Chcąc odebrać nagrody o niskiej wartości, uczestnicy loterii musieli podawać nadmiarowe dane osobowe – w tym nr PESEL. Po interwencji DGP koncern obiecał jednak zmienić swoją praktykę
Amerykańska sieć barów szybkiej obsługi prowadzi od czerwca loterię promocyjną „50 lat burgera Big Mac”. W ramach konkursu klienci, którzy poprzez aplikację mobilną zgłosili kod podany na paragonie, mają szansę wygrać ponad pół miliona nagród, w tym samochody, vouchery na wycieczki, telewizory, ale również pomniejsze gadżety, jak skarpetki, plecaki czy darmowe zestawy produktów podawanych we wspomnianej sieci.
W toku trzech losowań nagród niektórzy zwycięzcy już otrzymali informację o wygranej. Ale dowiadywali się z niej, że aby uzyskać nagrodę – nawet taką, która jest jedynie drobnym fantem – muszą w terminie 7 dni od otrzymania e-maila wypełnić formularz. A w nim podać imię, nazwisko, numer telefonu, adres do wysyłki oraz... numer PESEL. W przypadku, gdyby ktoś go nie miał, datę urodzenia, obywatelstwo i numer dowodu tożsamości. Podawanie tak wysokiej rangi danych zirytowało jednego z użytkowników portalu Wykop.pl (wygrał skarpetki z logotypem sprzedawanego w sieci burgera) i… zaczął przeciwko takim praktykom protestować.

Złamanie zasady minimalizacji

Internauta był wzburzony, że firma wymaga od niego wartościowych danych, w tym numeru PESEL w celu odbioru nagrody o niskiej wartości. A słuszność jego pretensji potwierdzają pytani przez nas eksperci. Ich zdaniem taka praktyka może być naruszeniem zasad RODO, a konkretnie zasady minimalizacji danych, wprowadzonej przez unijne rozporządzenie o ochronie danych osobowych (art. 5 ust. 1 pkt c RODO). Zgodnie z nią przetwarzane dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co jest niezbędne do celów, w których są przetwarzane. [ramka]
Na czym polega zasada minimalizacji
Nie jest jednak tak, że zasada minimalizacji w polskim porządku prawnym jest zupełnie nieznana. Do 25 maja br. istniała bowiem zasada adekwatności przetwarzania, o której stanowił art. 26 ust. 1 pkt 3 nieobowiązującej już ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych. Oznaczała ona, że dane, które są przetwarzane przez administratora, nie powinny swym rodzajem i treścią wykraczać poza potrzeby wynikające z celu ich przetwarzania.
Najważniejszą różnicą pomiędzy dawną zasadą adekwatności a dzisiejszą zasadą minimalizacji jest to, że administrator musi być w stanie wykazać przestrzeganie zasady minimalizacji przed organem nadzorczym. W przeciwnym razie mogą grozić mu kary finansowe sięgające maksymalnych wartości przewidzianych przez RODO.
Zasadę minimalizacji najlepiej opisać na przykładach. Jeżeli klient płaci gotówką za zakupiony towar, to nie ma potrzeby przetwarzania jego danych osobowych. Te mogą być jednak niezbędne do przeprowadzenia postępowania reklamacyjnego. Ale i tutaj klient może być zobowiązany do podania samych danych kontaktowych, które będą wykorzystanie wyłącznie do celu przeprowadzenia postępowania reklamacyjnego. I te dane bez odrębnej zgody zainteresowanego nie mogą trafić np. do bazy danych klientów zainteresowanych otrzymywaniem ofert marketingowych. Nie można również pobierać danych np. dotyczących wykształcenia, miejsca pracy czy informacji o dochodach. Niedopuszczalna jest też praktyka skanowania dowodów osobistych. Wyciek dowodów tożsamości może bowiem powodować wysokie ryzyko kradzieży tożsamości bądź wyłudzenia pożyczek.
Przedsiębiorcy mogą przetwarzać tylko te dane, które są im niezbędne do celu przetwarzania, oraz te, których zbieranie wprost reguluje prawo. Przykładowo, przeprowadzający loterię z nagrodami o wartości powyżej 2280 zł mogą wymagać od laureatów numerów identyfikacyjnych typu PESEL dla potrzeb ewidencji wymaganej przez ustawę o grach hazardowych. JAS
Jest to jedna z najważniejszych zasad dotyczących przetwarzania danych osobowych wprowadzonych przez unijne rozporządzenie o ochronie danych osobowych (RODO). Sformułowana została w art. 5 ust. 1, który wymaga, by przetwarzane dane osobowe były adekwatne, stosowne oraz ograniczone do tego, co jest niezbędne do celów, w których są one przetwarzane. Administratorowi musi przyświecać cel spełnienia tej zasady już na etapie projektowania i wdrażania środków technicznych i organizacyjnych, mających zapewnić spełnienie wymogów RODO. To z kolei zasada prywatności w fazie projektowania (ang. privacy by design), o której mówi motyw 78 preambuły oraz art. 25 RODO.
– W przypadku uczestników loterii, których nie obejmują przepisy podatkowe, nie ma uzasadnienia dla przetwarzania numerów PESEL czy ich dowodów tożsamości – ocenia radca prawny Andrzej Lewiński, zastępca generalnego inspektora ochrony danych osobowych w latach 2006–2016, obecnie prezes Fundacji im. Józefa Wybickiego oraz przewodniczący komitetu ds. ochrony danych osobowych Krajowej Izby Gospodarczej. Ekspert przypomina, że zasada minimalizacji danych jest jedną z najważniejszych zasad z RODO, bo faktycznie chroni użytkowników przed zbieraniem o nich informacji w sposób nadmierny. A tym samym minimalizuje ryzyko wycieku tych danych! Podobnego zdania jest dr Paweł Litwiński, adwokat z kancelarii Barta Litwiński związany z Instytutem Allerhanda. – Numer PESEL może być potrzebny do rozliczenia podatku, ale tylko wówczas, gdy takowy należy odprowadzić. Żądanie numeru PESEL od każdego laureata wydaje się zaś nadmiarowe – komentuje dr Paweł Litwiński.
Radca prawny Marcin Bonicki, pełniący funkcję inspektora ochrony danych w McDonald’s, informuje nas, że zgodnie z przepisami ustawy z 19 listopada 2009 r. o grach hazardowych (t.j. Dz.U. z 2018 r. poz. 165 ze zm.) dla nagród o wartości powyżej 2280 zł sieć musi prowadzić ewidencję wydanych nagród i w tej ewidencji umieszcza się m.in. PESEL (dotyczy to nagród I, II i III stopnia z wyjątkiem np. głośnika). I rzeczywiście regulamin promocji zastrzega, że numery identyfikujące muszą być podane jedynie przez laureatów nagród rzeczowych I, II i niektórych z III kategorii (w praktyce tych przekraczających wartość właśnie 2280 zł). Rzecz jednak w tym, że wspomniane wcześniej skarpetki z logotypem burgera zgodnie z regulaminem loterii należą do nagród IV kategorii i mają wartość... ok. 15 zł. Po co zatem firmie przy takiej wygranej nr PESEL? Zapytany przez DGP McDonald’s przyznaje: przez pomyłkę.
– Numeru PESEL żądano od zwycięzców tych nagród omyłkowo, w związku z czym usunęliśmy już je z naszej bazy. Ponadto w przypadku osób, które odmówiły podania numeru PESEL, odmowa nie spowodowała pozbawienia nagrody. Nie będziemy też żądać numeru PESEL od zwycięzców wyłonionych w kolejnych losowaniach. Dziękuję za zwrócenie uwagi na pomyłkę – mówi mec. Marcin Bonicki z McDonald’s.

