UWAGA!

Od 25 maja 2018 r. organem właściwym w zakresie ochrony danych osobowych jest Prezes Urzędu Ochrony Danych Osobowych. Nowa strona internetowa urzędu jest dostępna pod adresem: www.uodo.gov.pl.

Materiały zamieszczone na stronie Generalnego Inspektora Ochrony Danych Osobowych (GIODO) dostępnej pod adresem www.giodo.gov.pl mają charakter archiwalny.

POZOSTAŃ NA STRONIE ARCHIWALNEJ (GIODO)

Czy można gromadzić i wykorzystywać dane osobowe w postaci odcisku linii papilarnych palca dla celów marketingowych i promocyjnych?

Metadane
Podmiot udostępniający: Zespół Rzecznika Prasowego Biura GIODO
Wytworzył informację: Małgorzata Kałużyńska-Jasak 2009-09-25
Wprowadził‚ informację: Rafał Kreusch 2009-10-05 13:25:24
Ostatnio modyfikował: 2013-11-28 12:56:59

Odpowiedź:

Nie, gdyż wskazane cele naruszają zasadę adekwatności, o której stanowi art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych.

Uzasadnienie:

Wyrażona w ustawie o ochronie danych osobowych zasada adekwatności oznacza, iż każdy podmiot (tzw. administrator danych) przetwarzający dane i decydujący o celach i środkach ich przetwarzania (tzw. administrator danych) powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą. W szczególności jest on obowiązany zapewnić, aby dane te były merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane. Oznacza to, że swym rodzajem i swą treścią dane nie powinny wykraczać poza potrzeby wynikające z celu ich zbierania. Adekwatność powinna być rozumiana jako równowaga pomiędzy uprawnieniem osoby do dysponowania swoimi danymi osobowymi, a interesem administratora danych. Równowaga jest zachowana wówczas, gdy administrator przetwarza dane tylko w takim zakresie, w jakim jest to niezbędne do wypełnienia celu, w jakim te dane są przez niego przetwarzane. W praktyce administratorzy danych często pozyskują dane ponad rzeczywiste potrzeby, wykraczając poza zakres danych uzasadniony realizacją ściśle określonego celu. Na powyższe zagadnienie zwraca uwagę również doktryna i podkreśla, że „aspekt niezbędności nie jest brany pod uwagę i dochodzi (m.in. z przyzwyczajenia) do zbierania danych ponad rzeczywiste potrzeby” (J. Barta, R. Markiewicz, Ochrona danych osobowych. Komentarz, Zakamycze, Kraków 2001 r. str. 359). Przykładem naruszenia tej zasady jest opisana poniżej sytuacja.

Jedna z firm stworzyła dla swoich klientów program lojalnościowy, w ramach którego gromadzi dane osobowe każdego, kto chce być jego uczestnikiem. Przystąpienie do programu jest dobrowolne. Dla jego uczestników przewidziane są specjalne promocje przy zakupie towarów tej firmy. Każdy, kto che przystąpić do programu musi wypełnić formularz zgłoszeniowy, w którym podaje swoje dane osobowe, w tym dane biometryczne w postaci odcisku palca. Przy czym firma nie wskazuje przez jaki okres dane te będą przechowywane.

Zauważyć należy, iż podmiotem uprawnionym do przetwarzania danych osobowych w postaci odcisku linii papilarnych palca jest m.in. np. Policja, na podstawie ustawy o Policji. Gromadzenie tego typu danych i ich wykorzystywanie przez Policję obywa się w celu wykrycia przestępstw, ustalenia ich sprawców, a także uzyskania i utrwalenia dowodów ściganych z oskarżenia publicznego. A zatem cel uzasadnia przetwarzanie tych danych osobowych, jak też istnieje podstawa prawna w postaci aktu prawnego powszechnie obowiązującego, czyli wspomnianej ustawy o Policji.

Inaczej jest natomiast w przypadku, gdy odciski linii papilarnych mają być gromadzone i wykorzystywane przez podmiot prywatny w celu marketingu i promocji jego produktów. Wskazany cel nie uzasadnia bowiem przetwarzania takich danych osobowych dlatego, że dane te nie są niezbędne do prowadzenia przez firmę działań marketingowych i promocyjnych w stosunku do klienta – uczestnika owego programu lojalnościowego, a zaniechanie ich przetwarzania nie spowoduje braku możliwości prowadzenia tych czynności. Ponadto, brak wskazania przez administratora danych czasu przechowywania zgromadzonych odcisków linii papilarnych może stanowić zagrożenie dla osób, których one dotyczą. Tym bardziej, że nie ma pewności, czy podmiot ten należycie zabezpiecza gromadzone dane osobowe, tak aby nie dostały się one w ręce osób nieupoważnionych - do czego zobowiązuje go ustawa o ochronie danych osobowych.

Dodatkowo należy zauważyć, iż idea ochrony danych osobowych nie służy utrudnianiu prowadzenia działalności gospodarczej przedsiębiorcom, ale temu, aby zasada swobody działalności gospodarczej nie ingerowała w inne, wymagające ochrony prawnej, dobro – a mianowicie w zagwarantowane w Konstytucji RP prawo do prywatności i ochrony danych osobowych, wyrażające się m.in. w nakazie redukowania zakresu pozyskiwanych danych do niezbędnego minimum pozwalającego osiągnąć postawione zadanie.

 

 

 

Ostatnie aktualności