Czy operator telekomunikacyjny może żądać skanu lub ksera dowodu osobistego przy podpisywaniu umowy?

Czy RODO coś mówi o przetwarzaniu danych osobowych w postaci skanu lub ksera dowodu osobistego — na przykład przez operatorów telekomunikacyjnych, przy zawarciu umowy? Krótka odpowiedź brzmi: nie, RODO nic o tym nie mówi, co nie oznacza, że podpisując umowę na abonament komórkowy mamy obowiązek zgodzić się na kserowanie naszych dokumentów tożsamości (wyrok NSA z 18 kwietnia 2018 r., I OSK 1354/16).


przetwarzanie skanu ksero dowodu osobistego

Przetwarzanie skanu lub ksera dowodu osobistego przez operatora telekomunikacyjnego narusza przepisy o ochronie danych osobowych (fot. Olgierd Rudak, CC-BY-SA 3.0)


Spór dotyczył decyzji GIODO, który uznał, że część stosowanych przez operatora telekomunikacyjnego klauzul na przetwarzanie danych osobowych w procedurze sprzedaży usług była sformułowana w sposób nieprawidłowy, nie zapewniając klientom swobody w kwestii wyrażenia zgody na przetwarzanie ich danych, a mianowicie:

  • operator na formularzu internetowym połączył zgody na przetwarzanie danych transmisyjnych do celów marketingu usług wraz ze zgodą przetwarzanie danych transmisyjnych dla celów marketingu innych podmiotów, z którymi operator współpracował w zakresie rozpowszechniania informacji handlowej oraz ze zgodą na otrzymywanie informacji handlowych drogą elektroniczną wraz ze zgodą na używanie automatycznych systemów wywołujących dla celów marketingu bezpośredniego (art. 172 PT);
  • operator żądał od klientów zawierających umowę przez telefon zgody na przetwarzanie danych osobowych widniejących w dowodzie osobistym w zakresie szerszym, niż zezwala art. 161 ust. 2 PT, podczas gdy prawo zakazuje uzależniania zawarcia umowy o świadczenie publicznie dostępnych usług telekomunikacyjnych od udzielenia innych danych (art. 57 ust. 1 pkt 3 PT) — operator przetwarzał m.in. skan dowodu osobistego oraz dane o wizerunku, wzroście, kolorze oczu oraz adresie zameldowania.
art. 161 ust. 2-3 ustawy prawo telekomunikacyjne
2. Dostawca publicznie dostępnych usług telekomunikacyjnych jest uprawniony do przetwarzania następujących danych dotyczących użytkownika będącego osobą fizyczną:
1) nazwisk i imion;
2) imion rodziców;
3) miejsca i daty urodzenia;
4) adresu miejsca zamieszkania i adresu korespondencyjnego jeżeli jest on inny niż adres miejsca zamieszkania;
5) numeru ewidencyjnego PESEL — w przypadku obywatela Rzeczypospolitej Polskiej;
6) nazwy, serii i numeru dokumentów potwierdzających tożsamość (…);
7) zawartych w dokumentach potwierdzających możliwość wykonania zobowiązania wobec dostawcy publicznie dostępnych usług telekomunikacyjnych wynikającego z umowy o świadczenie usług telekomunikacyjnych.
3. Oprócz danych, o których mowa w ust. 2, dostawca publicznie dostępnych usług telekomunikacyjnych może, za zgodą użytkownika będącego osobą fizyczną, przetwarzać inne dane tego użytkownika w związku ze świadczoną usługą, w szczególności numer konta bankowego lub karty płatniczej, a także adres poczty elektronicznej oraz numery telefonów kontaktowych.

Skarga na decyzję została oddalona przez sąd: operator telekomunikacyjny może przetwarzać dane osobowe klientów wyłącznie w sposób określony przepisami prawa. Dopuszcza się wyłącznie przetwarzanie danych wskazanych w art. 161 ust. 2 PT, zaś inne dane — jeśli są związane ze świadczoną usługą — mogą być przetwarzane wyłącznie za zgodą użytkownika, która to zgoda nie może być domniemana lub dorozumiana z innego oświadczenia woli (art. 174 PT). Uzależnianie zawarcia umowy od podania innych danych, niż wymaganych prawem, jest niedopuszczalne (art. 57 ust. 1 PT), zatem łączenie klauzul oraz żądanie dodatkowych danych nie zapewniało swobody w zakresie złożenia oświadczenia wyrażającego zgodę na przetwarzanie danych osobowych przez operatora.

