Po kontroli GIODO wszczął postępowanie wobec ZTM
Wiele uwagi mediów koncentrowało się na problematyce gromadzenia przez Zarząd Transportu Miejskiego w Warszawie danych osobowych, w tym numeru PESEL. Odnotuję jedynie, że Generalny Inspektor Ochrony Danych Osobowych wszczął w związku z tymi pomysłami postępowanie z urzędu.
Na dedykowanej stronie ZTM można znaleźć wyjaśnienia powodów, dla których ZTM chce zbierać dane. Zakład powołuje się na uchwałę stołecznych radnych (nr XLVII/1454/2009 z 15 stycznia br.) i na to, że od 1 stycznia 2010 r. imienne bilety okresowe (30- i 90-dniowe) będą kodowane wyłącznie na kartach spersonalizowanych - ze zdjęciem właściciela oraz z jego imieniem i nazwiskiem. No, ale dlaczego inne dane? Argumentacja w skrócie wygląda tak:
ZTM zbiera jedynie niezbędne dane osobowe. PESEL umożliwia bezbłędną identyfikację właściciela karty. Jest to ważne np. w sytuacji gdy pasażer utraci kartę i będzie chciał przekodować niewykorzystaną część biletu na nowy nośnik. Może być kilka osób o takim samym imieniu i nazwisku, ale numer PESEL nigdy się nie powtarza. Adres zamieszkania z kolei, pozwala na kontakt z właścicielem danej karty miejskiej. Bardzo często zdarza się, że pasażerowie lub policja przekazują nam znalezione karty. Dzięki temu możemy je zwrócić. Przy składaniu wniosku nie wymagamy za to podawania numerów dokumentów tożsamości.
(...)
Po tym wstępie zacytuję notatkę, która ukazała się na stronach GIODO: GIODO wszczął postępowanie wobec ZTM:
Po kontroli przeprowadzonej w warszawskim Zarządzie Transportu Miejskiego, GIODO 15 czerwca 2009 r. podjął decyzję o wszczęciu z urzędu postępowania dotyczącego przetwarzania przez ZTM danych osobowych podróżnych.
GIODO przeprowadził w ZTM kontrolę, po której skierował do przewoźnika konkretne wnioski.
Jednak ze względu na rozbieżność stanowisk między GIODO a ZTM co do rozumienia definicji danych osobowych, a także co do interpretacji przepisów dotyczących ochrony danych osobowych, Michał Serzycki, Generalny Inspektor Ochrony Danych Osobowych podjął decyzję o wszczęciu z urzędu postępowania administracyjnego w sprawie przetwarzania danych osobowych podróżnych.
Do czasu jego zakończenia GIODO nie będzie udzielał żadnych informacji i komentarzy.
- Login to post comments
Piotr VaGla Waglowski
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>
mpk lublin tez wymaga danych
mpk lublin tez wymaga danych osobowych, moze maly cynk do GIODO?
dwie kwestie
Mam takie dwa spostrzeżenia związane z WKM, które budzą moją wesołość (a na poważnie zmuszają do głębokiej zadumy nad działaniem obecnego państwa i prawa).
Po pierwsze - cytat ze strony https://personalizacja.ztm.waw.pl/beztajemnic.php
Cytowany tam przepis stanowi, że dane osobowe można przetwarzać za zgodą. Chodzi o to, aby nie dochodziło do przetwarzania danych osób, które tego sobie nie życzą. Z powyższego cytatu dowiadujemy się zatem mniej więcej tyle: nawet jeżeli sobie nie życzymy, to i tak musimy wyrazić zgodę, aby wszystko było zgodnie z prawem.
Ale przecież nikt nikogo do niczego nie zmusza. Zawsze można kupić bilet na okaziciela...
I dla wyjaśnienia - rozumiem oczywiście, że bilet IMIENNY musi zawierać dane umożliwiające moją identyfikację. Ale nie widzę powodu, aby musiał on zawierać więcej danych niż jest to konieczne. Obecne rozwiązanie (imię, nazwisko, nr dokumentu ze zdjęciem oraz okazywanie tegoż dokumentu razem z kartą) i tak już wymaga przetwarzania sporej liczby danych.
