Powszechną praktyką stosowaną przez podmioty z sektora bankowego jest weryfikowanie (potwierdzanie) danych, np. w zakresie dotyczącym wysokości wynagrodzenia, przedstawionych przez osobę występującą z wnioskiem o przyznanie kredytu, u pracodawcy tej osoby. W przypadku gdy tego rodzaju weryfikacja odbywa się w formie rozmowy telefonicznej, może dojść do udostępnienia przez pracodawcę danych osobowych pracownika osobie nieupoważnionej. Pracodawca potencjalnego kredytobiorcy banku nie ma bowiem w takiej sytuacji możliwości pewnego potwierdzenia tożsamości rozmówcy - innymi słowy nie może z całą pewnością stwierdzić, że osoba telefonująca do niego w celu zweryfikowania danych rzeczywiście jest przedstawicielem banku, a więc osobą upoważnioną do pozyskania informacji na temat pracownika. Tymczasem jednym z podstawowych obowiązków spoczywających na pracodawcy jest obowiązek zabezpieczenia danych osobowych pracowników przed ich udostępnieniem osobom nieupoważnionym.
Niewywiązanie się z powyższego obowiązku może prowadzić do powstania odpowiedzialności karnej na podstawie art. 51 ustawy o ochronie danych osobowych. Jest na nią narażony, co warte podkreślenia, nie tylko ten, kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je osobom nieupoważnionym, ale również ten, kto choćby dostęp osobom nieupoważnionym do tych danych umożliwia. Sankcją za powyższe może być nawet kara pozbawienia wolności do lat 2.
Generalny Inspektor Ochrony Danych Osobowych, dostrzegając konieczność eliminowania przez banki ryzyka związanego w szczególności z możliwością udzielenia kredytu na podstawie fałszywych dokumentów przedstawionych przez potencjalnego kredytobiorcę, nie kwestionuje - przy założeniu, że pracownik wyrazi uprzednio stosowną zgodę na udostępnienie osobie reprezentującej konkretny bank swoich danych zawartych w aktach osobowych („pracowniczych”) - legalności czy też zasadności działań polegających na potwierdzaniu prawdziwości danych u pracodawcy. W związku z taką praktyką niezbędne jednak jest przyjęcie takiego rozwiązania (formy potwierdzania danych), które całkowicie wyeliminuje możliwość udostępnienia tych danych osobie innej niż pracownik banku, a więc osobie nieupoważnionej.
Na niebezpieczeństwo naruszenia przepisów ustawy o ochronie danych, a co za tym idzie na powstanie po stronie pracodawców odpowiedzialności z tej ustawy, w związku ze stosowaną obecnie praktyką banków, wskazał również Przewodniczący Komisji Nadzoru Bankowego, który w piśmie z 1 października 2004 r. (NB-BPN-I-077-15/04) skierowanym do Generalnego Inspektora Ochrony Danych Osobowych stwierdził w szczególności, że „w przypadku kiedy problem dotyczy potwierdzania danych osobowych przez banki u pracodawców ich kredytobiorców, odpowiedzialność spoczywa na pracodawcach jako administratorach danych osobowych, a nie na bankach. To pracodawcy są w posiadaniu danych osobowych swoich pracowników. Banki nie posiadają zbiorów danych osobowych pracowników tych pracodawców, starają się jedynie potwierdzić u nich dane otrzymane bezpośrednio od pracowników - ich kredytobiorców”.
Źródło: www.giodo.gov.pl