[zaktualizowane] PESEL potrzebny do wypożyczenia roweru miejskiego?

Artykuł

Mieszkańcy miast coraz chętniej przesiadają się na rowery. W samej Warszawie z systemu Veturilo korzysta już ponad pół miliona użytkowników, a przez ostatnich pięć lat rowery wypożyczano aż 11 milionów razy. Rosnąca (również ku naszemu entuzjazmowi) popularność jednośladów powoduje jednak, że ich operatorzy przetwarzają coraz większe ilości danych osobowych użytkowników.

Otrzymaliśmy od Was niepokojące sygnały o tym, że operator warszawskiego systemu Veturilo wymaga podania numeru PESEL do rozpoczęcia korzystania z jego usług. Rzeczywiście – zgodnie z większością regulaminów systemów rowerowych obsługiwanych przez firmę Nextbike (m.in. w Warszawie, Łodzi, Poznaniu i we Wrocławiu) stanowi to warunek założenia konta umożliwiającego wypożyczenie roweru. Choć w Panoptykonie bardzo lubimy rowery miejskie, musieliśmy zareagować na docierające do nas informacje.

Dlatego też nieco ponad miesiąc temu napisaliśmy list do firmy Nextbike, w którym zwróciliśmy uwagę na problem i zaapelowaliśmy o zaprzestanie zbierania numerów PESEL użytkowników. W odpowiedzi Nextbike tłumaczył zbieranie tych danych koniecznością dokładnej identyfikacji strony umowy i egzekwowania opłat za wypożyczenie rowerów. Te argumenty nas nie przekonują.

Wymóg podania numeru PESEL narusza ustawę o ochronie danych osobowych. Zgodnie z prawem administrator danych może przetwarzać je tylko wtedy, gdy jest to konieczne do realizacji umowy. Operator rowerów posiada już takie informacje o użytkownikach jak: imię i nazwisko, numer telefonu, adres pocztowy i adres e-mail oraz – w niektórych przypadkach – numer karty płatniczej. Dodawanie do tego zestawu numeru PESEL jest całkowicie zbędne. Poza tym wszelkie przetwarzane dane powinny być adekwatne do celów przetwarzania, w tym przypadku – wykonania umowy. Dane osobowe użytkowników nie mogą być zbierane „na zapas”, np. na wypadek kradzieży roweru lub nieuiszczenia opłaty za jego wypożyczenie. Z tych względów zdecydowaliśmy się wystąpić do Generalnego Inspektora Ochrony Danych Osobowych z prośbą o przeprowadzenie kontroli zgodności z prawem przetwarzania przez Nextbike numerów PESEL użytkowników.

Cieszymy się, że osób korzystających z rowerów miejskich ciągle przybywa i mamy nadzieję, że ten trend się utrzyma. Aby jednak było to możliwe, użytkownicy nie mogą być zobowiązani do podawania operatorom nadmiernej ilości danych osobowych. Niestety, prawnie wątpliwe gromadzenie danych mieszkańców miast to nie tylko domena operatorów systemów rowerowych. W przeszłości interweniowaliśmy m.in. w sprawie personalizacji kart miejskich czy też – ostatnio – w sprawie wścibskich parkometrów. Jak tak dalej pójdzie, to jedynym środkiem transportu, który nie będzie wiązał się z zostawianiem informacji o sobie w kolejnych bazach danych, będą nasze własne nogi. Oczywiście tylko wtedy, gdy przed kamerami miejskiego monitoringu schronimy się pod czapką z daszkiem.

Aktualizacja (30 kwietnia 2019):

18 marca 2019 r. zwróciliśmy się do Prezesa UODO z wnioskiem o udostępnienie informacji publicznej, w którym pytamy o to, jakie działania podjął w reakcji na nasze wystąpienie z września 2017 r. Mimo upływu 14-dniowego terminu, nie otrzymaliśmy jeszcze odpowiedzi. Wysłaliśmy do Urzędu przypomnienie, a w międzyczasie polecamy tekst, który ukazał się 30 kwietnia w stołecznej Gazecie Wyborczej.

Aktualizacja (2 września 2019):

W odpowiedzi na nasz wniosek Prezes UODO przekazał nam, że przeprowadził kontrolę w Nexbike, podczas której sprawdził legalność i adekwatność prztewarzania danych. Kontrolerzy UODO nie dopatrzyli się naruszeń – zdaniem urzędu Nexbike ma prawo przetwarzać numery PESEL w celu ewentualnego dochodzenia roszczeń. Tym samym Prezes UODO zaaprobował stanowisko, które Nextbike przedstawił w korespondencji z nami. Nie zgadzamy się z taką interpretacją, jednak nie możemy nic z tym zrobić. Jeśli sami złożyliście w tej sprawie skargę do UODO, możecie spodziewać się jej oddalenia. W takiej sytuacji możecie jednak zaskarżyć decyzję Prezesa UODO do Wojewódzkiego Sądu Administracyjnego. Praktyczne porady, jak to zrobić, oraz wzór skargi znajdziecie w artykule „RODO na tacy. Odcinek V”.

Karolina Iwańska

Komentarze

Dopóki GIODO nie zakwestionuje zbierania tych danych, to możliwe są konsekwencje wynikające z obowiązującego regulaminu, który mówi, że podanie poprawnych danych jest warunkiem rejestracji, a konta zawierające niepoprawne dane i saldo 0 zł mogą być usuwane. Inną kwestią jest to, jak Nextbike mógłby zweryfikować poprawność podanego PESELu...

Proszę pamiętać o tym, że są tam kamery przy tym automacie, który stoi przy rowerach i do którego trzeba podejść. Zresztą nie tylko tam, bo w biletomatach i nie tylko w nich też są instalowane kamery. Czy to legalne? Tak więc mają też dokładny wizerunek posiadacza karty płatniczej, karty miejskiej lub fałszywego poprawnego pesela.

Toteż dokładnie o powyższe rower wolę kupić, zaś tamte niech stoją i rdzewieją i zarabiają sobie na reklamach. Kamery, PESEL, przesłuchanie co do danych osobowych. Widać, że wszystkich mają za złodziei. Byle tak dalej. Szkoda tylko, że jeżdżąc samochodem prywatnym też karmię bazy danych. Idąc pieszo również. Świat oszalał.

Szanowni Państwo, czy RODO zmieni coś w tym zakresie? Można liczyć na poprawę, brak zbierania PESEL, brak kamer od połowy 2018 roku?

Całkiem niedawno chciałem skorzystać z roweru miejskiego w Warszawie. Z uwagi na to, że nie posiadam numeru PESEL i nie mogłem przejść procesu rejestracji zadzwoniłem na infolinię i poinformowałem o tym fakcie. W odpowiedzi uzyskałem informację, że wystarczy zmienić język strony (formularza rejestracyjnego) na angielski a wymóg podania numeru PESEL znika :)

Po prostu SSSSSUPER! Niedość, że żądają nadmiernych danych to tylko od polaków. I niech ktoś mi powie, że istnieje tu sprawiedliwość i że oni tego nie wykorzystują do inwigilacji i handlu danymi osobowymi. Precz a tymi rowerami.

Wiele zależy do nas. Ja nie podałem PESLA i wypowiedziałem umowę.
Każdy też może zarządzać usunięcia danych.

W dzisiejszych czasach wypowiedzenie umowy jakiejkolwiek jest bardzo ciężkie, ponieważ aby coś wypowiedzieć trzeba móc mówić, a dziś słow wszędzie brakuje, a jak nie zabraknie, to cisną się takie, że można się udławić i nie przechodzą przez usta.

PS. myślisz, że usuwają dane? POUSUWANE masz. Usuwają - tak - wnioski o usunięcie.

Niestety, GIODO jeszcze nie ustosunkowało się do naszego pisma. W najbliższych dniach postaramy się dowiedzieć, czy GIODO podejmie jakieś kroki w tej sprawie.

Marcinie, niestety nie możemy wpłynąć na decyzję GIODO o podjęciu jakiegoś tematu ani na termin rozpatrzenia przez nich sprawy. Jak tylko uzyskamy od GIODO jakąś informację, poinformujemy o tym na stronie. Jeśli korzystasz z usług Nextbike, zachęcamy Cię do samodzielnego złożenia skargi, poniewać indywidualną skargą GIODO ma obowiązek się zająć, w przeciwieństwie do wniosku o przeprowadzenie kontroli od zewnętrznego podmiotu (takiego jak my). O tym, jak złożyć skargę, dowiesz się m.in. stąd: https://panoptykon.org/biblio/infografiki/skarga-do-giodo-pokazujemy-jak...

Czy to jest zgodne z prawem że posiadając nr PESEL zarejestrujemy się na stronie w języku angielskim?

Rzeczywiscie podawanie PESEL w wypadku korzystania z roweru wydalo mi sie skrajnie dziwne, i to po pobycie dlugim w Chinach, gdzie by wypozyczyc rower potrzebny jest jedynie nr. telefonu lub aplikacja. Uwazam, ze jest to zbyt duze wejscie na dane osobowe - czy jest szansa ze RODO to zmieni?

Miałem już konto, ale nie chcąc zgodzić się na nowy regulamin postanowiłem je skasować. Niestety, po zalogowaniu i kliknięciu na "Chcę dezaktywować swoje konto" dostaję informację, że najpierw jest wymagana... akceptacja regulaminu... Ręce opadają..

@Iga: Niestety w przypadku GIODO, a teraz UODO standardem jest długie oczekiwanie na rozpatrzenie pisma - liczone raczej w latach niż miesiącach.

