Przedsiębiorcy telekomunikacyjni kopiują dokumenty potwierdzające tożsamość klientów w związku z zawieraniem umów o świadczenie usług telekomunikacyjnych. Pozyskują w ten sposób zbyt wiele danych osobowych. GIODO postanowił zająć się sprawą z urzędu i przeprowadzić u wybranych przedsiębiorców telekomunikacyjnych kontrole. Ich celem było ustalenie, czy w związku z potwierdzaniem tożsamości osób zawierających umowy o świadczenie usług telekomunikacyjnych nie dochodzi do pozyskiwania danych osobowych w zakresie wykraczającym poza zakres określony w art. 161 ustawy Prawo telekomunikacyjne, oraz czy operatorzy pozyskują kserokopie, fotokopie lub skany dokumentów potwierdzających tożsamość klientów, np. dowodów osobistych.
Albo kopia dowodu, albo nie ma umowy
Przeprowadzone kontrole wykazały, że przedsiębiorcy w większości przypadków uzależniali zawarcie umowy o świadczenie usług telekomunikacyjnych od przekazania kopii dokumentu tożsamości, a w niektórych przypadkach również innych dokumentów, takich jak np. prawo jazdy, książeczka wojskowa czy legitymacja studencka. Ponadto zawarcie umowy wiązało się niekiedy z koniecznością wyrażenia zgody na przetwarzanie danych osobowych zawartych w tych dokumentach.
Taką praktykę GIODO zakwestionował jako niezgodną z obowiązującym prawem. Skutkiem jest bowiem pozyskiwanie bez podstawy prawnej takich danych, jak m.in.: wizerunek, wzrost, kolor oczu, adres zameldowania, numer prawa jazdy, kategorie prawa jazdy, data wydania oraz data ważności prawa jazdy.
- Zakres danych użytkownika końcowego będącego osobą fizyczną, do przetwarzania których uprawniony jest dostawca publicznie dostępnych usług telekomunikacyjnych, wyznaczają bowiem przepisy ustawy Prawo telekomunikacyjne. Ich wykładnia wskazuje natomiast, że dla zawarcia umowy o świadczenie usług telekomunikacyjnych przedsiębiorca telekomunikacyjny może – bez uzyskiwania zgody klienta - przetwarzać wyłącznie takie dane osobowe, które zostały ujęte w katalogu określonym art. 161 ust. 2 ustawy Prawo telekomunikacyjne, tj.: nazwiska i imiona; imiona rodziców; miejsce i data urodzenia; adres miejsca zamieszkania i adres korespondencyjny, jeżeli jest on inny niż adres miejsca zamieszkania; numer ewidencyjny PESEL; nazwa, seria i numer dokumentów potwierdzających tożsamość, a w przypadku cudzoziemca, który nie jest obywatelem państwa członkowskiego albo Konfederacji Szwajcarskiej - numer paszportu lub karty pobytu; zawartych w dokumentach potwierdzających możliwość wykonania zobowiązania wobec dostawcy publicznie dostępnych usług telekomunikacyjnych wynikającego z umowy o świadczenie usług telekomunikacyjnych. W katalogu tym nie wymieniono takich danych, jak: wizerunek, wzrost, kolor oczu, adres zameldowania, numer prawa jazdy, kategorie prawa jazdy, data wydania oraz data ważności prawa jazdy - podkreśla GIODO.
WSA poparł stanowisko GIODO
Zgodnie ze stanowiskiem GIODO, przetwarzanie danych osobowych użytkownika będącego osobą fizyczną wykraczających poza katalog określony w art. 161 ust. 2 Prawa telekomunikacyjnego (pozyskanych na skutek skopiowania dokumentu tożsamości) jest możliwe tylko i wyłącznie na podstawie dobrowolnie wyrażonej zgody na przetwarzanie danych osobowych (stosownie do treści art. 161 ust. 3 powołanej ustawy). GIODO w drodze decyzji (np. DIS/DEC-170/16/14463, DIS/DEC-622/15/67982) nakazał przedsiębiorcom telekomunikacyjnym usunięcie uchybień w procesie przetwarzania danych osobowych.