Artykuł 02.09.2019 5 min. czytania Tekst Image Mieszkańcy miast coraz chętniej przesiadają się na rowery. W samej Warszawie z systemu Veturilo korzysta już ponad pół miliona użytkowników, a przez ostatnich pięć lat rowery wypożyczano aż 11 milionów razy. Rosnąca (również ku naszemu entuzjazmowi) popularność jednośladów powoduje jednak, że ich operatorzy przetwarzają coraz większe ilości danych osobowych użytkowników. Otrzymaliśmy od Was niepokojące sygnały o tym, że operator warszawskiego systemu Veturilo wymaga podania numeru PESEL do rozpoczęcia korzystania z jego usług. Rzeczywiście – zgodnie z większością regulaminów systemów rowerowych obsługiwanych przez firmę Nextbike (m.in. w Warszawie, Łodzi, Poznaniu i we Wrocławiu) stanowi to warunek założenia konta umożliwiającego wypożyczenie roweru. Choć w Panoptykonie bardzo lubimy rowery miejskie, musieliśmy zareagować na docierające do nas informacje. Dlatego też nieco ponad miesiąc temu napisaliśmy list do firmy Nextbike, w którym zwróciliśmy uwagę na problem i zaapelowaliśmy o zaprzestanie zbierania numerów PESEL użytkowników. W odpowiedzi Nextbike tłumaczył zbieranie tych danych koniecznością dokładnej identyfikacji strony umowy i egzekwowania opłat za wypożyczenie rowerów. Te argumenty nas nie przekonują. Wymóg podania numeru PESEL narusza ustawę o ochronie danych osobowych. Zgodnie z prawem administrator danych może przetwarzać je tylko wtedy, gdy jest to konieczne do realizacji umowy. Operator rowerów posiada już takie informacje o użytkownikach jak: imię i nazwisko, numer telefonu, adres pocztowy i adres e-mail oraz – w niektórych przypadkach – numer karty płatniczej. Dodawanie do tego zestawu numeru PESEL jest całkowicie zbędne. Poza tym wszelkie przetwarzane dane powinny być adekwatne do celów przetwarzania, w tym przypadku – wykonania umowy. Dane osobowe użytkowników nie mogą być zbierane „na zapas”, np. na wypadek kradzieży roweru lub nieuiszczenia opłaty za jego wypożyczenie. Z tych względów zdecydowaliśmy się wystąpić do Generalnego Inspektora Ochrony Danych Osobowych z prośbą o przeprowadzenie kontroli zgodności z prawem przetwarzania przez Nextbike numerów PESEL użytkowników. Cieszymy się, że osób korzystających z rowerów miejskich ciągle przybywa i mamy nadzieję, że ten trend się utrzyma. Aby jednak było to możliwe, użytkownicy nie mogą być zobowiązani do podawania operatorom nadmiernej ilości danych osobowych. Niestety, prawnie wątpliwe gromadzenie danych mieszkańców miast to nie tylko domena operatorów systemów rowerowych. W przeszłości interweniowaliśmy m.in. w sprawie personalizacji kart miejskich czy też – ostatnio – w sprawie wścibskich parkometrów. Jak tak dalej pójdzie, to jedynym środkiem transportu, który nie będzie wiązał się z zostawianiem informacji o sobie w kolejnych bazach danych, będą nasze własne nogi. Oczywiście tylko wtedy, gdy przed kamerami miejskiego monitoringu schronimy się pod czapką z daszkiem. Aktualizacja (30 kwietnia 2019): 18 marca 2019 r. zwróciliśmy się do Prezesa UODO z wnioskiem o udostępnienie informacji publicznej, w którym pytamy o to, jakie działania podjął w reakcji na nasze wystąpienie z września 2017 r. Mimo upływu 14-dniowego terminu, nie otrzymaliśmy jeszcze odpowiedzi. Wysłaliśmy do Urzędu przypomnienie, a w międzyczasie polecamy tekst, który ukazał się 30 kwietnia w stołecznej Gazecie Wyborczej. Aktualizacja (2 września 2019): W odpowiedzi na nasz wniosek Prezes UODO przekazał nam, że przeprowadził kontrolę w Nexbike, podczas której sprawdził legalność i adekwatność prztewarzania danych. Kontrolerzy UODO nie dopatrzyli się naruszeń – zdaniem urzędu Nexbike ma prawo przetwarzać numery PESEL w celu ewentualnego dochodzenia roszczeń. Tym samym Prezes UODO zaaprobował stanowisko, które Nextbike przedstawił w korespondencji z nami. Nie zgadzamy się z taką interpretacją, jednak nie możemy nic z tym zrobić. Jeśli sami złożyliście w tej sprawie skargę do UODO, możecie spodziewać się jej oddalenia. W takiej sytuacji możecie jednak zaskarżyć decyzję Prezesa UODO do Wojewódzkiego Sądu Administracyjnego. Praktyczne porady, jak to zrobić, oraz wzór skargi znajdziecie w artykule „RODO na tacy. Odcinek V”. Karolina Iwańska Wesprzyj nasze działania wpłacając darowiznę na konto Fundacji Panoptykon lub przekaż nam 1% podatku! (KRS: 0000327613) Fundacja Panoptykon Autor Temat dane osobowe bazy danych miasta Poprzedni Następny Newsletter Otrzymuj informacje o działalności Fundacji Administratorem twoich danych jest Fundacja Panoptykon. Więcej informacji o tym, jak przetwarzamy dane osób subskrybujących newsletter, znajdziesz w naszej Polityce prywatności. Zapisz się Zapisz się Akceptuję Regulamin usługi Zobacz także Artykuł Niech bank Ci coś wyjaśni! Dlaczego instytucja pożyczkowa odmówiła Ci pożyczki lub bank dał kredyt na gorszych warunkach, niż pierwotnie zapowiadał? 22.08.2019 Tekst Artykuł Odszkodowanie za wyciek 1500 zł odszkodowania za wyciek numeru PESEL i telefonu – przyznał Sąd Okręgowy w Warszawie kobiecie, która pozwała ubezpieczyciela – poinformował Dziennik Gazeta Prawna. To prawdopodobnie pierwsza sprawa, w której RODO egzekwował nie Urząd Ochrony Danych Osobowych, a sąd cywilny. 04.02.2021 Tekst Artykuł Profilujące apteki Kilka dni temu Dziennik Gazeta Prawna poinformował, że sieć aptek Gemini „zaczęła masowo profilować pacjentów”. Specjalna aplikacja ma ułatwić klientom zrealizowanie recepty: sprawdzenie bez wychodzenia z domu, czy poszukiwany zestaw leków jest dostępny w konkretnej aptece, zarezerwowanie go i… 26.06.2020 Tekst