Artykuł 02.09.2019 5 min. czytania Tekst Image Mieszkańcy miast coraz chętniej przesiadają się na rowery. W samej Warszawie z systemu Veturilo korzysta już ponad pół miliona użytkowników, a przez ostatnich pięć lat rowery wypożyczano aż 11 milionów razy. Rosnąca (również ku naszemu entuzjazmowi) popularność jednośladów powoduje jednak, że ich operatorzy przetwarzają coraz większe ilości danych osobowych użytkowników. Otrzymaliśmy od Was niepokojące sygnały o tym, że operator warszawskiego systemu Veturilo wymaga podania numeru PESEL do rozpoczęcia korzystania z jego usług. Rzeczywiście – zgodnie z większością regulaminów systemów rowerowych obsługiwanych przez firmę Nextbike (m.in. w Warszawie, Łodzi, Poznaniu i we Wrocławiu) stanowi to warunek założenia konta umożliwiającego wypożyczenie roweru. Choć w Panoptykonie bardzo lubimy rowery miejskie, musieliśmy zareagować na docierające do nas informacje. Dlatego też nieco ponad miesiąc temu napisaliśmy list do firmy Nextbike, w którym zwróciliśmy uwagę na problem i zaapelowaliśmy o zaprzestanie zbierania numerów PESEL użytkowników. W odpowiedzi Nextbike tłumaczył zbieranie tych danych koniecznością dokładnej identyfikacji strony umowy i egzekwowania opłat za wypożyczenie rowerów. Te argumenty nas nie przekonują. Wymóg podania numeru PESEL narusza ustawę o ochronie danych osobowych. Zgodnie z prawem administrator danych może przetwarzać je tylko wtedy, gdy jest to konieczne do realizacji umowy. Operator rowerów posiada już takie informacje o użytkownikach jak: imię i nazwisko, numer telefonu, adres pocztowy i adres e-mail oraz – w niektórych przypadkach – numer karty płatniczej. Dodawanie do tego zestawu numeru PESEL jest całkowicie zbędne. Poza tym wszelkie przetwarzane dane powinny być adekwatne do celów przetwarzania, w tym przypadku – wykonania umowy. Dane osobowe użytkowników nie mogą być zbierane „na zapas”, np. na wypadek kradzieży roweru lub nieuiszczenia opłaty za jego wypożyczenie. Z tych względów zdecydowaliśmy się wystąpić do Generalnego Inspektora Ochrony Danych Osobowych z prośbą o przeprowadzenie kontroli zgodności z prawem przetwarzania przez Nextbike numerów PESEL użytkowników. Cieszymy się, że osób korzystających z rowerów miejskich ciągle przybywa i mamy nadzieję, że ten trend się utrzyma. Aby jednak było to możliwe, użytkownicy nie mogą być zobowiązani do podawania operatorom nadmiernej ilości danych osobowych. Niestety, prawnie wątpliwe gromadzenie danych mieszkańców miast to nie tylko domena operatorów systemów rowerowych. W przeszłości interweniowaliśmy m.in. w sprawie personalizacji kart miejskich czy też – ostatnio – w sprawie wścibskich parkometrów. Jak tak dalej pójdzie, to jedynym środkiem transportu, który nie będzie wiązał się z zostawianiem informacji o sobie w kolejnych bazach danych, będą nasze własne nogi. Oczywiście tylko wtedy, gdy przed kamerami miejskiego monitoringu schronimy się pod czapką z daszkiem. Aktualizacja (30 kwietnia 2019): 18 marca 2019 r. zwróciliśmy się do Prezesa UODO z wnioskiem o udostępnienie informacji publicznej, w którym pytamy o to, jakie działania podjął w reakcji na nasze wystąpienie z września 2017 r. Mimo upływu 14-dniowego terminu, nie otrzymaliśmy jeszcze odpowiedzi. Wysłaliśmy do Urzędu przypomnienie, a w międzyczasie polecamy tekst, który ukazał się 30 kwietnia w stołecznej Gazecie Wyborczej. Aktualizacja (2 września 2019): W odpowiedzi na nasz wniosek Prezes UODO przekazał nam, że przeprowadził kontrolę w Nexbike, podczas której sprawdził legalność i adekwatność prztewarzania danych. Kontrolerzy UODO nie dopatrzyli się naruszeń – zdaniem urzędu Nexbike ma prawo przetwarzać numery PESEL w celu ewentualnego dochodzenia roszczeń. Tym samym Prezes UODO zaaprobował stanowisko, które Nextbike przedstawił w korespondencji z nami. Nie zgadzamy się z taką interpretacją, jednak nie możemy nic z tym zrobić. Jeśli sami złożyliście w tej sprawie skargę do UODO, możecie spodziewać się jej oddalenia. W takiej sytuacji możecie jednak zaskarżyć decyzję Prezesa UODO do Wojewódzkiego Sądu Administracyjnego. Praktyczne porady, jak to zrobić, oraz wzór skargi znajdziecie w artykule „RODO na tacy. Odcinek V”. Karolina Iwańska Wesprzyj nasze działania wpłacając darowiznę na konto Fundacji Panoptykon lub przekaż nam 1% podatku! (KRS: 0000327613) Fundacja Panoptykon Autor Temat dane osobowe bazy danych miasta Poprzedni Następny Newsletter Otrzymuj informacje o działalności Fundacji Administratorem twoich danych jest Fundacja Panoptykon. Więcej informacji o tym, jak przetwarzamy dane osób subskrybujących newsletter, znajdziesz w naszej Polityce prywatności. Zapisz się Zapisz się Akceptuję Regulamin usługi Zobacz także Podcast Wybory, których nie było. Rozmowa z Katarzyną Batko-Tołuć i mec. Witoldem Chomiczewskim Właśnie mija rok od przekazania Poczcie Polskiej danych 30 milionów Polek i Polaków w celu organizacji korespondencyjnych wyborów prezydenckich. Wyborów, które jak wiemy, odbyły się w innym terminie i w innym trybie niż zapowiadany. Działanie premiera, Poczty, Ministerstwa Cyfryzacji i samorządów,… 22.04.2021 Dźwięk Artykuł Apelujemy do Google'a: Prywatność nie tylko dla bogatych Prywatność nie powinna być luksusem. To nie tylko nasze zdanie. To samo powiedział Sundar Pichai, szef Google'a, w wywiadzie dla New York Timesa. Niestety, to tylko słowa. W rzeczywistości Google pozwala, aby dane osób posiadających niskokosztowe telefony były stale wykorzystywane. Wspólnie z… 08.01.2020 Tekst Poradnik Dane osobowe na zdjęciu, czyli RODO a ochrona wizerunku W 2019 r. cyfrowy aparat o rozdzielczości kilku megapikseli podłączony do Internetu ma w kieszeni już prawie każde dziecko. Dzięki trwającej w tle synchronizacji zdjęcia w ułamku sekund trafiają na chmurę. Ale czy robiąc innej osobie zdjęcie komórką, przetwarzasz jej dane osobowe? Kiedy… 16.07.2019 Tekst