Coraz więcej konsumentów skarży się na praktyki operatorów telekomunikacyjnych w Polsce. Głównym zarzutem jest wymaganie nadmiernej ilości danych osobowych, w tym żądanie skanu dowodu osobistego przy zawieraniu umów na odległość. W dobie rosnącej świadomości dotyczącej ochrony danych osobowych, takie działania mogą budzić uzasadnione obawy. A jak te praktyki mają się do obowiązujących przepisów, w tym RODO i ustawy Prawo Telekomunikacyjne?
Klienci firm telekomunikacyjnych coraz częściej zgłaszają, że operatorzy żądają od nich skanów dowodów osobistych jako warunku zawarcia umowy na odległość. Taka praktyka budzi niepokój, zwłaszcza w kontekście możliwego wykorzystania tych danych do celów niezgodnych z ich przeznaczeniem lub potencjalnych naruszeń bezpieczeństwa.
To przerażające, że aby zawrzeć umowę na abonament, muszę przesłać pełen skan mojego dowodu osobistego. Co jeśli te dane wpadną w niepowołane ręce?
– pyta jeden z klientów
Rozporządzenie o Ochronie Danych Osobowych (RODO), które obowiązuje w całej Unii Europejskiej od maja 2018 roku, ma na celu ochronę prywatności obywateli i regulowanie przetwarzania danych osobowych przez firmy. Zgodnie z umieszczonymi tam zapisami, przetwarzanie danych osobowych musi być zgodne z zasadami minimalizacji danych. Oznacza to, że firmy powinny zbierać tylko te dane, które są niezbędne do realizacji danego celu.
Żądanie skanu dowodu osobistego może być uznane za naruszenie zasady minimalizacji danych, jeśli nie jest absolutnie konieczne do realizacji umowy. Ponadto, RODO nakłada na firmy obowiązek informowania konsumentów o celu zbierania danych, sposobach ich przetwarzania oraz o przysługujących im prawach. Z tego – jak wynika z relacji wielu osób – firmy telekomunikacyjne nie zawsze się wywiązują.
Obowiązująca wciąż ustawa Prawo Telekomunikacyjne (wkrótce zostanie zamieniona na ustawę Prawo komunikacji elektronicznej) reguluje działalność operatorów telekomunikacyjnych i nakłada na nich obowiązek przestrzegania przepisów dotyczących ochrony danych osobowych. Zgodnie z art. 161 tej ustawy, operatorzy mogą przetwarzać dane osobowe abonentów tylko w zakresie niezbędnym do świadczenia usług telekomunikacyjnych.
Z kolei art. 60b ustawy Prawo Telekomunikacyjne podaje, że operator może wymagać od użytkownika podania następujących danych:
Dane te są niezbędne do zawarcia umowy oraz prawidłowego świadczenia usług telekomunikacyjnych. Niemniej jednak, żądanie skanu dowodu osobistego budzi kontrowersje, gdyż może prowadzić do nadmiernego przetwarzania danych osobowych, co jest niezgodne z zasadą minimalizacji danych określoną w RODO. Dowód osobisty czy paszport zawiera więcej danych niż operator telekomunikacyjny ma prawo wymagać od klienta. Na szczęście ten problem można dosyć łatwo obejść, o czym operator sieci Play wprost informuje na swojej stronie internetowej (więcej o tym w dalszej części tego artykułu).
O tę wzbudzającą kontrowersje kwestię, czyli wymagane dokumenty i dane przy zawieraniu umowy o świadczenie usług telekomunikacyjnych, zapytaliśmy operatorów sieci Orange, Play, Plus i T-Mobile. Oto, czego się dowiedzieliśmy. Pozwolę sobie na zachowanie tu kolejności alfabetycznej, zgodnie z nazwami telekomów z Wielkiej Czwórki.
Zacznijmy od w pełni cyfrowej usługi Orange Flex. Jak wynika z strony pomocy tej usługi, klient może potwierdzić swoją tożsamość na kilka sposobów. Są to:
A co w przypadku umów na inne oferty Orange? Tu z obszerną odpowiedzią przychodzi Wojciech Jabczyński, rzecznik pomarańczowego operatora:
Orange Polska nie wymaga skanowania dowodu osobistego klienta przy zawieraniu umów.