Czy sieć uniknie kary

Jednak zdaniem ekspertów sprawy nie można i tak lekceważyć, ponieważ loteria jest prowadzona przez dużą sieć i kierowana jest do wielu klientów. – Jeżeli system amerykańskiej sieci fast food wysyłał takie same maile do wszystkich użytkowników, to biorąc pod uwagę liczbę nagród przewidzianych w loterii, należy się zastanowić, czy sprawą nie powinien zająć się z urzędu organ nadzorczy. Potencjalnie możemy mieć bowiem do czynienia ze zbieraniem nadmiarowych danych nawet kilku tysięcy użytkowników – zauważa mec. Andrzej Lewiński.
Ale zdaniem ekspertów nawet jeśli praktyka w koncernie nie zostanie zmieniona zgodnie z deklaracją, to w praktyce sieci najprawdopodobniej grozi upomnienie i nakaz administracyjny zmiany praktyki zbierania niektórych danych osobowych wydany przez Urząd Ochrony Danych Osobowych. Kary za naruszenia przepisów dotyczących podstawowych zasad przetwarzania danych osobowych (w tym zasady minimalizacji danych) z art. 83 ust. 5 pkt a RODO, to teoria. Nie ma tu raczej realnego niebezpieczeństwa, że UODO nałoży karę w wysokości nawet do 20 mln euro lub 4 proc. całkowitego obrotu z poprzedniego roku poprzedzającego naruszenie.
!W loterii McDonald’s nagród rzeczowych III kategorii o wartości poniżej 2280 zł (głośnik oraz kamera) oraz IV kategorii (skarpetki i plecak) jest łącznie blisko 5,5 tysiąca. Sprawa nie dotyczy zaś tzw. nagród natychmiastowych (zestawów posiłków z sieci), ponieważ informację o zwycięstwie użytkownik otrzymuje nie drogą mailową, lecz poprzez aplikację mobilną. Nie wiemy, ile niepotrzebnych numerów PESEL uzyskała firma. Przyjmując jednak, że do czasu zmiany praktyki odbyły się trzy losowania nagród, mogło być ich nawet kilkaset.

