Nie skorzystasz z promocji, jeśli nie prześlesz do Play skanu swego dowodu

dodał 8 marca 2018 o 07:08 w kategorii Prawo, Wpadki  z tagami:
Nie skorzystasz z promocji, jeśli nie prześlesz do Play skanu swego dowodu

Jeśli nosicie się z zamiarem skorzystania z promocyjnej oferty w sieci Play, to nie zdziwcie się, gdy operator poprosi Was o przesłanie skanu dowodu. Zwykłym e-mailem, niezabezpieczonym w żaden sposób. Można tak?

Zwróciliśmy w ubiegłym miesiącu uwagę na fakt, że T-Mobile prosi abonentów o przesyłanie haseł otwartym tekstem. Zapytaliśmy przy okazji o inne nieprawidłowości związane z przetwarzaniem danych, z którymi zdarzyło się Wam zetknąć. Otrzymaliśmy sporo ciekawych sygnałów – niektóre postanowiliśmy zbadać od razu, inne odłożyliśmy na później do redakcyjnej szuflady. Dzisiaj opowiemy Wam o praktykach stosowanych przez P4, operatora sieci Play.

Jeden z naszych Czytelników chciał podpisać nową umowę z przeniesieniem numerów od obecnego operatora. „Z grubsza przeczytałem regulaminy, szukając jakichś dziwnych zapisów, nic nie znalazłem, więc zamówienie złożyłem” – napisał w e-mailu do redakcji. Play go poinformował, że w celu weryfikacji tożsamości musi przesłać na podany adres skan obu stron dowodu osobistego. „Żadnych zabezpieczeń (plik ZIP z hasłem etc.), praktycznie czysty plain text” – zmartwił się Czytelnik i zadzwonił na infolinię, aby to wyjaśnić. Tam usłyszał, że jeśli nie chce przesłać skanu e-mailem, to może… przekazać operatorowi ksero dowodu za pośrednictwem kuriera.

Flagi z logo Play, fot. Alina Zienowicz, CC BY-SA 3.0

Do podpisania umowy nie doszło. Czytelnik anulował zamówienie, powołując się przy tym na artykuł pt. „Firmy telekomunikacyjne nie mają prawa kopiować dowodów osobistych” zamieszczony na stronie Generalnego Inspektora Ochrony Danych Osobowych. Okazało się bowiem, że GIODO przeprowadzał kontrole u wybranych przedsiębiorców, ustalając, czy pozyskują oni kserokopie, fotokopie lub skany dokumentów potwierdzających tożsamość klientów. Gdy okazało się, że tak, zakwestionował tę praktykę i nakazał usunięcie uchybień. Stanowisko GIODO zostało następnie potwierdzone wyrokami Wojewódzkiego Sądu Administracyjnego w Warszawie (sygn. akt II SA/Wa 1655/15 oraz 779/16).

Play ma inne zdanie

Play odniósł się do wspomnianego wyżej artykułu w e-mailu do Czytelnika. Warto ten fragment zacytować: „Decyzje i wyroki sądowe przywołane w stanowisku GIODO dotyczą podmiotów z branży telekomunikacyjnej, jednak podmiotem tych decyzji i wyroków nie jest P4 sp. z o.o. Z uwagi na fakt, że w Polsce nie obowiązuje precedensowy system prawny, decyzja lub wyrok, której stroną jest konkretny podmiot, dotyczy wyłącznie tego podmiotu i nie obejmuje swoim zakresem innych podmiotów znajdujących się w analogicznej sytuacji prawnej”.

Ciekawa argumentacja, nieprawdaż? Jeśli myślicie, że jest to opinia szeregowego pracownika Obsługi Klienta, to niestety jesteście w błędzie. Jak zwykle w budzących wątpliwości sytuacjach, nawiązaliśmy kontakt z firmą, której dotyczy problem. Ewa Sankowska-Sieniek z Biura Prasowego Play potwierdziła, że jest to oficjalne stanowisko operatora.

W naszym zapytaniu zwróciliśmy także uwagę na zasadę adekwatności, którą niedawno omawialiśmy na naszych łamach. W skrócie chodzi o to, aby gromadzone przez administratora dane były adekwatne w stosunku do celów, w jakich są przetwarzane (wymaga tego art. 26 ust. 1 pkt. 3 Ustawy o ochronie danych osobowych). Przedstawicielka Play odpisała: „Uważamy, że nie naruszamy zasady adekwatności – zresztą w odpowiedzi, którą otrzymał od nas klient, przedstawiamy szczegółowo naszą argumentację, zarówno jeśli chodzi o kwestie formalne, jak i biznesowe”. Wróćmy więc do odpowiedzi, którą Play wysłał do naszego Czytelnika:

Zgodnie z zasadą swobody zawierania umów abonent może zawrzeć umowę o określonej treści na wskazanych w niej warunkach. W przypadku zawierania umów na warunkach promocyjnych są one kredytowane przez P4 (subsydia na urządzenia, rabaty na abonament, bezpłatne pakiety). P4, udzielając kredytu, ma prawo wyboru sposobu jego zabezpieczenia, np. poprzez określenie wymaganego, szerszego niż określony w art. 161 ust. 2 Prawa telekomunikacyjnego, zakresu danych niezbędnych do zawarcia umowy i realizacji umowy.