Przetwarzanie skanu lub ksera dowodu osobistego przez operatora nie może być określane jako dane „potwierdzających możliwość wykonania zobowiązania”, bo dowód osobisty jest dokumentem potwierdzającym tożsamość osoby, a nie jej wiarygodność finansową — na jego podstawie nie da się ocenić czy abonent będzie w stanie terminowo regulować rachunki za telefon.
Nie ma też znaczenia, że w wydanej opinii UKE wyraził pogląd, że takie działania są dopuszczalne — po pierwsze opinia odnosi się do dawnego stanu prawnego, a po drugie organem kompetentnym w zakresie ochrony danych osobowych jest GIODO.

Skoro zatem żaden przepis nie upoważnia operatora do przetwarzania innych danych osobowych, niż określone prawem telekomunikacyjnym, przetwarzanie danych osobowych zawartych w dowodzie osobistym — wizerunku, koloru oczu, wzrostu i adresu zameldowania — bez podstawy prawnej podważało zasadę legalności (art. 26 ust. 1 d. uoodo), zatem decyzja nakazująca zaprzestanie takich działań była prawidłowa.

Q.E.D.

12 comments for “Czy operator telekomunikacyjny może żądać skanu lub ksera dowodu osobistego przy podpisywaniu umowy?

  1. Dobromir
    28 maja 2018 at 09:04

    Reasumując (bo lubię, gdy coś jest wyłożone wprost i łopatologicznie): u operatora dowód należy okazać, ale na kserowanie nie musimy się godzić, a groźba odmowy podpisania umowy z tego powodu będzie bezprawna?

    • Olgierd Rudak
      28 maja 2018 at 09:51

      Tak, o tym jest ten tekst :)

      • Alot
        28 maja 2018 at 13:01

        A co w przypadku, gdy konsultant spisuje z dowodu więcej danych niż wymaga tego umowa/rejestracja numeru? Co można mu zrobić, tak personalnie za naruszenie, jak i firmie?

  2. kjonca
    28 maja 2018 at 11:27

    To jeszcze analogicznie dla banków by się przydało …

    • b52t
      28 maja 2018 at 12:20

      Banki, niby, mają swoje regulacje, a to dlatego (po części), że jest ustawa o zwalczaniu finansowania terroryzmu i praniu pieniędzy.

      • kjonca
        28 maja 2018 at 13:09

        Co wcale nie musi oznaczać, że bank powinien mieć prawo skanować/kserować mój dowód …

        • b52t
          28 maja 2018 at 13:37

          Tak, posiłkuje się tym com zasłyszał w pracy. Nigdy tego nie badałem (bo nie miałem takiej potrzeby).

        • Olgierd Rudak
          28 maja 2018 at 15:12

          Nie musi, ale — jak zawsze (sprawdzić, czy nie mogą).

          • kjonca
            28 maja 2018 at 19:55

            Pisząc „by się przydało” chciałem raczej wyrazić swoje „chciejstwo” zeby nie mogli …
            Bo zdaje się, że jakiś czas temu stwierdzono, że ze względu na „specjalną rolę banków” można im na to pozwolić. (Grr)

            • pcs
              29 maja 2018 at 00:35

              Tak, chociaż GIODO się odgrażał, że czasy się zmieniły i teraz wypadałoby przeanalizować ponownie ryzyka i czy przypadkiem bycie bankiem nadal powinno dawać takie prawo.

              Ale co my tu będziemy o jakimś RODO i bankach, kiedy UE oczekuje przesyłania skanów dowodów burmistrzów – https://www.facebook.com/groups/siappti/permalink/439481243156714/

  3. Waldemar Kownacki
    3 lipca 2018 at 11:37

    Witam, play.pl dalej stosuje i wymaga wysyłania skanów dokumentów, co dalej?

    Abyśmy mogli je zrealizować, wyślij na adres e-mail dokumenty@playsklep.pl skany lub zdjęcia następujących dokumentów:

    Dowód osobisty lub paszport

    • Olgierd Rudak
      3 lipca 2018 at 11:56

      Na przykład skarga do PUODO (byle zapchać ten organ na wiele następnych lat).

      Albo nie korzystać :)

Dodaj komentarz

This site uses Akismet to reduce spam. Learn how your comment data is processed.