Duże firmy, w tym specjalizujące się w zarządzaniu nieruchomościami, często mają własne infolinie i telefoniczne centra obsługi. Rozmowy z klientami są tam standardowo nagrywane i przechowywane. Jednak także mniejsi zarządcy, administratorzy nieruchomości, jak również zarządy wspólnot mieszkaniowych mają niekiedy potrzebę, np. w celu dochodzenia lub zabezpieczenia roszczeń, nagrywania telefonicznych lub osobistych rozmów z właścicielami lokali lub kontrahentami. W pierwszym przypadku może to np. dotyczyć osób konfliktowych, wysuwających nagminnie nieuzasadnione pretensje, pieniaczy itp., w drugim – np. trudnych negocjacji w spornych sprawach z dostawcami usług czy sąsiednimi wspólnotami, które, jak przewidujemy, mogą się skończyć w sądzie. W związku z powyższym bardzo istotną kwestią jest ustalenie, czy nagranie głosu można uznać za dane osobowe.
Należy jednoznacznie stwierdzić, że danymi osobowymi w rozumieniu RODO jest nie tylko wizerunek, ale także zarejestrowany głos danej osoby (decyzje Prezesa Urzędu Ochrony Danych Osobowych (dalej: PUODO): DKN.5131.6.2020 z 5 stycznia 2021 r. oraz DKN.5131.51.2021 z 31 maja 2022 r.). Jest to bowiem informacja, która jednoznacznie pozwala zidentyfikować konkretną osobę fizyczną. Aby móc przetwarzać takie dane, należy spełnić ogólne przesłanki z art. 6 RODO, przy czym niezwykle istotne jest określenie, którą podstawę prawną z art. 6 ust. 1 RODO możemy tu zastosować. Cytując za opracowanym na podstawie art. 40 RODO „Kodeksem postępowania dla bibliotek wspierającym we właściwym stosowaniu RODO”, istnieją co najmniej dwie przesłanki legalizujące nagrywanie rozmów, nie tylko telefonicznych. Pierwsza to zgoda udzielona przez rozmówcę (art. 6 ust. 1 lit. a RODO). Zgoda taka, co bardzo istotne, powinna zostać udzielona przed rozpoczęciem nagrywania. W związku z tym osoby, których rozmowa będzie nagrywana, powinny być o tym fakcie uprzedzone przed rozpoczęciem nagrywania. W przypadku braku wyrażenia zgody głos danej osoby nie może być rejestrowany. Trzeba też pamiętać, że aby taka zgoda spełniała przesłanki RODO, musi być wyrażona dobrowolnie, świadomie i jednoznacznie. Oceniając, czy zgodę wyrażono dobrowolnie, w jak największym stopniu uwzględnia się, czy m.in. od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy (art. 7 ust. 4 RODO).
Test równowagi interesu
Druga przesłanka to przetwarzanie niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora danych, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych (art. 6 ust. 1 lit. f RODO). W takim wypadku niezbędne jednak jest przeprowadzenie testu równowagi faktycznego interesu administratora danych oraz praw osób nagrywanych. Aby więc można było powołać się na tę przesłankę, interesy administratora muszą przeważać np. znajdować uzasadnienie w częstych skargach na sposób załatwienia sprawy przez rozmówcę, czy w przeinaczaniu przezeń treści rozmów i przedstawianie innym członkom wspólnoty kłamliwych zarzutów pod adresem zarządu czy zarządcy.
Administrator danych osobowych musi być również w stanie zrealizować prawa osób, których dane dotyczą, przy czym będą to różne uprawnienia w zależności od podstawy prawnej przetwarzania danych. I tak są to: prawo dostępu przysługujące osobie, której dane dotyczą, w tym prawo do uzyskania kopii jej danych osobowych – art. 15 RODO (w każdych okolicznościach), prawo do sprostowania danych – art. 16 RODO (w każdych okolicznościach), prawo do usunięcia danych („prawo do bycia zapomnianym”) – art. 17 RODO (tylko wtedy, gdy przetwarzanie opiera się na zgodzie właściciela danych), prawo do ograniczenia przetwarzania – art. 18 RODO (gdy przetwarzanie opiera się na prawnie uzasadnionym interesie administratora), prawo do przenoszenia danych – art. 20 RODO (gdy przetwarzanie odbywa się na podstawie zgody), prawo do sprzeciwu – art. 21 RODO (gdy przetwarzanie odbywa się na podstawie prawnie uzasadnionego interesu administratora). Warto zaznaczyć, że PUODO reprezentuje stanowisko, zgodnie z którym prawo do wglądu do danych, w tym uzyskania kopii danych, nie jest równoznaczne z prawem do uzyskania nośników (dokumentów, plików), w których te dane są zawarte. Administrator może więc przekazać te informacje w formie przetworzonej, określając, jakie dane przetwarza. Jednakże każde żądanie udostępnienia kopii administrator powinien rozpatrywać indywidualnie i realizować je z uwzględnieniem interesów osób składających żądanie, w szczególności celu, w jakim ta kopia ma być wykorzystana. Oznacza to, że kopia nagrania rozmowy może być udostępniona jako plik z nagraniem głosu tej osoby lub zestawienie informacji o przetwarzanych w związku z nagraniem danych.
