PKP Intercity może żądać okazania dokumentu przy sprawdzaniu biletów kupionych przez internet czy też za pomocą aplikacji mobilnej – uznał Urząd Ochrony Danych Osobowych
/>
Bilety elektroniczne to dzisiaj standard. Wchodząc na nie do kina, teatru czy nawet na wielotysięczny koncert po prostu pokazujemy wydruk lub też ich obraz na wyświetlaczu telefonu. Podobnie jest z aplikacjami pozwalającymi płacić za komunikację miejską. Inne zasady obowiązują natomiast w pociągach PKP Intercity. Korzystający ze strony internetowej czy też aplikacji pasażer jest proszony o podanie imienia i nazwiska. Następnie pokazując e-bilet konduktorowi, musi okazać dokument potwierdzający tożsamość. Tylko wówczas e-bilet jest ważny.
Wymóg ten zakwestionował w skardze złożonej do prezesa Urzędu Ochrony Danych Osobowych dr Paweł Litwiński, adwokat w kancelarii Barta Litwiński i znany ekspert z zakresu przepisów o ochronie danych osobowych. Była to jedna z pierwszych skarg skierowanych na podstawie RODO. Pod koniec grudnia, po 18 miesiącach od jej wniesienia, zapadło rozstrzygnięcie, w którym uznano, że praktyka stosowana przez PKP Intercity jest zgodna z przepisami.
Zasada minimalizacji
Autor skargi, który często sam korzysta z usług PKP Intercity, zwrócił uwagę, jak często wymóg okazywania dokumentów jest uciążliwy dla pasażerów oraz niezrozumiały dla obcokrajowców. Odnosząc się do RODO, wskazał zaś na naruszenie zasady minimalizacji danych, zgodnie z którą dane osobowe mogą być przetwarzane tylko w zakresie, który jest niezbędny dla osiągnięcia celu, w jakim zostały zebrane. Upraszczając – jeśli cel ten można bez nadmiernych trudności osiągnąć w inny sposób, to dane nie powinny być przetwarzane.
Zdaniem dr. Pawła Litwińskiego skoro sprzedaż biletów w kasie nie wymaga podawania danych osobowych, to tak samo powinno być przy e-biletach.
„Skoro prawidłowo funkcjonują bilety, które nie zawierają imienia i nazwiska podróżnego, nie sposób przyjąć, że bilety dotyczące tej samej usługi, ale sprzedawane w inny sposób, dla prawidłowego funkcjonowania wymagają podania imienia i nazwiska podróżnego” – przekonywał prawnik w uzasadnieniu swej skargi.
PKP Intercity odpierało zarzuty, przekonując, że podanie imienia i nazwiska jest konieczne, aby zweryfikować, czy bilet jest autentyczny i czy nie posługuje się nim kilka osób.
– Bilet z kasy jest wydrukowany na blankiecie odpowiednio zabezpieczonym przed kopiowaniem, natomiast dla elektronicznego biletu zabezpieczeniem jest przypisanie go do jednej osoby. Kupujący bilet elektroniczny – zgodnie z regulaminem e-IC – wyraża zgodę na okazanie w trakcie kontroli dokumentu ze zdjęciem potwierdzającym tożsamość. Pasażer, który nie chce podawać imienia i nazwiska, co wymagane jest przy zakupie internetowym, może skorzystać z innych kanałów dystrybucji, np. kasy czy automatu, które tego nie wymagają – wyjaśniała DGP w czerwcu 2018 r. ówczesna rzecznik prasowa PKP Intercity.
Uzasadniony interes
Argumenty PKP Intercity przekonały prezesa UODO. Odwołał się do art. 16 ust. 3 ustawy – Prawo przewozowe (t.j. Dz.U. z 2017 r. poz. 1983 ze zm.).
„Powołany przepis dopuszcza umieszczenie na bilecie danych osobowych pasażera, jeżeli jest to niezbędne dla przewoźnika. Wyjaśnienia nadesłane przez spółkę wskazują, że przetwarzanie danych osobowych, którymi są imię i nazwisko skarżącego, ma na celu zachowanie bezpieczeństwa obrotu – zapobieżenie powtórnemu wykorzystaniu biletu albo jego sfałszowaniu. Przetwarzanie imienia oraz nazwiska skarżącego ma na celu nadanie biletowi cechy unikalności, dzięki czemu eliminowane jest uzasadnione ryzyko powstania nadużyć. Brak podania tych danych powodowałby, że biletem tym mógłby się legitymować każdy za jego okazaniem. Bilet zakupiony za pośrednictwem strony internetowej spółki można bowiem wydrukować wielokrotnie” – napisano w uzasadnieniu decyzji z 19 grudnia 2019 r., odmawiającej uwzględnienia wniosku skarżącego. Nie domagał się on nałożenia kary finansowej na spółkę, tylko nakazania zmiany praktyki przez PKP Intercity.
Prezes UODO uznał, że przetwarzanie danych osobowych przez przewoźnika jest niezbędne z prawnie uzasadnionych interesów, o których mowa w art. 6 ust. 1 lit. f RODO. Potwierdzeniem tego jest, jego zdaniem, motyw 47 rozporządzenia, w którym napisano, że „prawnie uzasadnionym interesem administratora, którego sprawa dotyczy, jest również przetwarzanie danych osobowych bezwzględnie niezbędne do zapobiegania oszustwom”. Jak podkreślono w uzasadnieniu, wykładnia prawnie uzasadnionego interesu powinna być szeroka i obejmować interesy gospodarcze, faktyczne oraz prawne.
– Zdaję sobie sprawę z tego, że to rozwiązanie jest wygodne dla PKP. Pytanie tylko, czy to uzasadnia ingerencję w naszą prywatność. Moim zdaniem nie, ale zależało mi na tym, by UODO zważył interes przewoźnika z interesem pasażera. Niestety nadal nie wiem, dlaczego potrzeba zabezpieczenia transakcji jest ważniejsza – mówi autor skargi dr Paweł Litwiński. Zapowiada jednocześnie, że choć decyzja go nie satysfakcjonuje, to nie zamierza jej skarżyć.
Poza zasadą minimalizacji w skardze przywołano również art. 25 RODO. Przepis ten nakazuje uwzględniać ochronę danych już w fazie projektowania. Szczególne znaczenie ma to przy aplikacji, która powinna gwarantować integralność i autentyczność kupionego za jej pośrednictwem e-biletu (przykładowo aplikacja SkyCash, która umożliwia również kupno biletu, nie wymaga osobnego podawania danych, a tym samym okazywania dokumentów podczas kontroli).
Zarzut ten również nie przekonał UODO. Co ciekawe, argumenty wskazane w uzasadnieniu decyzji mogłyby równocześnie być użyte na potwierdzenie, że bilety przechowywane w aplikacji są wystarczające chronione przed ponownym ich wykorzystaniem.
„Spółka wskazała na liczne zabezpieczenia aplikacji, jak zabezpieczenie hasłem dostępu, bez znajomości którego nie jest możliwe zalogowanie się do aplikacji i odczytanie danych biletu również w trybie offline, szyfrowane połączenie między urządzeniem końcowym a aplikacją i bazą danych oraz możliwość czasowego przechowywania biletu w pamięci urządzenia” – można przeczytać w decyzji.