Jak wypożyczalnie sprzętu sportowego naruszają przepisy

Rz: W ubiegłym roku kierowana przez panią instytucja przeprowadziła kontrolę sektorową w podmiotach zajmujących się m.in. wypożyczaniem sprzętu sportowego. Jak najkrócej można scharakteryzować jej wyniki?

Edyta Bielak-Jomaa: Kontrola GIODO objęła 12 podmiotów – będących w gestii zarówno jednostek samorządu terytorialnego (np. gminne czy miejskie ośrodki sportu i rekreacji), jak i prywatnych przedsiębiorców – świadczących usługi wypożyczania różnego rodzaju sprzętu, w tym sportowego. Celem inspekcji było zbadanie zgodności przetwarzania danych osobowych klientów z przepisami o ochronie danych osobowych, a zwłaszcza ustalenie, czy w kontrolowanych jednostkach są zatrzymywane, skanowane lub w inny sposób kopiowane dowody tożsamości bądź inne dokumenty osób wypożyczających sprzęt.

Na podstawie dokonanych ustaleń należy stwierdzić, że skontrolowane podmioty wywiązywały się z większości obowiązków nałożonych przepisami. Poprzez odpowiednie zapisy regulaminu spełniały tzw. obowiązek informacyjny, chociaż inspektorzy GIODO wykryli pewne uchybienia w tym zakresie. Kontrola wykazała też, że zgodnie z nakazem wynikającym z art. 40 ustawy o ochronie danych osobowych dane osób dokonujących wypożyczeń były przetwarzane w zbiorach danych osobowych klientów, które zostały zgłoszone do rejestracji GIODO, bądź ze względu na to, że były prowadzone wyłącznie w postaci papierowej, podlegały zwolnieniu z obowiązku rejestracji.

W większości podmiotów zastosowano także środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpieczono je przed udostępnieniem osobom nieupoważnionym, zabraniem przez taką osobę, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Można by pomyśleć, że nie było żadnych przypadków naruszenia przepisów.

Niestety, aż tak dobrze nie było. Część skontrolowanych podmiotów naruszała przepisy – głównie w odniesieniu do zakresu zbieranych danych. Poprzez zatrzymywanie lub kopiowanie dokumentów potwierdzających tożsamość klientów przetwarzały bowiem dane nieadekwatne do celów, w jakich je pozyskiwano.

Czyli problem dotyczył głównie zakresu danych, a nie samego braku podstaw do ich przetwarzania?

Podmioty prowadzące wypożyczalnie, udostępniając sprzęt, zawierały z klientami umowy cywilnoprawne. Zatem podstawą uprawniającą je do przetwarzania danych osobowych klientów były art. 23 ust. 1 pkt 3 ustawy o ochronie danych osobowych, zgodnie z którym wykorzystywanie danych osobowych jest dopuszczalne, gdy jest niezbędne w celu zawarcia i realizacji umowy, oraz art. 23 ust. 1 pkt 5 powołanej ustawy, legalizujący przetwarzanie danych, gdy jest ono konieczne m.in. dla wypełnienia prawnie usprawiedliwionych celów administratora danych, takich jak np. dochodzenie roszczeń z tytułu uszkodzenia lub nieoddania sprzętu. Dane te pochodziły od osób, których dotyczyły, a w przypadku wypożyczeń grupowych, jak pokazuje praktyka skontrolowanych podmiotów, wystarczające było podanie danych przez jedną osobę. Zatem celem przetwarzania danych była realizacja zawartej umowy, jak również zabezpieczenie się przez podmioty wypożyczające sprzęt przed jego ewentualną utratą.

Ponieważ jednak w poddanych kontroli jednostkach stwierdzono przypadki zatrzymywania dokumentów potwierdzających tożsamość osób jako zastawu za wypożyczany sprzęt, to kwestię tę rozpatrywać należy z uwzględnieniem zakresu pozyskiwanych danych osobowych.

Wraca zatem problem zatrzymywania dokumentów w zastaw?

Tak, choć co prawda w kilku podmiotach sprzęt był wypożyczany za pozostawieniem przez wypożyczającego kaucji. W takiej sytuacji klient otrzymywał potwierdzenie w formie blankietu z odpowiednim numerem. Jeżeli jednak wypożyczający nie zdecydował się na pozostawienie kaucji, mógł skorzystać z usługi, pozostawiając ważny dokument ze zdjęciem, na zasadach określonych w obowiązującym regulaminie. Przy czym, jak wskazywały kontrolowane podmioty, klienci decydowali się na to dobrowolnie. Regulaminy nie określały, jakiego rodzaju ma to być dokument, bo decyzję w tym zakresie podejmował wypożyczający. Zazwyczaj pozostawianymi dokumentami były: prawo jazdy, legitymacja szkolna lub studencka, karta miejska, a w sporadycznych przypadkach – dowód osobisty.

Wypożyczającemu sprzęt w chwili jego oddania zwracany był pozostawiony dokument potwierdzający tożsamość. Oględziny przeprowadzone podczas kontroli potwierdziły, iż w wypożyczalniach przechowywano: prawa jazdy, legitymacje studenckie, karty miejskie; zdarzały się też przypadki patentów żeglarskich.