Przechowywanie nagrań
Zgodnie z jednoznaczną opinią PUODO, wyrażoną w „Newsletterze UODO dla Inspektorów Ochrony Danych”, Nr 12/2022 (45) str. 7, przechowywanie nagrania rozmowy telefonicznej oznacza przetwarzanie danych osobowych rozmówcy. W związku z tym wspólnota lub zarządca, będący administratorem danych osobowych lub procesorem (podmiotem przetwarzającym dane na zlecenie administratora), musi przed podjęciem nagrywanej rozmowy zrealizować wobec rozmówcy obowiązek informacyjny, wskazując na taki zakres przetwarzania danych, jak rejestracja głosu. Ponadto gdy rozmówca zażąda udostępnienia kopii danych osobowych, administrator jest prawnie zobowiązany do jej wydania. Zwłaszcza to drugie stwierdzenie jest bardzo istotne, bo często do tej pory zdarzało się, że podmiot nagrywający odmawiał wydania zapisu rozmowy, argumentując, że jest on jego własnością i zabezpiecza jego interesy. Jak stwierdza regulator, taka decyzja jest bezprawna.
Powyższe stanowisko potwierdził też PUODO w jednej z decyzji, w której nakazał administratorowi danych spełnienie wobec osoby, której dane dotyczą, obowiązku informacyjnego poprzez dostarczenie kopii jego danych osobowych utrwalonych w nagraniu rozmowy audio. Decyzja ta została wydana w następstwie złożonej do PUODO skargi na nieprawidłowości w procesie przetwarzania danych osobowych przez administratora polegające na niespełnieniu wobec skarżącego obowiązku informacyjnego. W omawianej sprawie skarżący kilkakrotnie zwracał się do administratora z żądaniem udostępnienia kopii danych osobowych w postaci zapisu rozmowy audio, powołując się przy tym na art. 15 ust. 3 RODO. Skarżący wskazał, że odmówiono mu realizacji tego żądania i oczekiwał od PUODO nakazania administratorowi wydania kopii danych osobowych zawartych w nagraniu. Administrator zaś wskazywał, że pozyskał dane skarżącego bezpośrednio od niego w rozmowie telefonicznej. Administrator poinformował też skarżącego, że może on skorzystać z wniosku dostępu do danych zgodnie z RODO, natomiast odpowiedź na tę dyspozycję nie będzie zawierała nagrań głosowych.
PUODO w rozstrzygnięciu wskazał, że zgodnie z art. 15 ust. 3 RODO administrator dostarcza osobie, której dane dotyczą, na jej żądanie, kopię danych osobowych podlegających przetwarzaniu. Za wszelkie kolejne kopie, o które zwróci się osoba, której dane dotyczą, administrator może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych. Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i nie zaznaczy inaczej, informacji udziela się w powszechnie stosowanej formie elektronicznej. Zgodnie natomiast z art. 12 ust. 3 RODO administrator bez zbędnej zwłoki – a w każdym razie w terminie miesiąca od otrzymania żądania – udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem na podstawie art. 15-22 RODO. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące w przypadku skomplikowanego charakteru żądania lub dużej liczby żądań. W takim przypadku jednak administrator w terminie miesiąca od otrzymania żądania informuje osobę, której dane dotyczą, o przedłużeniu terminu, z podaniem przyczyn opóźnienia. Jeżeli żądania osoby, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój ustawiczny charakter, administrator może pobrać rozsądną opłatę, uwzględniając administracyjne koszty udzielenia informacji, za prowadzenie komunikacji lub podjęcie żądanych działań albo odmówić podjęcia działań w związku z żądaniem. Jednak obowiązek wykazania, że żądanie ma ewidentnie nieuzasadniony lub nadmierny charakter, także w razie potrzeby przez PUODO lub przed sądem, spoczywa na administratorze danych.