Czy za pomocą tych danych nie jest możliwe dokonanie identyfikacji? Jakie jest zatem uzasadnienie rozszerzenia katalogu tych danych i doprowadzenia do sytuacji, w której nie pozostają one w dyspozycji pasażera, ale zostaną skopiowane do pozostającej poza jego kontrolą bazy?
Dlaczego np. potrzebne są adresy WSZYSTKICH, aby zwracać zgubione karty NIEKTÓRYM, którzy je zgubią.
Po drugie, swego czasu TVP INFO prezentowało program na temat kart (głównie chodziło bodajże o wprowadzony uchwałą Rady Miasta wymóg podpisywania kart, ale kwestia kart personalizowanych też tam się przewinęła). Przedstawiciele ZTM wskazywali między innymi właśnie to, że oni tylko stosują przepisy uchwały Rady Miasta.
Tymczasem moją uwagę zwróciła wypowiedź bodajże rzecznika miasta (o ile dobrze pamiętam), który powiedział, że uchwała została napisana przez samo ZTM i - jak rozumiem - w tym kształcie uchwalona...
Nie bardzo potrafię tutaj
Nie bardzo potrafię tutaj uchwycić istotę problemu. Bo czym innym jest zakres przetwarzanych danych osobowych, a czym innym - podstawa prawna ich przetwarzania. I zgoda osoby, której dane dotyczą, nie sanuje naruszenia zasady adekwatności przetwarzania danych (to jest właśnie ta zasada od zakresu).
ZTM zbiera dane w określonym zakresie, w swojej ocenie - adekwatnym do celu przetwarzania. GIODO uważa inaczej i pewnie da temu wyraz w stosownej decyzji. Ale zgoda na przetwarzanie danych osobowych, czy jej brak, nie mają nic do rzeczy. A już poza wszystkim, podstawą prawną przetwarzania danych w tym wypadku nie jest art. 23 ust. 1 pkt 1 uodo, ale pkt 3, czyli wykonanie umowy, tutaj - umowy przewozu. Więc ZTM nie powinien pytać pasażerów o zgodę na cokolwiek. Powinien im podsunąć formularz z informacją, że podanie danych jest niezbędne do zawarcia umowy. A co do zakresu tych danych właśnie toczy się spór z GIODO.
A co do tegoż zakresu - zgadzam się, że rozszerzenie zakresu danych nie ma żadnych podstaw prawnych. Jeżeli bilet funkcjonuje wraz z dokumentem tożsamości, to osoba uprawniona do jego kontroli i tak zapozna się z takim zakresem danych, jaki mamy w tymże dokumencie. Natomiast nie mogę się zgodzić ze stwierdzeniem, że "Dlaczego np. potrzebne są adresy WSZYSTKICH, aby zwracać zgubione karty NIEKTÓRYM, którzy je zgubią.". Jeżeli celem przetwarzania będzie umożliwienie zwrotu zagubionej karty, to zbieramy dane wszystkich posiadaczy karty, a nie tylko tych, którzy ją zgubią (pomijam w tym miejscu drobiazg polegający na tym, że ten, który zgubi, już raczej nam adresu na zgubioną kartę nie poda ;-)). Podobnie, jeżeli celem przetwarzania danych jest weryfikacja tożsamości, to zbieramy określone dane od wszystkich, a nie tylko od tych, których tożsamość okazała się nieprawdziwa.
