Czy operator telekomunikacyjny może żądać skanu lub ksera dowodu osobistego przy podpisywaniu umowy?

Czy RODO coś mówi o przetwarzaniu danych osobowych w postaci skanu lub ksera dowodu osobistego — na przykład przez operatorów telekomunikacyjnych, przy zawarciu umowy? Krótka odpowiedź brzmi: nie, RODO nic o tym nie mówi, co nie oznacza, że podpisując umowę na abonament komórkowy mamy obowiązek zgodzić się na kserowanie naszych dokumentów tożsamości (wyrok NSA z 18 kwietnia 2018 r., I OSK 1354/16).


przetwarzanie skanu ksero dowodu osobistego

Przetwarzanie skanu lub ksera dowodu osobistego przez operatora telekomunikacyjnego narusza przepisy o ochronie danych osobowych (fot. Olgierd Rudak, CC-BY-SA 3.0)


Spór dotyczył decyzji GIODO, który uznał, że część stosowanych przez operatora telekomunikacyjnego klauzul na przetwarzanie danych osobowych w procedurze sprzedaży usług była sformułowana w sposób nieprawidłowy, nie zapewniając klientom swobody w kwestii wyrażenia zgody na przetwarzanie ich danych, a mianowicie:

  • operator na formularzu internetowym połączył zgody na przetwarzanie danych transmisyjnych do celów marketingu usług wraz ze zgodą przetwarzanie danych transmisyjnych dla celów marketingu innych podmiotów, z którymi operator współpracował w zakresie rozpowszechniania informacji handlowej oraz ze zgodą na otrzymywanie informacji handlowych drogą elektroniczną wraz ze zgodą na używanie automatycznych systemów wywołujących dla celów marketingu bezpośredniego (art. 172 PT);
  • operator żądał od klientów zawierających umowę przez telefon zgody na przetwarzanie danych osobowych widniejących w dowodzie osobistym w zakresie szerszym, niż zezwala art. 161 ust. 2 PT, podczas gdy prawo zakazuje uzależniania zawarcia umowy o świadczenie publicznie dostępnych usług telekomunikacyjnych od udzielenia innych danych (art. 57 ust. 1 pkt 3 PT) — operator przetwarzał m.in. skan dowodu osobistego oraz dane o wizerunku, wzroście, kolorze oczu oraz adresie zameldowania.
art. 161 ust. 2-3 ustawy prawo telekomunikacyjne
2. Dostawca publicznie dostępnych usług telekomunikacyjnych jest uprawniony do przetwarzania następujących danych dotyczących użytkownika będącego osobą fizyczną:
1) nazwisk i imion;
2) imion rodziców;
3) miejsca i daty urodzenia;
4) adresu miejsca zamieszkania i adresu korespondencyjnego jeżeli jest on inny niż adres miejsca zamieszkania;
5) numeru ewidencyjnego PESEL — w przypadku obywatela Rzeczypospolitej Polskiej;
6) nazwy, serii i numeru dokumentów potwierdzających tożsamość (…);
7) zawartych w dokumentach potwierdzających możliwość wykonania zobowiązania wobec dostawcy publicznie dostępnych usług telekomunikacyjnych wynikającego z umowy o świadczenie usług telekomunikacyjnych.
3. Oprócz danych, o których mowa w ust. 2, dostawca publicznie dostępnych usług telekomunikacyjnych może, za zgodą użytkownika będącego osobą fizyczną, przetwarzać inne dane tego użytkownika w związku ze świadczoną usługą, w szczególności numer konta bankowego lub karty płatniczej, a także adres poczty elektronicznej oraz numery telefonów kontaktowych.

Skarga na decyzję została oddalona przez sąd: operator telekomunikacyjny może przetwarzać dane osobowe klientów wyłącznie w sposób określony przepisami prawa. Dopuszcza się wyłącznie przetwarzanie danych wskazanych w art. 161 ust. 2 PT, zaś inne dane — jeśli są związane ze świadczoną usługą — mogą być przetwarzane wyłącznie za zgodą użytkownika, która to zgoda nie może być domniemana lub dorozumiana z innego oświadczenia woli (art. 174 PT). Uzależnianie zawarcia umowy od podania innych danych, niż wymaganych prawem, jest niedopuszczalne (art. 57 ust. 1 PT), zatem łączenie klauzul oraz żądanie dodatkowych danych nie zapewniało swobody w zakresie złożenia oświadczenia wyrażającego zgodę na przetwarzanie danych osobowych przez operatora.

Przetwarzanie skanu lub ksera dowodu osobistego przez operatora nie może być określane jako dane „potwierdzających możliwość wykonania zobowiązania”, bo dowód osobisty jest dokumentem potwierdzającym tożsamość osoby, a nie jej wiarygodność finansową — na jego podstawie nie da się ocenić czy abonent będzie w stanie terminowo regulować rachunki za telefon.
Nie ma też znaczenia, że w wydanej opinii UKE wyraził pogląd, że takie działania są dopuszczalne — po pierwsze opinia odnosi się do dawnego stanu prawnego, a po drugie organem kompetentnym w zakresie ochrony danych osobowych jest GIODO.

Skoro zatem żaden przepis nie upoważnia operatora do przetwarzania innych danych osobowych, niż określone prawem telekomunikacyjnym, przetwarzanie danych osobowych zawartych w dowodzie osobistym — wizerunku, koloru oczu, wzrostu i adresu zameldowania — bez podstawy prawnej podważało zasadę legalności (art. 26 ust. 1 d. uoodo), zatem decyzja nakazująca zaprzestanie takich działań była prawidłowa.

Q.E.D.

12
Dodaj komentarz

avatar
3 Comment threads
9 Thread replies
0 Followers
 
Most reacted comment
Hottest comment thread

This site uses Akismet to reduce spam. Learn how your comment data is processed.

  Subscribe  
najnowszy najstarszy
Powiadom o
Dobromir
Gość
Dobromir

Reasumując (bo lubię, gdy coś jest wyłożone wprost i łopatologicznie): u operatora dowód należy okazać, ale na kserowanie nie musimy się godzić, a groźba odmowy podpisania umowy z tego powodu będzie bezprawna?

kjonca
Gość
kjonca

To jeszcze analogicznie dla banków by się przydało …

b52t
Gość
b52t

Banki, niby, mają swoje regulacje, a to dlatego (po części), że jest ustawa o zwalczaniu finansowania terroryzmu i praniu pieniędzy.

kjonca
Gość
kjonca

Co wcale nie musi oznaczać, że bank powinien mieć prawo skanować/kserować mój dowód …

b52t
Gość
b52t

Tak, posiłkuje się tym com zasłyszał w pracy. Nigdy tego nie badałem (bo nie miałem takiej potrzeby).

Waldemar Kownacki
Gość
Waldemar Kownacki

Witam, play.pl dalej stosuje i wymaga wysyłania skanów dokumentów, co dalej?

Abyśmy mogli je zrealizować, wyślij na adres e-mail dokumenty@playsklep.pl skany lub zdjęcia następujących dokumentów:

Dowód osobisty lub paszport