Sposób udostępnienia danych
W omawianej sprawie administrator ustosunkował się do złożonego przez skarżącego wniosku, przesyłając drogą elektroniczną w formie tekstowej treść danych osobowych skarżącego, które przetwarzał. Jednak sposób realizacji obowiązku informacyjnego przez administratora nie uwzględnił w ocenie PUODO tej okoliczności, że administrator przetwarzał dane osobowe w postaci głosu skarżącego, przechowując nagrania rozmowy telefonicznej. Administrator nie spełnił więc wobec skarżącego w sposób prawidłowy obowiązku informacyjnego wynikającego z art. 15 ust. 3 RODO, a dodatkowo odmówił skarżącemu dostarczenia kopii jego danych osobowych. PUODO podkreślił przy tym, że w przypadku zwrócenia się do administratora o kopię przetwarzanych danych osobowych administrator każdorazowo podejmuje decyzję, w jaki sposób zrealizuje to uprawnienie. W przypadku danych osobowych utrwalonych na nagraniu administrator może dokonać wyboru, czy udostępni kopię nagrania, czy też udostępni kopię danych zawartych w tym nagraniu. Administrator, udzielając odpowiedzi skarżącemu, nie wskazał również podstawy prawnej, która zwalniałby go z realizacji obowiązku informacyjnego wynikającego z art. 15 ust. 3 RODO w zakresie danych osobowych pozyskanych i przetwarzanych w związku z przechowywaniem zapisu rozmowy telefonicznej. W związku z powyższym PUODO, stosując uprawnienia naprawcze, nakazał administratorowi spełnienie obowiązku informacyjnego z art. 15 ust. 3 RODO względem skarżącego, poprzez dostarczenie kopii jego danych osobowych utrwalonych w nagraniu rozmowy audio, uwzględniającej głos skarżącego. Co istotne, jak zaznaczył PUODO, spełnienie tego obowiązku przez administratora powinno nastąpić z poszanowaniem praw osób innych niż skarżący, w tym prawa do ochrony danych osobowych tych osób, to jest w sposób nieprzekraczający ram obowiązku informacyjnego z art. 15 ust. 3 RODO. Co to oznacza w praktyce? Otóż zapisane na nagraniu głosy osób innych niż występująca o udostępnienie jej danych powinny zostać przed takim udostępnieniem usunięte lub zniekształcone w stopniu uniemożliwiającym ich identyfikację.
Głos to dane biometryczne
Na koniec zwróćmy uwagę na jeszcze jeden aspekt. W pewnych okolicznościach głos może być uznany za dane biometryczne, jest bowiem cechą unikalną charakteryzującą każdego człowieka („Kodeks postępowania dla bibliotek wspierający we właściwym stosowaniu RODO”). W ostatnim czasie stwierdzenie to nabiera nieoczekiwanie nowego znaczenia. Jak się bowiem okazuje tzw. chatboty (oprogramowanie wykorzystujące sztuczną inteligencję – AI), takie jak np. ChatGPT-4 firmy OpenAI czy VALLE firmy Microsoft, na podstawie zaledwie trzysekundowej próbki głosu danej osoby są w stanie całkowicie przekonująco symulować jej głos w dowolnie długich wypowiedziach na każdy temat. Co więcej, AI jest w stanie symulować nie tylko głos danej osoby, ale też otoczenie akustyczne i emocje. Jeśli więc np. próbką była rozmowa telefoniczna lub nagranie wykonane w zatłoczonym i hałaśliwym miejscu, wygenerowany dźwięk też może, choć nie musi, tak brzmieć. Dlatego równie starannie jak pozostałe dane osobowe powinniśmy również chronić nasz głos. Jeśli bowiem np. nagle otrzymamy od kogoś z najbliższej rodziny na Messengerze czy WhatsAppie wiadomość z prośbą o szybką pożyczkę i podanie kodu BLIK, możemy, a nawet powinniśmy, mieć podejrzenia, czy przypadkiem nie jest to próba wyłudzenia.
Co jednak w sytuacji, gdy nie będzie to tekst, a nagranie głosowe, perfekcyjnie symulujące głos doskonale znanej nam osoby? Do takiego przypadku po raz pierwszy doszło już w 2019 r. Brytyjski oddział niemieckiej firmy energetycznej otrzymał telefon od prezesa, który zlecił przelew na 220 tys. euro. Tembr głosu, sposób wysławiania, akcent, intonacja były takie, że nikt z podwładnych nie domyślił się, że po drugiej stronie słuchawki jest chatbot. Pieniędzy nigdy nie odzyskano. Jest to również szczególnie niebezpieczne, jeżeli mamy konto w banku, który stosuje weryfikację biometryczną na podstawie głosu klienta, a robi tak przynajmniej kilka banków w Polsce.
Piotr Brogowski