Chcialam potwierdzic ze, wypelniajac formularz rejestracji po angielsku, lub jesli ktos ma szczescie i ma imie lub nazwisko brzmiaco po angielsku (w tym wyapdku jezyk chyba sie sam przelacza) to wymog podania PESELU znika. PESEL jako osobisty numer identyfikacji obowiazuje tylko w przypadku obywatela Polski i wydaje mi sie ze te maszyny sa na to przygotowane, ale latwo je tez "zmylic" wlasnie przelaczajac jezyk. Pozdrawiam!

minęło pótora roku czy coś wiadomo wczoraj miałem 4 długie rozmowy, pod koniec rozmowy konsultant powiedział e jestem nagrywany powiedział że dodzwaniając był komunikat (nie było go na pewno) wiec od dnia dzisiejszego komunikat się pojawił. przy pierwszej mojej wpłacie 10zł nie trzeba było podawać imienia i nazwiska wystarczyło zainstalować aplikację, gdy raz przekroczyłem czas została pobrana opłata więc postanowiłem dopłacić kilkadiesiąt złotych i od tego czasu ich dział bezpieczeństwa zdezaktywował mi konto, napisałem przez aplikację kilka informacji do ich działu obsługi klienta co 2-3 miesiące jedna, po czym zadzwoniłem po pół rocznym zawieszeniu moich środków gdzie poinformowano mnie że muszę założyć konto (nie wiem po co jak to działało bez danych osobowych) wiec podałem imię nawisko (chociaż nie chciałem powiadomili mnie że nie mogli odpowiedzieć bo muszę mieć maila (nie chce podawać maili by nie zarzucali mnie tysiącem informacji) powiedziałem że posiadanie maila nie jest obowiązkowe w Polsce (bo do utworzenia znów potrzebne są moje dane osobiste) zresztą maila nie używam (mam takie prawo) wiec odpowiedzieli że nie mam sie dziwić że nie mogli odpowiedzieć bo mają procedury że tylko mailowo (pytanie brzmi to po co im dane i nr telefonu przecież to oczywisty kanał komunikacyjny) następnie przez aplikację nie idzie wpisać peselu więc przekierowali mnie na stronę lodzkie rowery w celu wpisania pesela? W celu mojej identyfikacji. Gdy już dostałem furii spytałem się jaką ja mam możliwość ich weryfikacji skoro mnie aż tak weryfikują, odpowiedzią jest KRS odpowiedziałem że mogę im podać KRS Orlena co nie oznacza że jestem "Orlenem" i taka weryfikacja nic nie znaczy. Przestępstwa 1) nagrywanie mnie bez poprzedniego uprzedzenia. 2) wyłudzanie pesela (nie przez apke tylko przez podejrzane strony) 3) przywłaszczenie moich pieniędzy - nie mogę ich odzyskać do póki nie złoże reklamacji mailem (czyli muszę kupić internet i znowu wpuszczać w sieć moje dane osobowe)? Odpowiedziałem składam oświadczenie woli słownie (telefonicznie) wy bezprawnie nagrywacie, byście zwrócili pieniądze na konto bankowe z których to przyszły środki - odmówili bo muszę najpierw zakładać maila i reklamacje mailowo złożyć. przez dział obsługi nie można ustnie też nie można pesela podać muszę wszystko w sieci - której unikam bo nie ufam działowi bezpieczeństwa który wyłudza dane... Nawet jak rower ukradną to mają do weryfikacji monitoring i nr telefonu mój mail nie jest żadnym zabezpieczeniem !

Odmówiłam uzupełnienia PESEL, więc moje konto zostało wyłączone. Miałam na nim środki, nie wiem jak je odzyskać.

Odmówiłam uzupełnienia PESEL, więc moje konto zostało wyłączone. Miałam na nim środki, nie wiem jak je odzyskać.

Panoptykon,
widzieliście artykuł na GW? http://warszawa.wyborcza.pl/warszawa/7,54420,24742813,kontrola-urzedu-oc...
Że "Urząd Ochrony Danych Osobowych przeprowadził kontrolę w firmie Nextbike. - Nie zakwestionowaliśmy wyjaśnień złożonych przez firmę Nextbike. Uznaliśmy pozyskiwanie numerów PESEL za adekwatne - informuje rzecznik UODO"?
Wasze zgłoszenie jednoznaczeni pokazuje, że zbieranie PESELu jest bezzasadne, a UODO twierdzi że zasadne? Żenada z ich strony.

Ktoś wyżej zauważył, że po zmianie języka formularza nie trzeba podawać pesel. Ale gdy się wybierze kraj "Poland", mimo języka angielskiego obowiązkowe pole na pesel wraca. Zatem od osób zamieszkałych w Polsce wymaga się dodatkowych danych - numeru identyfikacyjnego - i jest to podobno "niezbędne" i "adekwatne". Natomiast nie wymaga się niczego takiego od cudzoziemców (w niektórych przynajmniej krajach są odpowiedniki polskiego peselu). Czyżby więc w przypadku cudzoziemców takie dodatkowe dane nie były niezbędne, tudzież adekwatne? Czy nie jest to swego rodzaju dyskryminacja ze względu na obywatelstwo / miejsce zamieszkania?

Dodaj komentarz