You are currently viewing Hiszpański organ nadzorczy: przetwarzanie fotografii dowodów osobistych klientów operatora telefonii komórkowej niezgodne z zasadą minimalizacji danych

Hiszpański organ nadzorczy: przetwarzanie fotografii dowodów osobistych klientów operatora telefonii komórkowej niezgodne z zasadą minimalizacji danych

  • Post category:Blog

16 marca 2023 r. na stronie hiszpańskiego organu nadzorczego ds. ochrony danych osobowych (Agencia Española de Protección de Datos, dalej jako „AEPD”) ukazała się decyzja nakładająca karę w wysokości €100.000 na Orange Espagne SAU. To już szósta kara nałożona przez AEPD na tego operatora sieci komórkowej w ciągu ostatnich trzech lat. Tym razem dotyczy ona złamania zasady minimalizacji danych, będącej jedną z podstawowych zasad przetwarzania danych uregulowanych w art. 5 RODO. Zgodnie z nią dane osobowe powinny być adekwatne, stosowne oraz, co najważniejsze w tym przypadku, ograniczone do tego, co niezbędne do celów, w których są przetwarzane.

Zuzanna Choińska, analityczka DELab UW, Wydział Prawa i Administracji UW

Według nadzorcy Orange przetwarzało zbyt dużą ilość danych osobowych koniecznych do realizacji celu przetwarzania, jakim jest dostarczanie telefonów komórkowych klientom. Zgodnie z wytycznymi operatora, dostawca przesyłek miał obowiązek fotografowania dowodu osobistego klienta z obu stron, a następnie dostarczenia go do Orange. Celem tej czynności była weryfikacja adresata przesyłki, a przy tym zapewnienie, że została ona dostarczona do właściwej osoby. Operator tłumaczył, że procedura identyfikacyjna zwana IdentService została wprowadzona na prośbę samych klientów. W jej ramach dostawca paczek przyjął rolę agenta działającego na zlecenie Orange w zakresie gromadzenia fotografii dokumentów tożsamości, co czyniło go dodatkowo podmiotem przetwarzającym dane osobowe, za którego działanie Orange powinno być odpowiedzialne jako administrator danych.

AEPD w swojej decyzji stwierdza, że cała procedura przetwarzania danych od momentu zrobienia zdjęć dokumentu tożsamości, poprzez sposoby oraz czas przechowywania później tych danych, jest niezgodna z zasadą minimalizacji danych z art. 5 ust. 1 lit. c RODO. Organ zwrócił też uwagę na kwestię długości trwania naruszenia, gdyż usługa IdentService stosowana była od 2018 r., znaczącą ilość klientów, których dane mogły być w ten sposób przetwarzane oraz zarzucił operatorowi brak staranności w przetwarzaniu tych danych.

W ramach obrony Orange argumentowało, że dane zbierane podczas dostarczania przesyłek to te same dane, które zbierane są w momencie zawierania umowy. AEPD nie zgodziło się jednak z tą argumentacją stwierdzając, że przetwarzanie tych samych danych, dodatkowo za pośrednictwem spółki przewozowej, jedynie w celu dostarczenia produktu, było nadmierne, nieadekwatne, nieistotne i nieograniczone do tego, co konieczne w stosunku do celu, dla realizacji którego były przetwarzane.

Warto zaznaczyć, że decyzja nie jest jeszcze prawomocna, a Orange ma możliwość złożenia wniosku o ponowne rozpatrzenie sprawy do Prezesa AEPD. Biorąc jednak pod uwagę analizę przeprowadzoną przez AEPD w opisanej decyzji, nie wydaje się, aby – po ponownym rozpatrzeniu sprawy – decyzja czy wymiar grzywny miały ulec znacznej zmianie.

Dodaj komentarz