Wydaje się, że największe emocje i obawy budzi zawsze zatrzymywanie dowodu osobistego. Istnieje ryzyko, że zeskanowany lub skopiowany trafi do niepowołanych osób i pomoże np. w wyłudzeniu kredytu. Ale może prawo jazdy lub legitymacja mogą być takim dobrym „zastawem"?

Skanowanie lub kserowanie dowodów osobistych oraz innych dokumentów poświadczających naszą tożsamość to niebezpieczna praktyka budząca zastrzeżenia GIODO. Analiza obowiązujących przepisów prawa prowadzi bowiem do wniosku, że brak jest podstaw prawnych do zatrzymywania dowodów osobistych i innych dokumentów, a także gromadzenia zawartych w nich danych osobowych w zakresie szerszym, niż jest to niezbędne w stosunku do celu ich zbierania.

Sprawa żądania pozostawienia dowodów osobistych jest szczególna, ponieważ przepisy ustawy o dowodach osobistych zabraniają – poza pewnymi wyjątkami – ich zatrzymywania. Stosownie do art. 79 tej ustawy działanie takie, o ile odbywa się bez podstawy prawnej, jest bezprawne i zagrożone karą ograniczenia wolności albo karą grzywny. Stosowanie tego typu praktyki stanowi wykroczenie, za którego popełnienie grozi odpowiedzialność karna. Z wykroczeniem mamy do czynienia w przypadkach wymuszenia pozostawienia dowodu, tj. gdy usługodawca uzależnia świadczenie określonej usługi od pozostawienia tego dokumentu. Sąd Apelacyjny w Katowicach w wyroku z 9 grudnia 2010 r. (II Aka 397/10) wskazał, iż „znamię czasownikowe »zatrzymanie« należy rozumieć jako pozbawienie władztwa, odebranie, a więc chodzi o zachowanie sprzeczne z wolą dysponenta dowodu osobistego. Zatem jedynie zatrzymanie dowodu osobistego wbrew woli i akceptacji jego właściciela może prowadzić do wyczerpania znamion wykroczenia określonego w art. 55 ust. 1 pkt 2 ustawy o ewidencji ludności i dowodach osobistych". Trudno jednak mówić o zgodzie właściciela, dowolności i przyzwoleniu na zatrzymanie dowodu osobistego w sytuacji, kiedy wykonanie danej usługi zostało uzależnione od oddania dowodu osobistego na czas jej wykonywania.

A co z innymi dokumentami?

Należy wyraźnie podkreślić, iż zatrzymywanie jakichkolwiek innych dokumentów w innym celu niż w tym, który został ściśle określony przepisami prawa, jest również niedopuszczalne. Zatem zatrzymywanie pod zastaw za wypożyczony sprzęt takich dokumentów, jak: paszport, prawo jazdy, dowód rejestracyjny pojazdu, legitymacja szkolna, legitymacja studencka, legitymacja emeryta-rencisty czy książeczka wojskowa nie jest w żaden sposób uprawnione. Do zatrzymania np. prawa jazdy lub dowodu rejestracyjnego pojazdu uprawnione są jedynie podmioty wymienione w przepisach prawa. Jednym z nich jest np. policja, a i to tylko w konkretnych, wskazanych w przepisach prawa sytuacjach.

Z punktu widzenia ustawy o ochronie danych osobowych takie zatrzymanie dokumentu może oznaczać, że dane przetwarzane są w zbyt szerokim zakresie. Czy to także może stanowić naruszenie w omawianych przypadkach?

Przepisy ustawy o ochronie danych osobowych stanowią, że aby wykorzystywanie danych osobowych było legalne, musi się odbywać na podstawie jednej ze wskazanych w niej przesłanek (określonych w art. 23 ust. 1, jeśli chodzi o dane osobowe tzw. zwykłe, oraz w art. 27 ust. 2, jeśli chodzi o tzw. dane osobowe szczególnie chronione) i w zakresie adekwatnym do celu ich przetwarzania (art. 26 ust. 1 pkt 3).

Tymczasem dokumenty, o których wspominaliśmy, takie jak dowód osobisty, paszport, prawo jazdy czy różne legitymacje, zawierają większy zakres danych osobowych, niż jest konieczny dla zawarcia i realizacji umowy wypożyczenia sprzętu oraz dochodzenia ewentualnych roszczeń. Na te potrzeby wystarczające jest spisanie niezbędnych danych, takich jak: imię, nazwisko, adres zamieszkania i ewentualnie numer PESEL. Zatem podmioty, które zatrzymywały ww. dokumenty, zbierały dane w zakresie szerszym, niż było to niezbędne dla osiągnięcia ww. celów.

Jednocześnie warto podkreślić, że równie skuteczny dla obu stron umowy wydaje się środek w postaci kaucji za wypożyczenie, niepowodujący konieczności pozyskiwania danych osobowych, a jednocześnie zabezpieczający ewentualne roszczenia usługodawców.

Co również istotne, na kopiowanie dokumentów potwierdzających tożsamość należy obecnie patrzeć przez pryzmat kradzieży tożsamości, która wywołuje ogromne negatywne konsekwencje. Według mnie nie ma konieczności, by na potrzeby zawarcia i realizacji umowy czy dochodzenia ewentualnych roszczeń wykonywać kopie takich dokumentów.