NSA: Żądanie kopii dowodu osobistego niezgodne z prawem

11 czerwca 2018
/

W dzisiejszych czasach większość spraw można załatwić przez Internet. Zawierane są w ten sposób różnorakie umowy. Transakcje nie są realizowane przy jednoczesnej obecności obydwu stron, a co za tym idzie sprzedawcy oraz usługodawcy nie mogą być pewni, czy osoby przystępujące do kontraktów są wypłacalne i gotowe zrealizować swoje zobowiązania. Nie wiedzą nawet, czy dane wpisane przez klienta są prawdziwe. Dlatego też żądają potwierdzenia tożsamości. Często poprzez wezwanie do przesłania kopii dowodu osobistego. Czy jest to zgodne z prawem?

GIODO kontra przedsiębiorca telekomunikacyjny

Problem ten - w odniesieniu do przedsiębiorstw telekomunikacyjnych - rozstrzygnął ostatnio Naczelny Sąd Administracyjny (I OSK 1354/16). Wyrok został wydany w oparciu o stan faktyczny, w którym Generalny Dyrektor Ochrony Danych Osobowych nakazał usługodawcy: Zapewnienie osobom fizycznym zawierającym ze Spółką umowę o świadczenie usług telekomunikacyjnych - za pośrednictwem internetowego oraz telefonicznego kanału sprzedaży - swobody (opcjonalności) w kwestii wyrażenia zgody na przetwarzanie przez Spółkę danych osobowych widniejących w dowodzie osobisty.

Postępowanie w tym zakresie wszczęte zostało z urzędu. GIODO zauważył, że do zawarcia umowy abonamentowej z jednym z wiodących przedsiębiorstw telekomunikacyjnych za pośrednictwem Internetu albo telefonu niezbędne było przesłanie kserokopii bądź skanu dowodu osobistego. Jeśli klient nie wyraził na to zgody, pozostawało mu jedynie udać się do biura obsługi klienta w celu potwierdzenia tożsamości. Rozwiązanie to – zdaniem GIODO – stało w sprzeczności z przepisami ustawy – Prawo telekomunikacyjne oraz z zasadami ochrony danych osobowych. Z rozstrzygnięciem Inspektora nie zgodziło się natomiast przedsiębiorstwo. Ostatecznie doprowadziło to sprawę na wokandę Naczelnego Sądu Administracyjnego.

NSA popiera GIODO

Wyrokiem z dnia 18 kwietnia 2018 roku przesądzono, że takie działanie operatora nie odpowiada prawu. Przede wszystkim zauważono, że zgodnie z jedną naczelnych zasad przetwarzania danych osobowych, administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były przetwarzane zgodnie z prawem. Obowiązkiem administratora danych jest zatem takie postępowanie w zakresie przetwarzania danych, które jest zgodne z przepisami nie tylko ustawy o ochronie danych, ale również z przepisami innych ustaw i aktów wykonawczych.

W związku z tym, Sąd odnalazł przepisy ustawy szczególnej, która określa, jakie dane osobowe mogą być przetwarzane przez przedsiębiorcę telekomunikacyjnego. Zgodnie z art. 161 ust. 2 ustawy – Prawo telekomunikacyjne  są to:

  • nazwiska i imiona;
  • imiona rodziców;
  • miejsce i data urodzenia;
  • adres miejsca zamieszkania i adres korespondencyjny jeżeli jest on inny niż adres miejsca zamieszkania;
  • numer ewidencyjny PESEL - w przypadku obywatela Rzeczypospolitej Polskiej;
  • nazwa, seria i numer dokumentów potwierdzających tożsamość, a w przypadku cudzoziemca, który nie jest obywatelem państwa członkowskiego albo Konfederacji Szwajcarskiej – numer paszportu lub karty pobytu;
  • dane zawarte w dokumentach potwierdzających możliwość wykonania zobowiązania wobec dostawcy publicznie dostępnych usług telekomunikacyjnych wynikającego z umowy o świadczenie usług telekomunikacyjnych.

Jeśli przedsiębiorca ma zamiar przetwarzać inne dane, które są mu niezbędne do realizacji umowy o świadczenie usług albo do prowadzenia działań marketingowych, musi uzyskać od konsumenta wyraźną zgodę. Nie może być ona domniemana albo dorozumiana. Dopuszczalne jest jej wyrażanie drogą elektroniczną pod warunkiem utrwalenia przez użytkownika (art. 174 ustawy).

Co ponadto istotne, zgodnie z art. 57 ust. 1 pkt 3 ustawy, Dostawca usług nie może uzależniać zawarcia umowy o świadczenie publicznie dostępnych usług telekomunikacyjnych, w tym o zapewnienie przyłączenia do publicznej sieci telekomunikacyjnej od dzielenia informacji lub danych, innych niż określone w art. 161 ust. 2, w przypadku użytkownika końcowego będącego osobą fizyczną.

Żądanie kopii dowodu wbrew przepisom prawa

Tymczasem, w dowodach osobistych mogą znaleźć się – poza wymienionymi w art. 161 ust. 2 –takie informacje jak: wizerunek, wzrost, kolor oczu czy adres zameldowania. Niewątpliwie są to dane, które dają możliwość albo ułatwiają identyfikację osoby, a więc należy je uznać za dane osobowe. Przedsiębiorca telekomunikacyjny nie może więc ich przetwarzać na podstawie samych przepisów ustawy, lecz musi uzyskać od konsumenta odpowiednią i wyraźną zgodę. Z tego względu uzależnienie zawarcia umowy o świadczenie usług telekomunikacyjnych od przesłania kopii dowodu osobistego Sąd zasadnie uznał za bezprawne.

Ponadto, w uzasadnieniu orzeczenia podniesiono, że bez znaczenia dla oceny legalności działania przedsiębiorcy jest fakt umożliwienia konsumentowi zawarcia umowy w biurze obsługi klienta, jeśli tylko nie wyrazi on zgody na przetwarzanie danych osobowych widocznych w dowodzie osobistym. Jak słusznie przyjął Sąd I instancji: legalność przetwarzania danych osobowych klientów przedsiębiorcy telekomunikacyjnego należy oceniać indywidualnie w odniesieniu do każdego z kanałów sprzedaży. Nie są one bowiem ze sobą w żaden sposób powiązane, stanowią natomiast odrębne i niezależne sposoby dystrybucji usług. Brak jest jednocześnie podstaw do różnicowania zakresu obowiązkowo wymaganych danych o kliencie w zależności od kanału sprzedaży.