Czy RODO coś mówi o przetwarzaniu danych osobowych w postaci skanu lub ksera dowodu osobistego — na przykład przez operatorów telekomunikacyjnych, przy zawarciu umowy? Krótka odpowiedź brzmi: nie, RODO nic o tym nie mówi, co nie oznacza, że podpisując umowę na abonament komórkowy mamy obowiązek zgodzić się na kserowanie naszych dokumentów tożsamości (wyrok NSA z 18 kwietnia 2018 r., I OSK 1354/16).
Spór dotyczył decyzji GIODO, który uznał, że część stosowanych przez operatora telekomunikacyjnego klauzul na przetwarzanie danych osobowych w procedurze sprzedaży usług była sformułowana w sposób nieprawidłowy, nie zapewniając klientom swobody w kwestii wyrażenia zgody na przetwarzanie ich danych, a mianowicie:
- operator na formularzu internetowym połączył zgody na przetwarzanie danych transmisyjnych do celów marketingu usług wraz ze zgodą przetwarzanie danych transmisyjnych dla celów marketingu innych podmiotów, z którymi operator współpracował w zakresie rozpowszechniania informacji handlowej oraz ze zgodą na otrzymywanie informacji handlowych drogą elektroniczną wraz ze zgodą na używanie automatycznych systemów wywołujących dla celów marketingu bezpośredniego (art. 172 PT);
- operator żądał od klientów zawierających umowę przez telefon zgody na przetwarzanie danych osobowych widniejących w dowodzie osobistym w zakresie szerszym, niż zezwala art. 161 ust. 2 PT, podczas gdy prawo zakazuje uzależniania zawarcia umowy o świadczenie publicznie dostępnych usług telekomunikacyjnych od udzielenia innych danych (art. 57 ust. 1 pkt 3 PT) — operator przetwarzał m.in. skan dowodu osobistego oraz dane o wizerunku, wzroście, kolorze oczu oraz adresie zameldowania.
art. 161 ust. 2-3 ustawy prawo telekomunikacyjne
2. Dostawca publicznie dostępnych usług telekomunikacyjnych jest uprawniony do przetwarzania następujących danych dotyczących użytkownika będącego osobą fizyczną:
1) nazwisk i imion;
2) imion rodziców;
3) miejsca i daty urodzenia;
4) adresu miejsca zamieszkania i adresu korespondencyjnego jeżeli jest on inny niż adres miejsca zamieszkania;
5) numeru ewidencyjnego PESEL — w przypadku obywatela Rzeczypospolitej Polskiej;
6) nazwy, serii i numeru dokumentów potwierdzających tożsamość (…);
7) zawartych w dokumentach potwierdzających możliwość wykonania zobowiązania wobec dostawcy publicznie dostępnych usług telekomunikacyjnych wynikającego z umowy o świadczenie usług telekomunikacyjnych.
3. Oprócz danych, o których mowa w ust. 2, dostawca publicznie dostępnych usług telekomunikacyjnych może, za zgodą użytkownika będącego osobą fizyczną, przetwarzać inne dane tego użytkownika w związku ze świadczoną usługą, w szczególności numer konta bankowego lub karty płatniczej, a także adres poczty elektronicznej oraz numery telefonów kontaktowych.
Skarga na decyzję została oddalona przez sąd: operator telekomunikacyjny może przetwarzać dane osobowe klientów wyłącznie w sposób określony przepisami prawa. Dopuszcza się wyłącznie przetwarzanie danych wskazanych w art. 161 ust. 2 PT, zaś inne dane — jeśli są związane ze świadczoną usługą — mogą być przetwarzane wyłącznie za zgodą użytkownika, która to zgoda nie może być domniemana lub dorozumiana z innego oświadczenia woli (art. 174 PT). Uzależnianie zawarcia umowy od podania innych danych, niż wymaganych prawem, jest niedopuszczalne (art. 57 ust. 1 PT), zatem łączenie klauzul oraz żądanie dodatkowych danych nie zapewniało swobody w zakresie złożenia oświadczenia wyrażającego zgodę na przetwarzanie danych osobowych przez operatora.
Przetwarzanie skanu lub ksera dowodu osobistego przez operatora nie może być określane jako dane „potwierdzających możliwość wykonania zobowiązania”, bo dowód osobisty jest dokumentem potwierdzającym tożsamość osoby, a nie jej wiarygodność finansową — na jego podstawie nie da się ocenić czy abonent będzie w stanie terminowo regulować rachunki za telefon.
Nie ma też znaczenia, że w wydanej opinii UKE wyraził pogląd, że takie działania są dopuszczalne — po pierwsze opinia odnosi się do dawnego stanu prawnego, a po drugie organem kompetentnym w zakresie ochrony danych osobowych jest GIODO.
Skoro zatem żaden przepis nie upoważnia operatora do przetwarzania innych danych osobowych, niż określone prawem telekomunikacyjnym, przetwarzanie danych osobowych zawartych w dowodzie osobistym — wizerunku, koloru oczu, wzrostu i adresu zameldowania — bez podstawy prawnej podważało zasadę legalności (art. 26 ust. 1 d. uoodo), zatem decyzja nakazująca zaprzestanie takich działań była prawidłowa.
Q.E.D.