fbTrack
REKLAMA
REKLAMA

Firma

Sprzedaż w internecie nie zmienia zakresu uprawnień do przetwarzania danych osobowych

123RF
Wykorzystywanie internetu jako kanału dystrybucji własnych produktów nie upoważnia przedsiębiorcy do pozyskiwania danych osobowych, wykraczających poza cel, dla którego są pozyskiwane, i poza zakres, na jaki zezwalają przepisy.

Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 18 lutego 2016 r. (II SA/Wa 1655/15) potwierdził słuszność decyzji generalnego inspektora ochrony danych osobowych, który nakazał spółce telekomunikacyjnej wprowadzić zmiany w zakresie procedury przetwarzania danych osobowych.

Trzy punkty sprzedaży

Sprawa wiązała się z tym, że firma udostępniała klientom trzy kanały sprzedaży, za pośrednictwem których mogli oni zawierać umowy o świadczenie usług telekomunikacyjnych, tj. tzw. kanał sklepowy (sklepy stacjonarne), kanał internetowy oraz kanał telefoniczny. W przypadku zawierania umowy za pośrednictwem kanału internetowego lub telefonicznego warunkiem jej zawarcia było przekazanie przedsiębiorcy kopii dowodu osobistego. Oznaczało to bezwarunkowe wyrażenie zgody na przetwarzanie danych osobowych zawartych w kopii dowodu, co w przypadku „starej" wersji tego dokumentu oznaczało udostępnienie danych m.in. w zakresie: wizerunku (wzrost, kolor oczu), adresu zameldowania, daty ważności, wzoru podpisu oraz innych danych tam zawartych.

Przekazanie firmie takich danych oraz wyrażenie zgody na ich przetwarzanie było dobrowolne (opcjonalne) wyłącznie w sytuacji, gdy klient zawierał umowę o świadczenie usług telekomunikacyjnych w sklepie stacjonarnym. W przypadku kanału internetowego oraz kanału telefonicznego, jak już zostało zauważone, przekazanie wszystkich danych widniejących w dowodzie osobistym oraz wyrażenie zgody na ich przetwarzanie było obligatoryjne. Wprowadzenie powyższych zasad spółka tłumaczyła koniecznością zabezpieczenia się przed nadużyciami, jakie w przeszłości masowo występowały w zdalnych kanałach sprzedaży. Ponadto firma podkreślała, że nie przymusza do przekazania wszystkich danych zawartych w dowodzie osobistym, ponieważ klient, który na to by się nie godził, miał sposobność, aby skorzystać z tradycyjnego kanału dystrybucji usług.

Generalny inspektor ochrony danych osobowych nie uznał argumentów przedsiębiorcy i stwierdził, że przetwarza on dane osobowe niezgodnie z prawem. Stąd decyzja nakazująca przywrócenie stanu zgodnego z przepisami, w efekcie której firma odwołała się do sądu.

Wiążące przepisy

W ocenie Wojewódzkiego Sądu Administracyjnego decyzja Generalnego Inspektora Ochrony Danych Osobowych była prawidłowa. Wszystko dlatego, że art. 23 ustawy o ochronie danych osobowych przesądzający, kiedy przetwarzanie danych osobowych jest dopuszczalne, wymienia m.in. istnienie innego, szczególnego wobec ustawy przepisu prawa. A w niniejszej sprawie zastosowanie ma ustawa Prawo telekomunikacyjne, która określa zasady przetwarzania danych osobowych na potrzeby świadczenia usług telekomunikacyjnych – to jest art. 161 oraz art. 174.

Zgodnie z tymi przepisami dla zawarcia umowy o usługi telekomunikacyjne przedsiębiorca ma prawo bez zgody klienta przetwarzać jedynie takie dane osobowe, które zostały wskazane w katalogu zakreślonym art. 161 ust. 2. W przepisie tym nie ma zezwolenia na przetwarzanie takich danych osobowych, jak: wzrost (w centymetrach), kolor oczu oraz adres zameldowania, a zatem przetwarzać je można jedynie za zgodą osoby, której te dane dotyczą.

Powyższe przepisy wyznaczają zakres danych użytkownika końcowego będącego osobą fizyczną, do przetwarzania których uprawniony jest dostawca publicznie dostępnych usług telekomunikacyjnych. Ponadto, zgodnie z art. 161 ust. 3 ustawy, oprócz danych, o których mowa w art. 161 ust. 2, dostawca usług telekomunikacyjnych może, ale za wyraźną zgodą użytkownika, przetwarzać inne jego dane w związku ze świadczoną usługą, w szczególności numer konta bankowego lub karty płatniczej, a także adres poczty elektronicznej oraz numery telefonów kontaktowych.

Taka zgoda klienta, wymagana przez przepisy, powinna spełniać wymogi określone w art. 174. Jednym z nich jest zakaz jej domniemywania bądź dorozumienia z oświadczenia woli o innej treści. Warunek ten został ponadto wzmocniony treścią art. 57 powyższej ustawy.

Zdaniem sądu

WSA stwierdził, że z materiału dowodowego w tej sprawie niezbicie wynika, iż w procesie zawierania umowy o świadczenie usług telekomunikacyjnych – za pośrednictwem internetowego oraz telefonicznego kanału sprzedaży – nie zapewniono swobody w zakresie wyrażenia zgody na przetwarzanie przez przedsiębiorcę danych wykraczających poza zakres określony w art. 161 ust. 2 pkt. 1–6 ustawy, to jest takich jak: kolor oczu, wzrost, wizerunek twarzy, płeć, adres zameldowania, nazwa organu wydającego dowód, data wydania i termin ważności, podpis jego posiadacza. Ponadto niewyrażenie zgody na przetwarzanie przez firmę danych, o których mowa powyżej, miało skutkować tym, że firma odmówiłaby zawarcia umowy za pośrednictwem ww. kanałów sprzedaży.