Jeszcze weryfikacja wieku

W sprawie loterii McDonald’s wybrzmiewa jeszcze inny wątek. W korespondencji z DGP, amerykańska sieć argumentowała, że oprócz celów podatkowych numer PESEL może również służyć do weryfikacji wieku uczestnika loterii. Pracownik McDonald’s informuje nas, że taka konieczność pojawia się w przypadku nagród o wartości około 2000 zł. I tu również pojawiają się wątpliwości. – Nie do takich celów powstał numer PESEL. Przedsiębiorca powinien poszukać innych środków weryfikacji wieku uczestników – uważa mec. Andrzej Lewiński. Sugeruje, że także w tym zakresie organ nadzorczy mógłby się zastanowić nad przeanalizowaniem praktyki zbierania danych osobowych przez amerykańską sieć barów szybkiej obsługi.
Stanowisko Urzędu Ochrony Danych Osobowych z 13 lipca 2018 r.
Nie znając wszystkich szczegółów sprawy, w tym całej treści przekazanego nam e-maila, jaki był przesłany do jednego z laureatów konkursu, Prezes Urzędu Ochrony Danych Osobowych nie może zająć wiążącego stanowiska w opisywanej kwestii. Byłoby to możliwe jedynie w decyzji administracyjnej poprzedzonej przeprowadzeniem postępowania, podczas którego zostałyby zbadane wszelkie okoliczności sprawy.
Niemniej wstępna analiza regulaminu loterii budzi pewne wątpliwości organu ds. ochrony danych osobowych. Stanowi on bowiem, że dane, takie jak PESEL, zbierane są od laureatów konkursu, ale w ten sposób nazywane są zarówno osoby, które wygrały nagrody rzeczowe, jak i te, które zdobyły nagrody natychmiastowe. Przy czym wartość tych nagród bywa różna.
Wprawdzie podmiot urządzający gry hazardowe jest obowiązany (zgodnie z art. 20 ust. 5 ustawy o grach hazardowych) prowadzić ewidencję wypłaconych (wydanych) wygranych, ale tylko takich, których wartość wynosi co najmniej 2280 zł. Zgodnie z ust. 7 powołanego przepisu, w ewidencji umieszcza się:
1) dane osoby wygrywającej (imię i nazwisko, rodzaj i numer dokumentu potwierdzającego tożsamość, numer PESEL, a w przypadku braku numeru PESEL - adres zamieszkania, datę urodzenia i obywatelstwo);
2) wartość wypłaconej (wydanej) wygranej;
3) datę wypłaty (wydania).
Zakres podanych powyżej danych jest zatem tożsamy z tym, których podania domaga się organizator loterii od jej laureatów.
Wątpliwe jest jednak zbieranie tak szerokiego zakresu danych od wszystkich osób, które zdobyły wygraną. Tymczasem przesłany nam fragment e-maila, jaki otrzymał jeden z laureatów, wskazuje, że organizator domaga się podania m.in. numeru PESEL od osoby, która wygrała skarpetki warte – zgodnie z informacjami zawartymi w regulaminie – 15 zł.
Dlatego z prośbą o wskazanie podstaw takiego żądania w pierwszej kolejności należałoby się zwrócić do inspektora ochrony danych organizatora loterii, którego dane kontaktowe podane zostały w regulaminie.
Każda osoba fizyczna, która stwierdzi, że jej dane osobowe były przetwarzane niezgodnie z RODO, może żądać od administratora usunięcia danych osobowych bądź ich sprostowania. Gdy te żądania nie zostaną spełnione, ma prawo wnieść skargę na administratora danych do prezesa urzędu. A jeśli ten uzna, że faktycznie doszło do naruszenia przepisów, to może skorzystać z określonych w RODO uprawnień, takich jak np. wydanie ostrzeżenia, udzielenie upomnienia, nakazanie spełnienia żądania osoby, której dane dotyczą, nakazanie dostosowania operacji przetwarzania do przepisów RODO albo nakazanie usunięcia danych osobowych. Prezes UODO może również nałożyć, o ile uznałby to za zasadne, administracyjną karę finansową. Ustalając wysokość kary, organ nadzorczy musiałby brać pod uwagę 11 różnych czynników wskazanych w art. 83 RODO.