Kopiowanie dokumentów tożsamości przez przedsiębiorców telekomunikacyjnych prowadzi do pozyskiwania danych osobowych bez podstawy prawnej. Tak orzekł Generalny Inspektor Ochrony Danych Osobowych.
W ostatnim okresie do Biura Generalnego Inspektora Ochrony Danych Osobowych (GIODO) kierowane były liczne sygnały, że w związku z zawieraniem umów o świadczenie usług telekomunikacyjnych, przedsiębiorcy kopiują dokumenty potwierdzające tożsamość klientów, pozyskując w ten sposób zbyt wiele danych osobowych, które potem wykorzystują w nielegalny sposób. GIODO postanowił więc zająć się sprawą i przeprowadzić u wybranych przedsiębiorców telekomunikacyjnych kontrole. Ich celem było ustalenie, czy w związku z potwierdzaniem tożsamości osób, zawierających umowy o świadczenie usług telekomunikacyjnych nie dochodzi do pozyskiwania danych osobowych w zakresie wykraczającym poza zakres określony w art. 161 ustawy o Prawie telekomunikacyjnym, oraz czy operatorzy pozyskują kserokopie, fotokopie lub skany dokumentów potwierdzających tożsamość klientów, np. dowodów osobistych.
Ustalenia inspektorów GIODO
Przeprowadzone kontrole wykazały, iż przedsiębiorcy w większości przypadków uzależniali zawarcie umowy o świadczenie usług telekomunikacyjnych od przekazania kopii dokumentu tożsamości, a w niektórych przypadkach również innych dokumentów, takich jak np. prawo jazdy, książeczka wojskowa czy legitymacja studencka. Ponadto w niektórych przypadkach zawarcie umowy wiązało się z koniecznością wyrażenia zgody na przetwarzanie danych osobowych zawartych w kserokopiach dokumentów.
Prawo telekomunikacyjne stanowi, jakich danych można żądać
Powyższa praktyka została zakwestionowana przez Generalnego Inspektora Ochrony Danych Osobowych jako niezgodna z obowiązującym prawem, tj. skutkująca pozyskiwaniem bez podstawy prawnej takich danych, jak m.in.: wizerunek, wzrost, kolor oczu, adres zameldowania, numer prawa jazdy, kategorie prawa jazdy, data wydania oraz data ważności prawa jazdy. Zakres danych użytkownika końcowego, będącego osobą fizyczną, do przetwarzania których uprawniony jest dostawca publicznie dostępnych usług telekomunikacyjnych, wyznaczają bowiem przepisy ustawy Prawa telekomunikacyjnego. Ich wykładnia wskazuje natomiast, że dla zawarcia umowy o świadczenie usług telekomunikacyjnych przedsiębiorca telekomunikacyjny może – bez uzyskiwania zgody klienta – przetwarzać wyłącznie takie dane osobowe, które zostały ujęte w katalogu określonym art. 161 ust. 2 ustawy Prawa telekomunikacyjnego, tj.: nazwiska i imiona; imiona rodziców; miejsce i data urodzenia; adres miejsca zamieszkania i adres korespondencyjny, jeżeli jest on inny niż adres miejsca zamieszkania; numer ewidencyjny PESEL; nazwa, seria i numer dokumentów potwierdzających tożsamość, a w przypadku cudzoziemca, który nie jest obywatelem państwa członkowskiego albo Konfederacji Szwajcarskiej – numer paszportu lub karty pobytu; zawartych w dokumentach potwierdzających możliwość wykonania zobowiązania wobec dostawcy publicznie dostępnych usług telekomunikacyjnych wynikającego z umowy o świadczenie usług telekomunikacyjnych. W katalogu tym nie wymieniono takich danych, jak: wizerunek, wzrost, kolor oczu, adres zameldowania, numer prawa jazdy, kategorie prawa jazdy, data wydania oraz data ważności prawa jazdy.
Więcej danych – tylko za zgodą klienta
W związku z tym GIODO w drodze decyzji (np. DIS/DEC-170/16/14463, DIS/DEC-622/15/67982) nakazywał przedsiębiorcom telekomunikacyjnym usunięcie uchybień w procesie przetwarzania danych osobowych. Przetwarzanie danych osobowych użytkownika będącego osobą fizyczną wykraczających poza katalog określony w art. 161 ust. 2 Prawa telekomunikacyjnego (pozyskanych na skutek skopiowania dokumentu tożsamości) jest możliwe tylko i wyłącznie na podstawie dobrowolnie wyrażonej zgody na przetwarzanie danych osobowych (stosownie do treści art. 161 ust. 3 powołanej ustawy).
WSA poparł stanowisko GIODO
Stanowisko GIODO było kwestionowane przez niektórych przedsiębiorców. Lecz w ostatnim czasie zostało jednak potwierdzone przez Wojewódzki Sąd Administracyjny w Warszawie, który wyrokami z 18 lutego 2016 r. (sygn. akt II SA/Wa 1655/15) oraz z 28 marca 2017 r. (sygn. akt II SA/Wa 779/16), oddalił skargi na decyzje GIODO, nie dopatrując się w nich naruszenia prawa.
Źródło: www.bip.gov.pl