Czy spersonalizowane karty miejskie zagrażają prywatności

Czy można wyobrazić sobie nowoczesny system transportu miejskiego bez elektronicznej karty miejskiej? Większość dużych miast w Polsce i spora część mniejszych zdecydowała się już na ich wprowadzenie. Podstawowa funkcja kart sprowadza się do dystrybucji biletów komunikacji miejskiej, jednak coraz częściej dodawane są kolejne opcje: w niektórych miastach taką kartą płacić można za parkowanie, wstęp na basen czy do muzeum.

Władze miejskie przedstawiają wprowadzanie kart jako rozwiązanie racjonalizatorskie: z zasady chodzi o usprawnienie funkcjonowania systemu transportu publicznego i cięcie kosztów. W uzasadnieniach standardowo pojawia się także troska o wygodę mieszkańców i większą atrakcyjność miasta dla turystów. Trudno podważać niektóre oczywiste korzyści wynikające z wprowadzania elektronicznych kart miejskich – szczególnie te finansowe. W czym zatem tkwi problem? Trzy kwestie wydają się kluczowe.

[srodtytul]Kluczowe kwestie[/srodtytul]

Po pierwsze dotychczasowe rozwiązania, zakładające anonimowe korzystanie z usług transportu publicznego, są wypierane przez systemy elektroniczne, które wymagają udostępniania danych osobowych. Większość nowoczesnych kart miejskich to karty spersonalizowane. Nie jest to bynajmniej konieczność technologiczna – karty miejskie mogą być równie dobrze anonimowe – ale wynik prostej kalkulacji ekonomicznej: wydając wyłącznie karty spersonalizowane i rejestrując właścicieli, miasto zabezpiecza się przed kosztami wydawania duplikatów.

Drugi problem to narzucanie wszystkim, którzy chcą korzystać z transportu miejskiego, obowiązku posiadania spersonalizowanych kart, a co za tym idzie – przymus podawania danych osobowych. Zgodnie z logiką cięcia kosztów w większości miast spersonalizowane karty są teraz jedynym sposobem płacenia za usługi komunikacji miejskiej. Pojawia się więc pytanie, czy korzyści dla miasta – przede wszystkim finansowe – usprawiedliwiają taką politykę i wykorzystywanie dominującej pozycji przewoźników miejskich.

Po trzecie osoby korzystające ze spersonalizowanych kart miejskich nie są w wystarczającym stopniu informowane, w jakim zakresie i w jakich celach ich dane osobowe będą przetwarzane. Karty miejskie są sprzedawane mieszkańcom jako neutralne narzędzia, których wyłączną funkcją jest podnoszenie standardu oferowanych przez miasto usług. W kampaniach informacyjnych nie pojawia się natomiast w ogóle kwestia ich wpływu na sferę prywatności tych, którzy z nich korzystają.

[srodtytul]Na przykładzie Warszawy[/srodtytul]

Sprawa personalizacji warszawskiej karty miejskiej doskonale ilustruje te problemy. Kiedy w marcu 2008 roku rada miasta decydowała o wprowadzeniu nowej karty, nie było mowy o likwidacji jej starszej, niespersonalizowanej wersji. Nowa karta miała być tylko alternatywą dla osób, które będą chciały skorzystać z zalet takiego rozwiązania. Sytuacja uległa zmianie w styczniu 2009 roku, kiedy rada miasta podjęła decyzję, że stare karty mają wyjść z użycia i od początku 2010 roku imienne bilety okresowe będą kodowane wyłącznie na kartach spersonalizowanych.

Jednocześnie bardzo dużo do życzenia pozostawiała polityka informacyjna Zakładu Transportu Miejskiego. Koncentrowała się ona na promowaniu nowej karty, pomijała natomiast kwestie rzeczywistego zakresu i celów przetwarzania danych oraz czasu ich przechowywania. W prasie pojawiały się informacje, że ZTM bez podstawy prawnej gromadzi informacje o trasach przejazdów pasażerów, co trzeba uznać za rażącą ingerencję w prywatność. Wreszcie sprawą zainteresował się generalny inspektor ochrony danych osobowych.

W decyzji z 3 lipca bieżącego roku GIODO zakwestionował zasady przetwarzania danych przez ZTM. Potwierdził, że dochodziło do pozyskiwania danych o kolejnych skasowaniach karty i zarzucił ZTM nieinformowanie o tym pasażerów. Na konferencji prasowej GIODO podkreślił, że ZTM nie jest instytucją powołaną do śledzenia obywateli, dlatego na potrzeby świadczenia swoich usług nie potrzebuje gromadzić danych geolokalizacyjnych. W decyzji wskazał również, że ZTM nie określił procedur i terminów usuwania danych właścicieli kart, kiedy już nie będą potrzebne do obsługi klientów czy windykacji roszczeń.

