Yves Rocher weryfikuje tożsamość uczestników konkursu prosząc o przysłanie skanu dowodu osobistego
Znana większości kobiet marka kosmetyczna Yves Rocher Polska zorganizowała konkurs, w którym jednym z zastrzeżeń w regulaminie jest prawo sprawdzenia tożsamości uczestnika konkursu (nie laureata) poprzez zażądanie od niego skanu dowodu osobistego.
Poniżej zapis dostępnego tutaj regulaminu konkursu:
Przyznaję, że przetarłam oczy ze zdumienia. Pomyślałam sobie, że chyba coś się komuś pomyliło. I napisałam do firmy informację, że jest to praktyka niezgodna z przepisami prawa oraz żądanie usunięcia takiego zapisu. Moja prośba trafiła do skrzynki mailowej oraz operatora fanpage Yves Rocher Polska. W ciągu godziny otrzymałam odpowiedź za pośrednictwem Facebooka (cytuję ją w całości, ponieważ operator fanpage potwierdził, że jest to oficjalne stanowisko spółki Yves Rocher Polska):
Pani Sylwio, bierze Pani udział w naszym konkursie?
Taki zapis w naszym regulaminie ma za zadanie ochronić osoby, które uczciwie biorą w nim udział. Zapis chroni nas przed bardzo częstymi praktykami takimi jak zakładanie fikcyjnych kont tylko po to, aby móc wziąć udział w konkursie. Jako Organizator konkursu mamy prawo poprosić o wgląd do dokumentu tożsamości – wybrane osoby, nie wszystkich uczestników. Proszę pamiętać, że tego weryfikacja danych osobowych może odbyć się tylko i wyłącznie poprzez okazanie danych właśnie z tego dokumentu. Na szczęście jednak bardzo rzadko wprowadzamy ten punkt w życie, a wszystkie otrzymane dane nie zostają przez nas w żaden sposób przetwarzane, kopiowane ani wykorzystywane dalej.
Pomijam bezzasadność pytania o to, czy jestem uczestnikiem konkursu (czy to zmieniłoby cokolwiek?), ale stanowisko spółki jest niepokojące. Spółka Yves Rocher Polska nie rozróżnia okazania dowodu osobistego od przesłania skanu. Po dalszej dyskusji, w której tłumaczyłam, że nie jest to tożsame otrzymałam odpowiedź (ponownie z potwierdzeniem, że jest to oficjalne stanowisko spółki):
Pani Sylwio, jak powyżej – jako Organizator Konkursu mamy prawo poprosić o wgląd do dowodu osobistego wybranego Uczestnika. Pozdrawiamy.
Z powyższego wynika: spółka stosuje tę praktykę od dawna (chociaż „na szczęście” nie za często prosi o skany dowodów). Skany są przesyłane na ogólny adres, czyli ma do nich dostęp szeroki zakres osób (i jak to mówić o rozliczalności danych). Pytanie czy udział w konkursie jest wart ryzyka kradzieży tożsamości? I dlaczego spółka stosuje taką praktykę? Rozumiem, że w dzisiejszych czasach weryfikacja uczestników konkursu jest trudna, jednak nigdy jeszcze nie spotkałam się z takim pomysłem (jeżeli macie inne doświadczenia, przyślijcie mi konkretną informację).
Jak to wygląda z punktu widzenia przepisów prawa? Ze strony GIODO:
Kopiowanie dokumentów jest czynnością techniczną, która ze swojej istoty nie jest zakazana przepisami ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Z punktu widzenia przepisów tej ustawy istotne jest bowiem, aby podmiot, który czynności tej dokonuje, legitymował się jedną z przesłanek legalności przetwarzania, w tym gromadzenia danych osobowych, które dla danych tzw. zwykłych (jak np. imię, nazwisko, adres zamieszkania, numer PESEL) określone zostały w art. 23 ust. 1 pkt 1-5.
Taki pogląd wyrażony został również w wyroku Naczelnego Sądu Administracyjnego z 19 grudnia 2001 r. (sygn. akt II SA 2869/2000), zgodnie z którym gromadzenie danych poprzez wykonanie kopii dokumentu zawierającego dane osobowe jest kwestią techniczną; posługiwanie się taką czy inną techniką utrwalania tych danych (kopiowanie lub przepisywanie) nie przesądza samo przez się o legalności albo nielegalności tego utrwalania (przetwarzania). Najważniejszy jest bowiem zakres danych, jakie się przy tym pozyskuje, co często uregulowane jest w innych, niż ustawa o ochronie danych osobowych, przepisach prawa.
Jeśli zatem dostawca usług [np.] telekomunikacyjnych, kopiując dowód osobisty, pozyskuje np. wizerunek, do przetwarzania którego nie upoważniają go przepisy prawa, wówczas na takie postępowanie ma obowiązek uzyskać zgodę osoby, której dane dotyczą.
Jednocześnie, każda osoba, która ma uzasadnione wątpliwości co do legalności przetwarzania jej danych, może wystąpić do Generalnego Inspektora Ochrony Danych Osobowych ze stosownej treści skargą, przedkładając odpowiednie dowody potwierdzające stawiane zarzuty, jak również czyniąc zadość wymogom formalnym przewidzianym w ustawie z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego oraz ustawie z dnia 16 listopada 2006 r. o opłacie skarbowej.
I podobne zagadnienia z prasy:
- Nieuzasadniona prośba o kopię dowodu osobistego
- Zeskanowanie dowodu osobistego to przetwarzanie danych
- Czy bank może kserować dowód? GIODO zaczyna batalię i tym razem chce wygrać.
Nie pozostaje mi nic innego, jak złożyć skargę do GIODO (zapewne dlatego spółka Yves Rocher Polska pytała mnie o to, czy biorę udział w konkursie, bo od tego będzie zależała treść moich żądań/roszczeń). Zamierzam zwrócić się do GIODO z prośbą o przywrócenie stanu zgodnego z prawem i nakazanie spółce Yves Rocher usunięcie wszystkich dotychczas zbieranych skanów, udowodnienie rozliczalności i poufności dotychczas pozyskanych danych oraz nakazanie wykreślenia tego punktu z regulaminów.
Autorką tekstu jest Sylwia Czub-Kiełczewska, specjalista ds. ochrony danych osobowych oraz certyfikowany audytor wewnętrzny ISO 27001
Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie!