PROBLEM: Ustawa antyterrorystyczna nałożyła na operatorów telekomunikacyjnych obowiązek aktywowania kart przedpłaconych SIM dopiero po podaniu przez klienta wymaganych danych osobowych. Zgodnie z nowelizacją prawa telekomunikacyjnego te czynności telekomy mogą jednak zlecić podmiotom trzecim. I bardzo chętnie to robią. Liczba kiosków, urzędów pocztowych i saloników prasowych współpracujących z dostawcami usług telekomunikacyjnych rośnie z dnia na dzień. Przykładowo T-Mobile tylko do końca września chce zgromadzić aż 20 tys. takich punktów – głównie sieci kiosków i saloników prasowych.
Operatorzy pracują nad wdrożeniem rozwiązań technicznych, które umożliwią rejestrację także w mniejszych, pojedynczych punktach sprzedaży.
Problem w tym, że prowadzący kioski i sklepy, którzy zdecydują się na współpracę z dostawcami telekomunikacyjnymi, nie zawsze wiedzą, jakie będą ich obowiązki związane z ochroną danych. Chaos potęgują dodatkowo niewłaściwe informacje w mediach, np. sugerujące, że przedsiębiorcy będą musieli powołać administratora bezpieczeństwa informacji (ABI). Uspokajamy jednak – to nieprawda. Eksperci informują, że w opisywanym procesie sprzedawcy są jedynie tzw. procesorem, czyli nie gromadzą ani nie przetwarzają danych, a więc nie podlegają obowiązkom ich ochrony zawartym w ustawie o ochronie danych osobowych.
W razie wycieku informacji osoby rejestrujące karty prepaid (np. pracownicy salonów czy kiosków) będą ponosić odpowiedzialność dopiero wtedy, gdy operator udowodni, że sam dochował szczególnej staranności, gwarantując ochronę danych osobowych. Mimo to procesorzy nie mogą zapomnieć o odpowiednim zabezpieczeniu danych. Zakazane jest np. zapisywanie danych na kartce, drukowanie ich oraz przesyłanie osobom innym niż dostawca usług telekomunikacyjnych. Przedsiębiorcy muszą zachować szczególną staranność, gdyż nawet za nieumyślne naruszenie obowiązku zabezpieczenia danych, które doprowadzi do ich kradzieży, uszkodzenia bądź zniszczenia, grozi im grzywna, kara ograniczenia wolności albo pozbawienia wolności do roku.
ZMIANA PRAWA:
Czerwcowa ustawa antyterrorystyczna wprowadziła obowiązek rejestrowania przedpłaconych kart SIM (prepaid) u operatorów telekomunikacyjnych. Jednak firmy te zdając sobie sprawę, że ograniczy to znacząco zainteresowanie konsumentów takimi kartami, postanowiły zlecać ten obowiązek innym przedsiębiorcom, m.in. kioskom i salonikom prasowym. Liczba podmiotów decydujących się na współpracę stale się zwiększa. Prowadzący kioski i sklepy nie zawsze wiedzą jednak, jakie są ich obowiązki związane z ochroną danych.
Chaos potęgują sprzeczne opinie w mediach. Między innymi w niektórych publikacjach sugerowano, że kioskarze decydujący się na współpracę z operatorami będą musieli powołać ABI – osobę odpowiedzialną za ochronę danych. Jednak – jak wynika z informacji uzyskanych u generalnego inspektora ochrony danych osobowych – nie jest to konieczne.
W praktyce pojawia się też obawa, że w procesie rejestracji dojdzie do wycieku lub celowej sprzedaży danych osobowych. Kioskarze boją się, że wtedy odpowiedzą za naruszenie przepisów dotyczących ochrony danych.
Dziś porządkujemy ten informacyjny chaos i odpowiadamy na kluczowe pytania przedsiębiorców prowadzących sprzedaż kart na rzecz operatorów telekomunikacyjnych.
● Konieczność rejestracji kart prepaid
Taki obowiązek wprowadził art. 43 pkt 1 ustawy z 10 czerwca 2016 r. o działaniach antyterrorystycznych (Dz.U. z 2016 r. poz. 904). W art. 60b ustawy z 16 lipca 2004 r. – Prawo telekomunikacyjne (t.j. Dz.U. z 2014 r. poz. 243 ze zm.; dalej: p.t.) określono zasady tego procesu.
Obecnie operatorzy udostępniają klientom możliwość rejestracji kart nie tylko w swoich salonach, lecz także w innych punktach. W zależności od dostawcy są to np. kioski RUCH, saloniki prasowe InMedio, Relay, One Minute, urzędy Poczty Polskiej, sklepy dużych sieci ze sprzętem AGD i RTV itp.
Wszystkie pytane przez nas duże firmy telekomunikacyjne przyznają, że wciąż poszukują podmiotów, które są gotowe współpracować z nimi i w ich imieniu rejestrować karty prepaid. To otwiera pole do współpracy kolejnym przedsiębiorcom prowadzącym kioski i saloniki prasowe. Operatorzy pracują nad wdrożeniem rozwiązań technicznych, które umożliwią sprawne rejestrowanie kart i przesyłanie danych osobowych bezpośrednio do operatorów, tak by były one odpowiednio chronione i zabezpieczone. Prawdopodobnie rejestracja będzie przeprowadzana przy użyciu terminali płatniczych – które przecież mają klawiaturę do wprowadzania danych.
Jak zapowiadają operatorzy, kwestia technicznych rozwiązań z każdym dniem jest coraz bliższa rozwiązania. Z prostego powodu – dostawcom zależy, by karty można było rejestrować w jak największej liczbie miejsc.
● Za co odpowiedzą kioskarze
Eksperci wciąż mają wątpliwości, czy przeniesienie możliwości rejestracji kart na podmioty trzecie jest dobrym rozwiązaniem. – Zachodzi poważna obawa, czy dane powierzone sprzedawcom w kioskach będą odpowiednio zabezpieczone – komentuje dr Mariusz Bidziński z kancelarii Chmaj i Wspólnicy.
Okazuje się, że kioskarze mimo wszystko będą mogli odpowiedzieć za pewne naruszenia związane z danymi osobowymi. – Kioskarz jest bowiem tzw. procesorem, czyli podmiotem przetwarzającym dane na zlecenie administratora – tłumaczy dr Paweł Litwiński, partner w kancelarii Barta Litwiński, związany z Instytutem Allerhanda. I dodaje, że sprzedawca ma obowiązek zabezpieczenia danych przed nieupoważnionym dostępem, np. przepisywaniem i sprzedawaniem ich poza system informatyczny.
– Jeżeli dane wyciekną z winy prowadzącego sklep, on będzie za to odpowiedzialny – mówi dr Litwiński.
Z kolei Damian Klimas, prawnik w kancelarii prawnej Szostek_Bar i Partnerzy, twierdzi, że osoby rejestrujące karty prepaid (pracownicy salonów czy kiosków) będą ponosić odpowiedzialność dopiero wtedy, gdy operator udowodni, że sam dochował szczególnej staranności, gwarantując ochronę danych osobowych. Ważne jest to, że zgodnie z art. 52 ustawy o ochronie danych osobowych, kto administrując danymi, narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
● Obowiązki operatorów telekomunikacyjnych
Każda operacja wykonywana na danych osobowych - taka jak ich zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie – jest przetwarzaniem danych osobowych w myśl ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2016 r. poz. 922 ze zm.). W konsekwencji do gromadzenia i potwierdzania przez dostawcę usług i działających na jego rzecz osób do danych zgłaszanych przez abonentów stosuje się przepisy o ochronie danych osobowych. Jak informuje w rozmowie z DGP Małgorzata Kałużyńska-Jasak, dyrektor zespołu rzecznika prasowego Generalnego Inspektoratu Ochrony Danych Osobowych, w tym przypadku administratorem danych wciąż pozostaje przedsiębiorca telekomunikacyjny.
