W okresie wakacyjnym, korzystając z różnych usług w czasie wypoczynku natrafić można na przypadki gdzie np. pracownik wypożyczalni sprzętu kajakarskiego prosi o skserowanie dowodu osobistego klienta lub pozostawienie go „pod zastaw”, żeby zabezpieczyć się w ten sposób przed kradzieżą kajaka.
Wypożyczalnia sprzętu ma prawo do przetwarzania różnych danych osobowych klienta: imienia, nazwiska, adresu zamieszkania w celu świadczenia usługi i dochodzenia ewentualnych roszczeń za zniszczenie sprzętu; adresu e-mail w celu realizacji rezerwacji on-line; danych potrzebnych do faktury itp. Jednak dowód osobisty zawiera wiele innych danych osobowych, które nie są potrzebne do wykonywania usługi, np. imion rodziców, płci, miejsca urodzenia itd. Czy przedsiębiorca może przetwarzać również takie rodzaje danych osobowych?
Taki proceder jest niezgodny z RODO. Zgodnie z art. 5 ust. 1 lit. a RODO przetwarzanie danych osobowych odbywa się tylko w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami, a przy tym, powinny one być ograniczone do tego, co niezbędne dla celów w których są przetwarzane (art. 5 ust. 1 lit. c RODO). Przedsiębiorca może poprosić o podanie dowodu do wglądu, w celu przepisania niezbędnych danych osobowych klienta, ale nie może on zabrać dokumentu tożsamości lub go skserować, ponieważ wykracza to poza opisane na wstępie cele, prowadzi do bezprawnego przetwarzania danych osobowych klienta i rodzi ewentualną odpowiedzialność przed Prezesem Urzędu Danych Osobowych.
Dowód tożsamości nie może być przedmiotem obrotu, nie istnieje podstawa prawna zezwalająca przedsiębiorcy na zatrzymanie dowodu osobistego w celu zabezpieczenia wykonania usługi. Przetrzymywanie cudzego dowodu osobistego bez podstawy prawnej jest niezgodne z art. 79 ustawy o dowodach osobistych i grozi za to odpowiedzialność karna.
Podstawa prawna:
– Ustawa z dnia 6 sierpnia 2010 r. o dowodach osobistych (t.j. Dz. U. z 2022 r. poz. 671 z późn. zm.).
– Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.).