W zależności od rodzaju zamawianej usługi i kanału realizacji zamówienia, klient może podpisać umowę osobiście, np.: w salonie sprzedaży, u kuriera, u technika albo zdalnie w formie e-umowy, którą zawiera i akceptuje przez Internet.
Przed sprzedażą usług weryfikujemy tożsamość każdego klienta. W salonie odbywa się na podstawie dokumentu potwierdzającego tożsamość. W kanałach zdalnych klient weryfikowany jest na IVR lub u doradcy kodem klienta lub biometrycznie.
Dokumenty wymagane przy zawieraniu umowy w salonie, u kuriera lub technika:
- Obywatel RP: własny dowód osobisty, również w aplikacji mObywatel;
- Cudzoziemiec: karta pobytu z PESEL (obligatoryjnie) lub zaświadczenie o zarejestrowaniu pobytu obywatela UE (wyłącznie dla obywateli UE) z nadanym obligatoryjnie PESEL (dopuszczalne jest odrębne zaświadczenie wydane na druku urzędowym);
- W przypadku zakupu w imieniu abonenta (opiekun prawny/kurator/pełnomocnik) - dodatkowo wymagane jest pełnomocnictwo.
Zatwierdzenie umowy na odległość następuje poprzez jej akceptację wysłaną na e-maila lub SMS-a.
Mogą wystąpić przypadki, kiedy do zawarcia umowy potrzebne będą: wpłata kaucji, opłacenie zaległych faktur lub przyjęcie od klienta jednego dodatkowego dokumentu, spośród wymienionych poniżej:
- Rachunki/faktury (oryginał lub kserokopia) za: dostawę energii, gazu, wody/odprowadzenie ścieków, usługi telekomunikacyjne, telewizję, czynsz/najem;
- Potwierdzenie dokonania przelewu bankowego za rachunki/faktury;
- Zaświadczenie z banku prowadzącego rachunek klienta o stałym wpływie środków na konto (również wygenerowany elektronicznie);
- Kserokopia legitymacji emeryta/rencisty (wyłącznie plastikowa);
- Zaświadczenie o zatrudnieniu na czas nieokreślony lub określony (oryginał).
Jeśli umowę dostarczy klientowi kurier lub technik, klient przed jej podpisaniem powinien dać kurierowi/monterowi dodatkowy dokument lub jego ksero.
Na temat tego, jak sprawa danych osobowych i dokumentów przy zawieraniu umowy z Play, napisał do nas Krzysztof Olszewski, Dyrektor Departamentu Komunikacji Korporacyjnej fioletowego operatora:
w trakcie weryfikacji tożsamości abonentów, operatorzy telekomunikacyjni są zobowiązani do dołożenia szczególnej staranności. Ma to na celu ochronę klientów oraz przeciwdziałanie potencjalnym nadużyciom.
Przepisy prawa jasno wskazują, że przy zawieraniu umów operator ma obowiązek potwierdzenia informacji znajdujących się w umowie z danymi z dokumentu tożsamości (art. 60b ustawy Prawo telekomunikacyjne). Może to zrobić na dwa sposoby: sprawdzając dane z fizycznie okazywanym dokumentem tożsamości (ust. 1) lub drogą elektroniczną, w sposób ściśle przez ustawę wskazany (ust. 3).
W przypadku gdy klient umożliwia wyłącznie weryfikację zgodną z ust. 1, czyli z fizycznie okazywanym dokumentem, jedynym śladem wykonania przez operatora obowiązku wynikającego z art. 60b ustawy Prawo telekomunikacyjne jest posiadanie skanu tego dokumentu (to na dostawcy usług spoczywa konieczność wykazania, że takiego potwierdzenia danych dokonał).
Na stronie internetowej Play możemy znaleźć informację, że przekazując fioletowemu operatorowi kopię dowodu osobistego (zdjęcie, ksero lub skan) mailem lub kurierowi przy odbiorze przesyłki, możemy zasłonić część danych, zostawiając tylko te wymagane, czyli:
W trakcie zawierania umowy w kanałach zdalnych istnieje możliwość uwierzytelnienia danych w systemie teleinformatycznym banku – wtedy skan dokumentu tożsamości nie jest wymagany.
– dodał Krzysztof Olszewski
Odpowiedź, jaką otrzymałem od Plusa, jest krótka, ale treściwa.