Dlatego powyższa praktyka, jako naruszająca wyżej wskazane przepisy, musiała zostać zakwestionowania przez GIODO.

Co mówi prawo

Zgodnie z art. 57 ust. 1 pkt 3 ustawy – Prawo telekomunikacyjne dostawca usług nie może uzależniać zawarcia umowy o świadczenie publicznie dostępnych usług telekomunikacyjnych, w tym o zapewnienie przyłączenia do publicznej sieci telekomunikacyjnej, od udzielenia informacji lub danych, innych niż określone w art. 161 ust. 2, w przypadku użytkownika końcowego będącego osobą fizyczną.

Z kolei jak stanowi art. 161 ust. 2, dostawca publicznie dostępnych usług telekomunikacyjnych jest uprawniony do przetwarzania następujących danych dotyczących użytkownika będącego osobą fizyczną:

- nazwisk i imion,

- imion rodziców,

- miejsca i daty urodzenia,

- adresu miejsca zamieszkania i adresu korespondencyjnego, jeżeli jest on inny niż adres miejsca zamieszkania,

- numeru ewidencyjnego PESEL – w przypadku obywatela polskiego,

- nazwy, serii i numeru dokumentów potwierdzających tożsamość, a w przypadku cudzoziemca, który nie jest obywatelem państwa członkowskiego albo Konfederacji Szwajcarskiej – numeru paszportu lub karty pobytu,

- zawartych w dokumentach potwierdzających możliwość wykonania zobowiązania wobec dostawcy publicznie dostępnych usług telekomunikacyjnych wynikającego z umowy o świadczenie usług telekomunikacyjnych.

Ponadto w myśl ust. 3 oprócz danych, o których mowa powyżej, dostawca publicznie dostępnych usług telekomunikacyjnych może, za zgodą użytkownika będącego osobą fizyczną, przetwarzać inne dane tego użytkownika w związku ze świadczoną usługą, w szcze- gólności numer konta bankowego lub karty płatniczej, a także adres poczty elektronicznej oraz numery telefonów kontaktowych.

Zgodnie z art. 174, jeżeli przepisy ustawy wymagają wyrażenia zgody przez abonenta lub użytkownika końcowego, zgoda ta:

- nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści,

- może być wyrażona drogą elektroniczną, pod warunkiem jej utrwalenia i potwierdzenia przez użytkownika,

- może być wycofana w każdym czasie, w sposób prosty i wolny od opłat.

Dopuszczalność przetwarzania danych zwykłych

Zgodnie z art. 23 ust. 1 ustawy o ochronie danych osobowych przetwarzanie danych (tzw. danych zwykłych) jest dopuszczalne tylko wtedy, gdy:

- osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,

- jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,

- jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,

- jest to niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,

- jest to niezbędne do wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Zdaniem eksperta

Edyta Bielak-Jomaa, generalny inspektor ochrony danych osobowych

Operator telekomunikacyjny, oferujący zawarcie umowy za pośrednictwem internetu lub drogą telefoniczną, nie może żądać od klienta przekazania kopii dowodu osobistego. Jest to bowiem równoznaczne z pozyskaniem szerszego zakresu danych osobowych niż ten, do pozyskania którego przedsiębiorcę uprawniają przepisy prawa telekomunikacyjnego. Takiej praktyki nie może on uzasadniać tym, że osoba zainteresowana podpisaniem umowy ma wybór co do udostępnienia danych, gdyż może skorzystać z tradycyjnej formy zawarcia umowy, tj. w sklepie stacjonarnym spółki. Prowadzi to bowiem do naruszenia zarówno ustawy o ochronie danych osobowych, jak i przepisów prawa telekomunikacyjnego.

Zgodnie z art. 26 ust. 1 pkt 1 ustawy o ochronie danych osobowych administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były przetwarzane zgodnie z prawem. Stosownie zaś do art. 57 ust. 1 pkt 3 ustawy – Prawo telekomunikacyjne dostawca publicznie dostępnych usług telekomunikacyjnych nie może uzależniać zawarcia umowy z klientem będącym osobą fizyczną od udzielenia informacji lub danych innych niż określone w art. 161 ust. 2. Nie ma zatem prawa pozyskiwać takich, zawartych w dowodzie osobistym, danych, jak: kolor oczu, wzrost, wizerunek twarzy czy adres zameldowania. Jeśli zaś podstawą ich pozyskiwania miałaby być zgoda klienta, to musi być ona wyrażona dobrowolnie. Tymczasem przy zawieraniu umowy z operatorem przez internet bądź telefonicznie zgoda na przetwarzanie danych zawartych w dowodzie osobistym była obligatoryjna.

Ponadto takie działanie przedsiębiorcy prowadzi dodatkowo do ograniczania prawa klienta do dowolnego sposobu zawarcia umowy, co narusza prawa konsumenckie.

Źródło: Rzeczpospolita
REKLAMA
REKLAMA
REKLAMA
REKLAMA
NAJNOWSZE Z RP.PL
REKLAMA
REKLAMA