Nie ma również znaczenia to, kto przygotował projekt uchwały Rady Miasta. Akty prawa miejscowego stanowi Rada, nie ZTM, więc autorstwo projektu jest tutaj kompletnie bez znaczenia. Zresztą, taka konstrukcja wydaje mi się sensowna - ZTM opracowuje koncepcję karty miejskiej, przygotowuje na jej podstawie projekt uchwały, przekazuje Prezydentowi, Prezydent wnosi inicjatywę uchwałodawczą, a Rada uchwala.
wyjaśnienie
Jeżeli coś w mojej wypowiedzi jest niejasne, to być może dlatego, że nie chodziło mi o dyskusję na temat konkretnych przepisów, co raczej o bardziej ogólne uwagi na temat praworządności.
Istotnie, nie wystarczy uzyskać zgody na przetwarzanie, bo i tak nadal należy dbać, aby dane były adekwatne do celów. Ale mi chodziło raczej o to, że zacytowane wyjaśnienia ZTM mają charakter "paragrafu 22" - dla mnie zabrzmiały one mniej więcej jak "nie możemy przetwarzać danych, ale jednak możemy i Szanowny Pasażerze sam się na to godzisz, chyba że się nie zgodzisz, ale i tak się zgodzisz".
To, czy te wyjaśnienia są zgodne z obowiązującym prawem to kwestia wtórna. Istotne jest raczej to, że i tak większość osób poda swoje dane chcąc kupić tańszy bilet. Istota problemu jest więc moim zdaniem pozaprawna i sprowadza się do pytania dlaczego - pomimo przepisów - tak się dzieje, że dochodzi funkcjonowania takich "wymuszających" mechanizmów i co powinno z tym zostać zrobione.
Zbieranie adresów wszystkich nie jest konieczne aby zwracać zgubione karty tym, którzy je zgubią. Ja nie mam adresów wszystkich, ale jak znajdę coś, co ktoś zgubił, to mogę odnaleźć tę osobę. Pytanie z jaką skutecznością i czy bardziej zależy nam na tej skuteczności, czy na ochronie prywatności. I czy opłaca się ryzykować naruszenia prywatności wszystkich po to, żeby ci, którzy zgubią kartę ją odzyskali.
Bez zbierania adresów ten, kto zgubi kartę spersonalizowaną tylko imieniem i nazwiskiem (ew. nr dokumentu) może się zgłosić do ZTM i odnalezioną kartę odzyskać. Ewentualna nieskuteczność takiego systemu (tzn. trudności z weryfikacją zgłaszającej się osoby, itp.) to koszt kilkudziesięciu-kilkuset złotych dla tych, którzy zgubią kartę (straszne!).
Tymczasem nieskuteczność systemu zbierania adresów od wszystkich to koszt naruszenia prawa do prywatności w przypadku wycieku danych wielu mieszkańców Warszawy. Straszne? Akurat moim zdaniem bardziej niż utrata nawet kilkuset złotych.
Wolałbym jednak, abym to każdy pasażer z osobna mógł decydować co jest dla niego bardziej dotkliwe i nie być zmuszanym do zmiany tej decyzji poprzez cenową dyskryminację (tańsza karta spersonalizowana z bonusem w postaci ryzyka utraty prywatności - na marginesie, skoro jest to ryzyko, to może karta jest losem i wchodzi tu w grę ustawa o zakładach i grach wzajemnych :) ?).
Być może rozwiązaniem problemu byłyby dwie wersje karty spersonalizowanej w tej samej cenie - jedna, z którą łączy się podanie tych wszystkich danych do centralnej bazy i druga taka jak teraz.
I znowu - jest to kwestia pozaprawna, a przynajmniej nieuregulowana w uodo.
Kto przygotował projekt uchwały ma moim zdaniem znaczenie. Ale tu też chodzi o wydźwięk usprawiedliwienia polegającego na powołaniu się na prawo, które napisał sam usprawiedliwiający się, choć formalnie uchwalił ktoś inny.
MPK w Częstochowie
MPK w Częstochowie też wymaga podania nr PESEL, bez tego nie chcieli przyjąć wniosku. Taki sam bilet na okaziciela kosztuje jednak drożej i trzeba jeszcze zapłacić za kartę 15 zł (w Warszawie taką kartę dostawałem co miesiąc za darmo).