W punktach stacjonarnych zawarcie nowej umowy w sieci Plus jest oparte na weryfikacji klienta z dokumentem umożliwiającym potwierdzenie jego tożsamości.
W przypadku kanałów zdalnych, w określonych przypadkach klient może zostać poproszony o przesłanie skanu dokumentu potwierdzającego jego tożsamość oraz dokumentu potwierdzającego wiarygodność finansową, a dokumenty te są kasowane automatycznie po zrealizowaniu procesu aktywacji.
– napisał Arkadiusz Majewski, Starszy Specjalista ds. Promocji i Public Relations z Dział Komunikacji Korporacyjnej Plusa
W T-Mobile skany dokumentów wymagane są w wyjątkowych sytuacjach, o czym napisał Mateusz Marciniak, Główny Specjalista ds. Zaangażowania Korporacyjnego magnetowego operatora:
Standardowo, identyfikację klienta w ramach obsługi w salonach T-Mobile wykonuje się w oparciu o dowód osobisty, paszport lub kartę pobytu.
W trakcie obsługi klientów w punktach stacjonarnych, dokumenty tożsamości pozwalające na identyfikację klienta są przedstawiane wyłącznie do wglądu – nie są ani skanowane, ani archiwizowane. Wyjątek stanowi sytuacja, gdy system wykazuje błąd w procesie weryfikacji danych. Wówczas faktycznie wykonywany jest skan dokumentu tożsamości w celu potwierdzenia zgodności danych. Takie skany, po rozpatrzeniu i przejściu procesu weryfikacji, są usuwane automatycznie i również nie podlegają archiwizacji.
W kanale internetowym, skany dokumentów pobierane są w wyjątkowych sytuacjach, gdy dane klienta wymagają aktualizacji, lub tak jak w przypadku obsługi w punktach stacjonarnych, gdy system weryfikacyjny wykazuje błędy w procesie sprawdzania danych.
W przypadku sprzedaży za pośrednictwem naszej infolinii, ze względu na ograniczone możliwości identyfikacji klienta w przypadkach, gdy np. mamy do czynienia z nowym, nieznanym klientem, a zamówienia dotyczą usług wraz z urządzeniami, klient jest proszony o przesłane skanu dowodu osobistego. Dokument przesyłany jest z zasłoniętymi danymi wrażliwymi i tak jak w dwóch pozostałych kanałach sprzedaży, nigdy nie jest archiwizowany. Wymóg przesyłania dokumentów występuje również w przypadkach, gdy system weryfikacji danych wykazuje błąd.
Warto jednak zaznaczyć, że wyżej opisane przypadki błędów w weryfikacji danych w każdym z kanałów kontaktu z klientem, mają charakter incydentalny.
Swoje pytania wysłałem również do Urzędu Ochrony Danych Osobowych (UODO), czyli instytucji powołanej do tego, by mieć pieczę nad tym, jak inni obchodzą się z naszymi danymi:
- Jakich danych może zażądać od konsumenta przedsiębiorca telekomunikacyjny przy zawieraniu umowy w punkcie sprzedaży, a jakich przy zawieraniu umów na odległość?
- Których danych osobowych przedsiębiorca telekomunikacyjny nie ma prawa żądać od konsumenta przy zawieraniu umowy?
- Czy dopuszczalne jest, by przedsiębiorca telekomunikacyjny żądał od konsumenta przesłania skanu dowodu osobistego przy zawieraniu umowy na odległość?
- Czy dopuszczalne jest wykonywanie kserokopii dowodu osobistego przez przedsiębiorcę telekomunikacyjnego przy podpisywaniu umowy na świadczenie usług telekomunikacyjnych w punkcie sprzedaży?
- Czy do UODO docierają skargi konsumentów na nadmierną ilość danych osobowych, wymaganych przez przedsiębiorców telekomunikacyjnych przy zawieraniu umów o świadczenie usług? Jeśli tak, to jaka jest skala tego zjawiska? Których przedsiębiorców telekomunikacyjnych dotyczą one najczęściej?
W odpowiedzi na powyższe pytania, Urząd Ochrony Danych Osobowych wyjaśnia, że RODO określa ogólne zasady przetwarzania danych, ale nie reguluje szczegółowo kwestii zawierania umów. Administrator danych musi mieć podstawę prawną do przetwarzania danych oraz przestrzegać zasad celowości i minimalizacji danych. Podczas pozyskiwania danych, administrator ma obowiązek informować o celach przetwarzania, podstawie prawnej i czasie przechowywania danych.
