratora. Z prawa tego można skorzystać w przypadku prowadzenia działań marketingu bezpośredniego, gdzie osoba, której dane dotyczą może w każdym momencie wnieść sprzeciw wobec takim działaniom. O tym prawie należy powiadomić osobę najpóźniej przy pierwszej komunikacji.

  • Tego, aby nie podlegać decyzjom, które opierają się na zautomatyzowanym przetwarzaniu w tym profilowaniu. To prawo nie ma zastosowania do sytuacji, w której jest to niezbędne do zawarcia umowy między stronami, jest dozwolone prawem unii lub państwa członkowskiego lub opiera się na wyraźnej zgodzie osoby, której dane dotyczą.

Przetwarzanie numeru telefonu ma uzasadnienie nie tylko w rozporządzeniu RODO. W polskim prawie również ma znaczenie Ustawa Prawo telekomunikacyjne, dokładnie art. 172 pkt 1, który przewiduje, że:

Zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę.

To oznacza, że aby móc zadzwonić do konkretnej osoby z ofertą handlową lub innymi działaniami marketingowymi, należy mieć na to zgodę właściciela numeru. Jak wcześniej zostało wspomniane — nie można dzwonić do takiej osoby, aby jedynie uzyskać tę zgodę. 

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?

Zapraszamy do kontaktu
Tagi: konsument RODO
Powiązane posty
Popularne Tagi

Najnowsze tematy

WSPÓŁPRACA

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawa e-commerce
Prawo konsumenckie
Security Magazine
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO
Kliknij aby wrócić do strony głównej

Newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych artykułach. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!