Podstawą pozyskiwania przez P4 danych zawartych w dokumencie tożsamości abonenta jest art. 161 ust. 3 Prawa telekomunikacyjnego, zgodnie z którym „Oprócz danych, o których mowa w ust. 2, dostawca publicznie dostępnych usług telekomunikacyjnych może, za zgodą użytkownika będącego osobą fizyczną, przetwarzać inne dane tego użytkownika w związku ze świadczoną usługą, w szczególności numer konta bankowego lub karty płatniczej, a także adres poczty elektronicznej oraz numery telefonów kontaktowych”.

P4 w regulaminach ofert promocyjnych określa, że warunkiem skorzystania z takiej oferty jest udzielenie zgody na utrwalenie obrazu dokumentu tożsamości. Jeśli abonent nie chce tego zrobić, może zawrzeć umowę w ramach oferty podstawowej (cennikowej), co zdaniem P4 w żadnym stopniu nie ogranicza uprawnień abonenta.

„Rozumiem, że operator chce się «zabezpieczyć» w przypadku ofert promocyjnych, ale wydaje mi się, że fakt konieczności wysłania otwartym kanałem skanu dowodu jest sporo na wyrost” – zauważył w e-mailu do redakcji Czytelnik.

Okiem eksperta

O przyjrzenie się zaistniałej sytuacji poprosiliśmy kogoś, kto naukowo i zawodowo zajmuje się ochroną danych osobowych. Komentarza udzielił nam Piotr Siemieniak, doktorant WPiA UG, właściciel firmy upsecure.pl.

Komentarz do sytuacji w odniesieniu do RODO

Administrator danych jest zobowiązany do tego, aby przetwarzanie danych osobowych odbywało się m.in. w myśl zasad z art. 5 ogólnego rozporządzenia o ochronie danych. Jedną z nich jest zasada minimalizacji danych (zasada adekwatności), która nakazuje administratorom danych zbieranie wyłącznie tych danych, które są niezbędne do realizacji celów przetwarzania danych osobowych. Stanowisko Generalnego Inspektora Ochrony Danych Osobowych jest jak najbardziej zasadne, ponieważ gromadzone w tym przypadku są dane osobowe mogące przekroczyć zakres tych niezbędnych do zawarcia umowy między stronami. Informacje takie, jak wizerunek osoby, kolor oczu, wzrost oraz inne, mogą być danymi nadmiarowymi.

Przytoczony przez operatora przepis z art. 161 ust. 3 pr. telekom. należałoby odnieść również do definicji zgody osoby, której dane dotyczą, jaka została określona w ogólnym rozporządzeniu o ochronie danych. Zgoda osoby, której dane dotyczą, oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych. W odniesieniu do definicji zgody należałoby się zastanowić, czy zgoda w myśl przepisów art. 161 ust. 3 pr. telekom. jest w tej sytuacji wyrażona prawidłowo. W mojej ocenie z uwagi na to, że podmiot telekomunikacyjny zwykle będzie stroną silniejszą, zgoda w tym przypadku może nie być zgodą dobrowolną, co w konsekwencji może być działaniem operatora telekomunikacyjnego o charakterze dyskryminującym dla podmiotu danych z uwagi na brak równości stron.

Czytelnik zwrócił również uwagę na aspekt bezpieczeństwa przetwarzania danych osobowych, który w tym przypadku wiąże się z przekazywaniem danych w sposób „jawny”, co może prowadzić przykładowo do kradzieży tożsamości. Wówczas w takim przypadku podmiot telekomunikacyjny naraża się na odpowiedzialność wynikającą z przepisów dotyczących administracyjnych kar pieniężnych.

Chcąc uniknąć nieprzyjemności, Play będzie musiał zmienić swoje praktyki i wygląda na to, że już się do tego przymierza. W odpowiedzi na nasze zapytanie przedstawicielka Play napisała: „Rozważamy wprowadzenie nowego rozwiązania, które będzie wypadkową dwóch – bardzo istotnych z perspektywy klienta czynników – z jednej strony bezpieczeństwa, a z drugiej wygody i prostoty procesu”. Na pewno będziemy w tej kwestii trzymać rękę na pulsie. Zachęcamy też do przesyłania na nasz adres kolejnych przykładów niefrasobliwego podejścia firm do ochrony danych osobowych.