Prawo do usunięcia danych?
Zastanawiałem się, czy można wyrobić nową kartę ze zdjęciem, aktywować, po czym zgłosić prośbę usunięcia danych osobowych, bo przecież takie prawo nam przysługuje.
Ponieważ karta jest chyba off-linowa, i nie ma połączenia z bazą danych, zapewne mógłbym z niej korzystać i jednocześnie nie figurować w jakiejś tam bazie danych.
Ponieważ stare karty miały działać do końca roku, nie udało mi się jeszcze przetestować takiej procedury i wygląda na to, że nie będę miał już okazji :)
--
dexter
czy pesel jest potrzebny?
nie potrzebuja go sklepy internetowe, a potrafia jednoznacznie zidentyfikowac klientow nawet o takich samych imionach i nazwiskach. a przeciez tez zawieraja umowy i to czesto nie na kilkadziesiat zlotych ale grube tysiace. jak to mozliwe? coz uzywaja numeru klienta, numeru zamowienia, loginu.
po co dane, skoro na karcie bedzie znajdowalo sie zdjecie, majace, zgodnie z zapewnieniami ztm, wyeliminowac poslugiwanie sie innymi dokumentami w czasie kontroli? czy na podstawie tego samego zdjecia mozna stwierdzic w czasie kontroli, ze to wlasciwa osoba a juz przy wizycie w ztm nie mozna?
wytlumaczenie jest trywialne. chodzi o pobieranie oplat za karte. swego czasu sad uznal, ze ztm nie moze pobierac oplat za nosnik biletu. zgodnie z nowym regulaminem wydanie pierwszej karty jest bezplatne. wydanie kazdej nastepnej kosztowac bedzie 10 zlotych. pesel ma w tym wypadku przewage nad numerem klienta, unikalnym numerem karty, czy numerem transakcji doladowania biletu, ktore spokojnie moga byc uzyte do zapewnienia pasazerom funkcjonalnosci odzyskania niewykorzystanej czesci biletu przy zagubieniu karty, pesel jest niezmienny. kiedy juz ztm posiadzie pesel i wyda karte bedzie mogl pobierac oplaty za kada nastepna karte. i to jest prawdziwy powod.
Po co te dane?
Przez ostatnie parę lat wystarczyło kartę podpisać i można było jeździć komunikacją miejską. Pomimo, że karty były podpisane to ZTM nie wiedział, która karta do kogo należy (poza jakimiś szczególnymi przypadkami). Teraz nagle ZTM chce zbierać dane wszystkich posiadaczy karty. Moje pytanie brzmi po co? Czy bez wiedzy tego, że jakiś Kowalski jeździ metrem nie można go wozić do pracy? Jakoś przez dziesiątki lat się dało.
Zupełnie do mnie nie przemawia argument o tym, że będzie można odzyskać bilet z zagubionej karty. Ile jest takich przypadków? Mi się przez kilka lat korzystania z karty nie zdarzyło jej zgubić. Nie wierzę, że wydaje się setki tysięcy złotych jak nie miliony na kampanię informacyjną i wymianę kart. Jeżeli karty spersonalizowane miałby służyć odzyskiwaniu zagubionego biletu byłyby dobrowolne i pewnie droższe (koszt sprzętu, oprogramowania do personalizacji, ludzie przy tym zatrudnieni).
Podejrzewam, że to nie warszawscy radni wystąpili z inicjatywą wprowadzenia obowiązkowej personalizacji kart tylko ZTM. Pewnie zdecydowana większość uchwał dotyczących ZTMu jest przygotowywana przez jego pracowników a Rada tylko to przyklepuje.
Sprawa warszawskich kart pokazuje problem, który staje się coraz powszechniejszy: różne instytucje chcą zbierać coraz więcej danych o nas wszystkich, chociaż wcale nie jest niezbędne do prowadzenia ich działalności. Pół biedy, gdy są to prywatne firmy, z których usług możemy korzystać albo wybrać konkurencję. Gorzej gdy mamy do czynienia z różnymi organami państwa (ZTM jest finansowany z budżetu miasta i ma lokalny monopol) gdzie takiego wyboru nie mamy (tak, teoretycznie mogę jeździć taksówkami albo droższym biletem na okaziciela ale to nie jest rozwiązanie).
