Ochrona danych osobowych: PESEL klientów nadużywany przez przedsiębiorców

Jeżeli klienta można skutecznie zidentyfikować na podstawie imienia, nazwiska i przypisanego mu numeru, to po co jeszcze pytać go o PESEL? Taka praktyka może zostać zakwestionowana jako nieprawidłowa.

Publikacja: 22.04.2014 03:00

Michał Kołtuniak

Zgodnie z art. 26 ust. 1 ustawy ?o ochronie danych osobowych (DzU z 2002 r. nr 101, poz. 926 ze zm.) administrator przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których one dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były:

- ?przetwarzane zgodnie z prawem,

- ?zbierane dla oznaczonych, zgodnych z prawem celów,

- ?niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami,

- ?merytorycznie poprawne,

- ?adekwatne w stosunku do celów, ?w jakich są przetwarzane.

Omawiany przepis, w szczególności jego punkty 2 i 3, wprowadza ?tzw. zasadę adekwatności przetwarzania danych osobowych. Zgodnie ?z nią przetwarzane (gromadzone) dane swym rodzajem i swą treścią nie powinny wykraczać poza potrzeby wynikające z celu ich zbierania. Powyższy wymóg sprzeciwia się też zbieraniu wszelkich danych do realizacji tego celu nieistotnych, niemających znaczenia, jak i danych o większym niż, uzasadniony z tego względu, stopniu szczegółowości.

Potrzeba identyfikacji

Tymczasem zdarza się, że przedsiębiorcy lub inne podmioty, które wolno uznać za administratorów, ponieważ decydują o celach i sposobach przetwarzania danych, naruszają te zasady. Oczywiście każdy przypadek jest inny. Nie da się jednoznacznie wskazać, kiedy i jaki zakres danych wolno uznać za prawidłowy, a kiedy za wykraczający poza wymogi art. 26. Określenie tego, jak bardzo szczegółowe powinny być informacje zbierane przez administratora, zależy od tego, do jakich celów są używane, w tym zakres tych danych może także wynikać z brzmienia przepisów szczególnych. Warto jednak w tym miejscu przytoczyć jedno z wystąpień generalnego inspektora ochrony danych osobowych (DOLiS-035-2286/13/MM). Sprawa dotyczyła wykorzystywania danych w celu identyfikacji klienta kontaktującego się z biurem obsługi pewnego przedsiębiorcy (dystrybucja i sprzedaż energii). W celu takiej identyfikacji kontaktujący się z takim biurem musiał podać swoje imię, nazwisko i dodatkowo numer PESEL. Generalny inspektor wskazał przede wszystkim, że procedury weryfikacji osób (klientów) kontaktujących się ?z przedsiębiorcą lub podmiotami działającymi na jego zlecenie powinny być jednoznacznie i przejrzyście określone w stosownym regulaminie. Regulamin taki powinien być dostępny dla klientów firmy najpóźniej ?w momencie nawiązywania umowy. Podkreślenia wymaga przy tym, że podmiotem decydującym o zorganizowaniu procesu przetwarzania danych, w tym obsłudze klienta, jest administrator danych – którym stosownie do definicji określonej ?w art. 7 pkt 4 ustawy o ochronie danych osobowych jest organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych osobowych. Podmiot ten jest uprawniony i zobowiązany do tego, aby w tym procesie stosować wszelkie zasady określone w przepisach o ochronie danych osobowych.

Ponosi on również odpowiedzialność za respektowanie takich zasad oraz za sposób realizacji prawa do ochrony prywatności wobec osób, których dane dotyczą. Tym samym wracamy m.in. do obowiązków wynikających z zacytowanego wyżej art. 26.

Brak adekwatności

I właśnie biorąc ten przepis pod uwagę, GIODO zakwestionował nałożony na klientów obowiązek podawania nr. PESEL przy każdej okazji nawiązywania kontaktu z biurem obsługi klienta, np. w przypadku zapytania klienta o datę odczytu licznika albo jego aktualne wskazanie. Inspektor uznał, że wymóg ten jest niezrozumiały, zwłaszcza w sytuacji, gdy klient podawał swoje imię i nazwisko oraz numer klienta. I chociaż nie budzi wątpliwości, że przedsiębiorca w ramach realizowania umów zawartych ze swoimi klientami jest uprawniony do ich identyfikacji, szczególnie gdy osoby nawiązujące kontakt z firmą chcą uzyskać informacje na swój temat, to jednak kontrowersje może budzić brak jakiegokolwiek alternatywnego dla klienta rozwiązania w tym zakresie, w tym w szczególności brak możliwości posłużenia się innego rodzaju daną osobową.

Wojciech Rafał ?Wiewiórowski, generalny inspektor ochrony danych osobowych

Jak wskazują doświadczenia GIODO wynikające z kierowanych ?do tego organu skarg i zapytań, nr PESEL, jako że zawiera datę urodzenia oraz ma charakter unikalnej cechy referencyjnej ?wykorzystywanej w rejestrach publicznych, traktowany jest ?przez wiele osób jako informacja o szczególnym dla nich znaczeniu. Przymus jej nieuzasadnionego ujawniania wzbudza opory i obawy przed nieuprawnionym wykorzystaniem. Wiele osób zmuszanych do podania tej informacji – zwłaszcza ?w sytuacjach błahych, w których do weryfikacji ich tożsamości wystarczające byłoby podanie danych w podstawowym zakresie – sprzeciwia się takiej praktyce. Dlatego, w ocenie GIODO, ?w opisywanej sytuacji nieuzasadnione i zbędne jest ?wykorzystywanie cechy identyfikacyjnej w postaci nr. PESEL, ściśle związanego z prywatnością osoby fizycznej.

Co to są dane

Zgodnie z art. 6 ustawy o ochronie danych osobowych ?za takie dane uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania ?osoby fizycznej. Osobą możliwą do zidentyfikowania ?jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się ?na numer identyfikacyjny albo jeden lub kilka ?specyficznych czynników określających jej cechy ?fizyczne, fizjologiczne, umysłowe, ekonomiczne, ?kulturowe lub społeczne. Informacji nie uważa się ?za umożliwiającą określenie tożsamości osoby, jeżeli ?wymagałoby to nadmiernych kosztów, czasu lub działań.