– To na nim będą ciążyć obowiązki administratora zawarte w ustawie o ochronie danych osobowych – informuje Kałużyńska-Jasak. Chodzi m.in. o wdrożenie odpowiednich procedur (w tym środków technicznych i organizacyjnych), na podstawie których dane osobowe osób rejestrujących nabyte przed 25 lipca 2016 r. karty prepaid lub kupujących karty prepaid po tej dacie będą chronione odpowiednio do zagrożeń. A z racji katalogowania i przetwarzania danych operatorzy muszą oczywiście mieć w firmie powołanego administratora bezpieczeństwa informacji (ABI).
Za to – wbrew niedawnym doniesieniom prasowym – kioskarze nie będą musieli zatrudniać swojego ABI. A to dlatego, że będą jedynie występować jako pośrednik w procesie zbierania danych. Powinni natomiast zgodnie z ustawą zawrzeć z operatorem umowę powierzenia przetwarzania danych osobowych.
● Jakie informacje trzeba uzyskać
Zgodnie z art. 60b ust. 1 pkt 1 p.t., by rejestracja była skuteczna, abonent będący osobą fizyczną musi podać następujące dane:
● imię i nazwisko,
● numer PESEL, jeżeli klient go posiada lub
● nazwę, serię i numer dokumentu potwierdzającego tożsamość, a w przypadku cudzoziemca, który nie jest obywatelem państwa członkowskiego UE albo Konfederacji Szwajcarskiej – numer paszportu lub karty pobytu.
Według niedawnego stanowiska generalnego inspektora ochrony danych osobowych i Urzędu Komunikacji Elektronicznej przedsiębiorcy nie powinni pozyskiwać kopii dokumentów tożsamości (zgodnie z art. 60b ust. 1 pkt 1 p.t.) – a więc nie wolno kioskarzowi skanować bądź kserować dowodu osobistego klienta. Takie kopie powinny być również podstawą do odmowy rejestracji karty prepaid przez przedsiębiorcę.
● A jak rejestrować? Paradoks prawny!
Przy samej rejestracji mamy do czynienia z pewnym paradoksem prawnym. Artykuł 60b ust. 4 p.t. dał możliwość, by dostawca usług telekomunikacyjnych zlecił obowiązek rejestracji podmiotowi trzeciemu. Przedsiębiorca występuje wtedy w imieniu operatora i wolno mu to, co wolno operatorowi.
– Sklep działa na tej samej zasadzie, jak operator powierzający przetwarzanie swojemu agentowi, który prowadzi salon sprzedaży telefonów – wyjaśnia dr Litwiński. Tu pojawia się jednak podstawowy problem.
– Chcąc zarejestrować kartę, klient jest zmuszony okazać dokument tożsamości osobie, która nie jest uprawniona do legitymowania (w taki sposób jak np. może czynić to policja) – komentuje Damian Klimas. I dodaje, że powstaje zatem niejednoznaczna sytuacja, w której konsument nie ma obowiązku okazania dowodu, przy jednoczesnej świadomości, że w innym przypadku sprzedawca odmówi mu rejestracji karty prepaid. W jaki sposób sobie z tym poradzić? Bardzo prosto. Kioskarz powinien poprosić o pokazanie dokumentu, nie musi go nawet brać do rąk. Ważne, by był w stanie odczytać z niego dane osobowe. Trzeba je następnie wprowadzić bezpośrednio do systemu informatycznego, który został sprzężony z programem dostarczonym przez operatora. Nie wolno zapisywać ich nigdzie na kartce, drukować ani przesyłać osobom innym niż dostawca usług telekomunikacyjnych.
18,8 mln to liczba aktywnych kart prepaid w Polsce na koniec 2015 r.
46 proc. taki udział w rynku miały karty prepaid
Źródło: UKE