RODO nie precyzuje katalogu danych pozyskiwanych przez operatorów, które reguluje ustawa Prawo telekomunikacyjne. Przekazywanie danych powinno odbywać się bezpiecznie, a kopiowanie dowodów tożsamości jest dozwolone tylko, gdy wymaga tego ustawa, np. w przypadku przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu. Powinno to być poprzedzone analizą celowości i nie zawsze jest konieczne.
UODO otrzymuje skargi dotyczące żądania kopiowania dokumentów tożsamości, ale wiele z nich jest bezprzedmiotowych, gdyż dotyczą tylko samego żądania, a nie faktycznego przetwarzania danych.
Poniżej dołączam pełna treść odpowiedzi, którą otrzymałem z Urzędu Ochrony Danych Osobowych.
Szanowny Panie Redaktorze,
w odpowiedzi na Pański e-mail informuję, że przepisy o ochronie danych osobowych nie odnoszą się do tak szczegółowych zagadnień. RODO, czyli ogólne rozporządzenie o ochronie danych osobowych, określa zasady na jakich może odbywać się przetwarzanie danych osobowych. RODO nie reguluje szczegółów dotyczących zawierania umów, ale administratorzy danych muszą respektować przepisy tego rozporządzenia na każdym etapie przetwarzania danych, a więc także ich pozyskiwania.
Z punktu widzenia przepisów o ochronie danych osobowych, każdy administrator danych, aby móc legalnie przetwarzać dane osobowe, w tym je pozyskiwać, musi wykazać się uprawniającą go do tego podstawą prawną. Nawet, gdy dysponuje do tego podstawą prawną, to musi również kierować się zasadami określonymi w art. 5 RODO. Wśród tych zasad można wymienić m.in. zasadę celowości i minimalizacji danych, o których mowa w art. 5 ust. 1 lit. b) i c) RODO. Zasady te obligują administratora danych do tego, by dane były przetwarzane w prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami oraz zakres danych był ograniczony do tego, co niezbędne do realizacji tych celów.
Co równie ważne, administrator danych pozyskując od nas dane osobowe musi spełnić względem nas obowiązek informacyjny, o którym mowa w art. 13 RODO. Powinien zatem powiadomić nas m.in. o celach przetwarzania danych, podstawie prawnej ich przetwarzania. Ma również obowiązek podać swoje dane, dane kontaktowe do inspektora ochrony danych (jeżeli go wyznaczył) oraz wskazać jak długo będzie przetwarzał pozyskane od nas dane.
Przepisy RODO nie zawierają katalogu danych, które mogą być pozyskiwane przez operatorów. Zakres takich danych wskazany jest w art. 60b ustawy Prawo telekomunikacyjne i w przypadku osób fizycznych obejmuje on: imię i nazwisko, numer PESEL, jeżeli go posiada, albo nazwę, serię i numer dokumentu potwierdzającego tożsamość.
Warto mieć na uwadze, że dane najlepiej jest przekazywać administratorowi osobiście. W przypadku, gdy decydujemy się na ich przekazanie administratorowi danych drogą elektroniczną, to należy pamiętać o tym, aby odbywało się to w sposób bezpieczny(np. w formie elektronicznego formularza, lub w zaszyfrowanym pliku wysłanym pocztą elektroniczną).
Sporządzenie kopii dowodów tożsamości (np. skanowanie, wykonywania kserokopii) jest legalne jedynie wtedy, kiedy wynika to wprost z przepisów ustawy. Podstawę do sporządzania kopii dowodów tożsamości w przypadku niektórych podmiotów (np. banki, operatorzy telekomunikacyjni) mogą stanowić przepisy ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu (u.p.p.p.).
Art. 34 ust. 1 u.p.p.p., określający środki bezpieczeństwa finansowego, stanowi, że środkiem tym jest m.in. identyfikacja klienta oraz weryfikacja jego tożsamości, a nie kopiowanie dokumentu tożsamości Z kolei w myśl art. 34 ust. 4 ustawy instytucje obowiązane (są to także operatorzy telekomunikacyjni) na potrzeby stosowania środków bezpieczeństwa finansowego mogą przetwarzać informacje zawarte w dokumentach tożsamości klienta i osoby upoważnionej do działania w jego imieniu oraz sporządzać ich kopie.
Stosowanie przez instytucje obowiązane środków bezpieczeństwa, o których mówi ustawa o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmowi, do których należy m.in. weryfikacja tożsamości poprzez kopiowanie dokumentów tożsamości, powinno mieć miejsce jedynie w sytuacjach, gdy zachodzą przesłanki określone w art. 35 tej ustawy.
Do Urzędu Ochrony Danych Osobowych zgłaszane są wątpliwości dotyczące weryfikacji tożsamości klientów podmiotów obowiązanych. UODO wielokrotnie podkreślał w wystąpieniach czy komunikatach, że nie kwestionując zasad kopiowania dokumentów tożsamości na podstawie ww. ustawy, czynność ta powinna być poprzedzona analizą celowości, zweryfikowaniem, czy rzeczywiście jest ona niezbędna. Zdaniem UODO weryfikacja tożsamości klienta nie musi w każdym przypadku polegać na pozyskiwaniu kopii dokumentów.
Warto podkreślić, że w przepisach ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu, przewidziano możliwość kopiowania dokumentów tożsamości. Zatem czynność ta jest uprawnieniem przysługującym instytucjom obowiązanym, ale nie obowiązkiem.
W przypadku, gdy mamy wątpliwości, czy administrator właściwie postępuje z naszymi danymi, w tym przestrzega naszych praw, mamy prawo zwrócić się do niego z określonym żądaniem np. zaprzestania naruszania praw, jakie daje nam RODO. Możemy również złożyć skargę do Prezesa UODO.
Ponadto, gdy uważamy, że nasze dane osobowe są przetwarzane niezgodnie z prawem, to możemy również dochodzić swoich praw przed sądem powszechnym (art. 79 RODO). A jeżeli uznamy, że w wyniku naruszenia przepisów RODO ponieśliśmy szkodę majątkową lub niemajątkową, mamy też prawo żądać od administratora lub podmiotu przetwarzającego odszkodowania, do czego uprawnia nas art. 82 RODO.
Odnośnie Pana ostatniego pytania informuję, że skargi dotyczące pozyskiwania nadmiernej ilości danych osobowych przez przedsiębiorców telekomunikacyjnych przy zawieraniu umów o świadczenie usług w UODO nie odnotowano znacznej ilości skarg tego rodzaju. Ze względu na małą ilość spraw tego rodzaju nie da się wytypować przedsiębiorców, których te postępowania dotyczą najczęściej.
Niektóre ze skarg dotyczą żądania wyrażenia zgody na wykonanie kserokopii/skanu dowodu osobistego i w związku z tym pozyskania danych zawartych w tej kopii. W toku postępowania okazuje się, że skarżący ostatecznie nie udostępnili takich danych i nie wyrazili zgody na wykonanie kopii dokumentu, a skargę opierają na samym żądaniu przedsiębiorcy, które oceniają jako bezprawne. Takie skargi są co do zasady bezprzedmiotowe, gdyż brak jest procesu, który mógłby stanowić przedmiot oceny Prezesa UODO w sprawie dotyczącej skargi indywidualnej podmiotu danych. Prezes UODO nie może bowiem prowadzić postępowania w przedmiocie hipotetycznego lub ewentualnego procesu przetwarzania danych.
Karol Witowski
p.o. Rzecznika Prasowego
Departament Komunikacji Społecznej
Operatorzy telekomunikacyjni w Polsce muszą znaleźć równowagę między koniecznością weryfikacji tożsamości klientów a przestrzeganiem przepisów RODO i zasady minimalizacji danych. Zaufanie konsumentów zależy od transparentności procesów przetwarzania danych i odpowiedniego informowania ich o celu oraz podstawie prawnej tych działań. W obliczu rosnącej świadomości dotyczącej ochrony danych osobowych, firmy telekomunikacyjne powinny dążyć do stosowania bezpiecznych i zgodnych z prawem metod weryfikacji, aby uniknąć dalszych kontrowersji i skarg. Konsumenci z kolei mają prawo do egzekwowania swoich praw, w tym składania skarg do UODO i dochodzenia swoich roszczeń na drodze sądowej.
Źródło zdjęć: Lech Okoń / Telepolis.pl
Źródło tekstu: Orange, Play, Plus, T-Mobile, UODO, opracowanie własne
