Hiszpański organ nadzorczy: przetwarzanie fotografii dowodów osobistych klientów operatora telefonii komórkowej niezgodne z zasadą minimalizacji danych

16 mar­ca 2023 r. na stro­nie hisz­pań­skie­go orga­nu nad­zor­cze­go ds. ochro­ny danych oso­bo­wych (Agen­cia Espa­ño­la de Pro­tec­ción de Datos, dalej jako „AEPD”) uka­za­ła się decy­zja nakła­da­ją­ca karę w wyso­ko­ści €100.000 na Oran­ge Espa­gne SAU. To już szó­sta kara nało­żo­na przez AEPD na tego ope­ra­to­ra sie­ci komór­ko­wej w cią­gu ostat­nich trzech lat. Tym razem doty­czy ona zła­ma­nia zasa­dy mini­ma­li­za­cji danych, będą­cej jed­ną z pod­sta­wo­wych zasad prze­twa­rza­nia danych ure­gu­lo­wa­nych w art. 5 RODO. Zgod­nie z nią dane oso­bo­we powin­ny być ade­kwat­ne, sto­sow­ne oraz, co naj­waż­niej­sze w tym przy­pad­ku, ogra­ni­czo­ne do tego, co nie­zbęd­ne do celów, w któ­rych są przetwarzane. 

Zuzan­na Cho­iń­ska, ana­li­tycz­ka DELab UW, Wydział Pra­wa i Admi­ni­stra­cji UW

Według nad­zor­cy Oran­ge prze­twa­rza­ło zbyt dużą ilość danych oso­bo­wych koniecz­nych do reali­za­cji celu prze­twa­rza­nia, jakim jest dostar­cza­nie tele­fo­nów komór­ko­wych klien­tom. Zgod­nie z wytycz­ny­mi ope­ra­to­ra, dostaw­ca prze­sy­łek miał obo­wią­zek foto­gra­fo­wa­nia dowo­du oso­bi­ste­go klien­ta z obu stron, a następ­nie dostar­cze­nia go do Oran­ge. Celem tej czyn­no­ści była wery­fi­ka­cja adre­sa­ta prze­sył­ki, a przy tym zapew­nie­nie, że zosta­ła ona dostar­czo­na do wła­ści­wej oso­by. Ope­ra­tor tłu­ma­czył, że pro­ce­du­ra iden­ty­fi­ka­cyj­na zwa­na Ident­Se­rvi­ce zosta­ła wpro­wa­dzo­na na proś­bę samych klien­tów. W jej ramach dostaw­ca paczek przy­jął rolę agen­ta dzia­ła­ją­ce­go na zle­ce­nie Oran­ge w zakre­sie gro­ma­dze­nia foto­gra­fii doku­men­tów toż­sa­mo­ści, co czy­ni­ło go dodat­ko­wo pod­mio­tem prze­twa­rza­ją­cym dane oso­bo­we, za któ­re­go dzia­ła­nie Oran­ge powin­no być odpo­wie­dzial­ne jako admi­ni­stra­tor danych. 

AEPD w swo­jej decy­zji stwier­dza, że cała pro­ce­du­ra prze­twa­rza­nia danych od momen­tu zro­bie­nia zdjęć doku­men­tu toż­sa­mo­ści, poprzez spo­so­by oraz czas prze­cho­wy­wa­nia póź­niej tych danych, jest nie­zgod­na z zasa­dą mini­ma­li­za­cji danych z art. 5 ust. 1 lit. c RODO. Organ zwró­cił też uwa­gę na kwe­stię dłu­go­ści trwa­nia naru­sze­nia, gdyż usłu­ga Ident­Se­rvi­ce sto­so­wa­na była od 2018 r., zna­czą­cą ilość klien­tów, któ­rych dane mogły być w ten spo­sób prze­twa­rza­ne oraz zarzu­cił ope­ra­to­ro­wi brak sta­ran­no­ści w prze­twa­rza­niu tych danych. 

W ramach obro­ny Oran­ge argu­men­to­wa­ło, że dane zbie­ra­ne pod­czas dostar­cza­nia prze­sy­łek to te same dane, któ­re zbie­ra­ne są w momen­cie zawie­ra­nia umo­wy. AEPD nie zgo­dzi­ło się jed­nak z tą argu­men­ta­cją stwier­dza­jąc, że prze­twa­rza­nie tych samych danych, dodat­ko­wo za pośred­nic­twem spół­ki prze­wo­zo­wej, jedy­nie w celu dostar­cze­nia pro­duk­tu, było nad­mier­ne, nie­ade­kwat­ne, nie­istot­ne i nie­ogra­ni­czo­ne do tego, co koniecz­ne w sto­sun­ku do celu, dla reali­za­cji któ­re­go były przetwarzane. 

War­to zazna­czyć, że decy­zja nie jest jesz­cze pra­wo­moc­na, a Oran­ge ma moż­li­wość zło­że­nia wnio­sku o ponow­ne roz­pa­trze­nie spra­wy do Pre­ze­sa AEPD. Bio­rąc jed­nak pod uwa­gę ana­li­zę prze­pro­wa­dzo­ną przez AEPD w opi­sa­nej decy­zji, nie wyda­je się, aby – po ponow­nym roz­pa­trze­niu spra­wy – decy­zja czy wymiar grzyw­ny mia­ły ulec znacz­nej zmianie.

Scroll to Top