[srodtytul]Pozorna alternatywa[/srodtytul]

Interwencja GIODO nie wyczerpuje jednak kontrowersji prawnych wokół tego projektu. Kluczowym problemem pozostaje przymus podawania danych osobowych. GIODO nie zakwestionował tej praktyki w swojej decyzji, ale wystąpił do prezesa Urzędu Ochrony Konkurencji i Konsumentów z prośbą o kompleksowe zbadanie tej sprawy z punktu widzenia naruszenia zbiorowych interesów konsumentów.

Rozwiązania przyjęte w Warszawie, jak również te funkcjonujące już w wielu innych miastach, rzeczywiście powinny wzbudzić zastrzeżenia UOKiK. Przetwarzanie pełnego katalogu danych pasażerów na pewno nie jest konieczne do realizacji standardowej usługi przewozu komunikacją miejską. I właśnie dlatego zgodnie z ustawą o ochronie danych osobowych ZTM ma prawo przetwarzać dane klientów tylko na podstawie wyraźnie wyartykułowanej zgody klientów.

Tymczasem nowe zasady stawiają dobrowolność tej zgody pod znakiem zapytania. Okresowe bilety komunikacji miejskiej będą dostępne tylko w formie spersonalizowanej, wymagającej podania danych osobowych. Inne rozwiązania (bilety jednorazowe czy na okaziciela) ze względu na znacznie wyższą cenę stanowią jedynie pozorną alternatywę. W teorii nikt nie jest przymuszany do wyrobienia spersonalizowanej karty miejskiej, w praktyce jednak rozwiązanie to odbiera klientom możliwość realnego wyboru co do warunków zawarcia umowy przewozu.

[wyimek]Zakład transportu miejskiego nie jest instytucją powołaną do śledzenia obywateli[/wyimek]

Na tę sprawę trzeba również spojrzeć w kontekście dominującej pozycji miasta na lokalnym rynku usług przewozowych. Można argumentować, że działania władz miasta są w rzeczywistości nadużywaniem tej pozycji w celu narzucenia konsumentom niekorzystnych warunków umowy, a konkretnie wymuszenia podawania danych osobowych, w sytuacji kiedy nie jest to konieczne do realizacji usługi.

UOKiK powinien również zbadać, czy te rozwiązania nie służą ominięciu zakazu pobierania opłat za wydawanie elektronicznych nośników biletów nałożonego decyzją prezesa UOKiK w 2004 roku. Nowy system ma bowiem co do zasady uniemożliwić bezpłatne wydanie karty temu samemu pasażerowi częściej niż co dziesięć lat. Pierwsza karta jest wprawdzie wydawana bezpłatnie, ale za każdą kolejną wydaną w tym okresie pobierana jest już opłata w wysokości

10 złotych. Bezpłatny duplikat można otrzymać tylko w przypadku zmiany danych osobowych umieszczonych na karcie lub zniszczenia karty nie z winy pasażera, natomiast w przypadku np. kradzieży – już nie.

[srodtytul]Trzeba postawić to pytanie[/srodtytul]

Ta analiza pokazuje, że projekty wprowadzania spersonalizowanych kart miejskich nie są neutralne z punktu widzenia prawa do prywatności. W tym kontekście warto poważnie się przyjrzeć sytuacji w innych miastach, gdzie władze często idą jeszcze dalej niż w Warszawie. Przewidują na przykład kodowanie jednorazowych biletów komunikacji wyłącznie na kartach miejskich, nakładają obowiązek kasowania karty przy każdym wejściu do autobusu (a w przypadku niektórych miast również przy wyjściu). Kolejnym krokiem jest wprowadzanie tzw. zintegrowanych kart umożliwiających płacenie także za inne usługi, co wiąże się ze zbieraniem w jednej bazie bardzo dużej ilości informacji o zachowaniach i preferencjach mieszkańców.

Wydaje się, że proces ten będzie postępował, zwłaszcza że na horyzoncie pojawił się już pomysł stworzenia ogólnopolskiej karty miejskiej. Warto więc zadać sobie (i władzom miejskim) pytanie o to, jakie względy – poza finansowymi – przemawiają za przyjmowaniem tego typu rozwiązań. I za każdym razem dbać o wypracowanie takich, które w jak najmniejszym stopniu będą zagrażać naszej prywatności.

Dane Osobowe Konsumenci

Pozostało 88% artykułu