Według mnie, żeby powstrzymać takie zapędy, prawo powinno administracji zakazywać zbierania większej ilości danych niż jest absolutnie to niezbędne (Chociaż czasem jest ciężko stwierdzić).
ależ zakazuje
Art. 51 Konstytucji Rzeczpospolitej Polskiej
1. Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby.
2. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym.
(...)
Odpowiedź
1. Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby.
Owszem - ale Zarząd Transportu Miejskiego nie zmusza nikogo do zawarcia umowy na używanie Warszawskiej Karty Miejskiej spersonalizowanej. Są jeszcze bilety czasowe, międzyszczytowe, jednorazowe, dobowe, siedmiodniowe oraz Warszawska Karta Miejska na okaziciela, gdzie nie trzeba posiadać ze sobą podczas kontroli absolutnie żadnego dokumentu tożsamości w celu identyfikacji.
2. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym.
Zarząd Transportu Miejskieo nie jest władzą, a jedynie organizatorem transportu w stolicy; nabywając WKM spersonalizowaną zawiera się umowę cywilno-prawną, która nakłada na klienta obowiązek podania wymaganych danych, jednak jak wspomniałem wcześniej nikt nikogo nie zmusza do zawarcia takowej umowy.
trochę nie tak
ZTM świadczy specyficzne usługi, które należą do zadań własnych samorządu. Rozumiem ten argument ze swobodą zawierania umów, ale to trochę tak, jakby spółka wodociągowa powiedziała - podłączymy Panu wodę, ale tylko jeśli przekaże nam Pan całe swoje drzewo genealogiczne do 5 pokoleń wstecz. Dlaczego? Bo tak. Nie chce - niech nie zawiera umowy. Niech sobie kupuje wodę butelkowaną.
Albo gdyby ZTM czy inny przewoźnik stwierdził - bilet miesięczny można kupić tylko po pokazaniu zaświadczenia z ZUS o niezaleganiu z opłatami. Dlaczego? A taki mamy kaprys.
GIODO nakazał ZTM...
Podlinkowuję tylko artykuł p. Katarzyny Żaczkiewicz z dzisiejszej Gazety Prawnej na temat wyników kontroli GIODO w ZTM.
Z artykułu wynika m.in., że GIODO również nie podoba się uzyskiwanie zgody na przetwarzanie danych osobowych na zasadzie opisanego przeze mnie powyżej "paragrafu 22".
karty
po co ZTM -owi tyle danych; w Paryżu przy wyrabianiu karty miejskiej podaje się adres zamieszkania , adres do korespondencji i datę urodzenia. A PESEL jest daną chronioną i nie musimy jej udostępniać każdemu. Jasnę że chodzi o wyciągnięcie większych pieniędzy od pasażerów.
W pewnej dużej firmie...
W pewnej dużej firmie zatrudniającej w ogromnych halach magazynowych setki osób na identyfikatorach jest jedynie zdjęcie, hologram i krótki numer wydania karty (np. 20080918). Karty nie mogą być starsze niż 12 miesięcy. Karty zawierają również pastylkę dallas (RFID, otwieranie drzwi, szafek, itd.), ale ochrona nie ma czytników więc tego nei sprawdza.
Ochrony nie interesuje czy jesteś Adam czy Wojtek, jakie masz nazwisko, albo gdzie mieszkasz. Liczy się czy ty to ty (zdjęcie), i czy masz prawo przebywać na terenie zakładu (data, karty są odbierane odchodzącym z pracy).
Tak chroni się dane osobowe pracowników. Da się? Tylko trzeba chcieć.
PS. Tak wiem, że pastylka dallas to inna historia i z nią związane są inne ryzyka.