„Dowód osobisty zawiera szereg informacji na mój temat, które w moim przekonaniu stanowią dane wrażliwe” — napisał do Generalnego Inspektora Ochrony Danych Osobowych (GIODO) prezes zarządu spółki. Kopii dowodu osobistego zażądano od niego w trakcie zawierania umów na świadczenie usług telekomunikacyjnych dla spółki. Prezes nie chciał się na to zgodzić, lecz usługodawca przystał jedynie na zamazanie informacji o wzroście, kolorze oczu i miejscu urodzenia. W piśmie do GIODO prezes zakwestionował legalność takiego pozyskiwania danych. Skarga przyniosła oczekiwany skutek: firma telekomunikacyjna uznała sprzeciw klienta i go uwzględniła. Jednak nie od razu, wcześniej inspektorzy biura GIODO przeprowadzili kontrolę.
Weryfikacja klienta
Kontrolę wszczęto, gdy firma nie odpowiadała na wezwania GIODO do złożenia wyjaśnień w sprawie. Telekom przetwarzał dane z dowodu osobistego, kierując się art. 161 ust. 2 prawa telekomunikacyjnego. Według tego przepisu, dostawca publicznie dostępnych usług telekomunikacyjnych jest uprawniony do przetwarzania danych dotyczących użytkownika będącego osobą fizyczną na podstawie dokumentów potwierdzających możliwość wykonania przez nią zobowiązań wobec tego dostawcy.
Skarżąca spółka jest jednak osobą prawną. Administrator bezpieczeństwa informacji (ABI) kontrolowanego operatora poinformował, że prawo telekomunikacyjne nie reguluje zakresu przetwarzania danych osób reprezentujących osoby prawne. Firma stosuje do nich art. 161 ust. 2 na uzyskanie dowodu, że umowę podpisuje w imieniu klienta osoba uprawniona do jego reprezentacji. Jak tłumaczono, dla bezpieczeństwa obrotu gospodarczego i przeciwdziałania nadużyciom istotne jest, aby osoba reprezentująca podmiot gospodarczy była dokładnie zidentyfikowana, także na wypadek ewentualnych roszczeń, np. w razie upadłości i możliwości kierowania roszczeń do osób go reprezentujących. Sprawa zakończyła się umorzeniem postępowania, gdy ostatecznie operator uznał sprzeciw prezesa spółki i go uznał. Jego dane osobowe na polecenie ABI trwale usunięto z systemu informatycznego i dokumentacji papierowej.
Zbędna decyzja GIODO
GIODO przypomina, że jego postępowanie może zakończyć się tylko wydaniem decyzji administracyjnej nakazującej administratorowi danych przywrócenie stanu zgodnego z prawem, a w szczególności: usunięcie uchybień, uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostęnianie danych osobowych, zastosowanie dodatkowych środków zabezpieczających zgromadzone dane, wstrzymanie przekazywanie danych osobowych do państwa trzeciego, zabezpieczenie danych lub przekazania ich innym podmiotom, usunięcie danych osobowych. W rozpatrywanej sprawie żadna taka decyzja nie mogła zapaść, gdyż stan naruszenia został wcześniej przywrócony do zgodnego z prawem.
Dane wrażliwe
GIODO przypomina, że dane wrażliwe (szczególnie chronione) są wymienione w art. 27 ust. 1 ustawy o ochronie danych osobowych. Są to dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, ponadto dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące wyroków skazujących, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Jest to katalog zamknięty.