„Gratulacje, wygrał pan skarpetki! Aby je odebrać, proszę podać nam numer PESEL lub numer dowodu tożsamości” – tak w dużym skrócie można opisać wiadomości, które trafiły do laureatów loterii promocyjnej organizowanej przez amerykańską sieć barów szybkiej obsługi McDonald’s. Rzecz w tym, że w ocenie prawników żądanie od klientów tak wysokiej rangi danych osobowych przy nagrodach o niskiej wartości jest niezgodne z tzw. zasadą minimalizacji, wprowadzoną przez unijne rozporządzenie o ochronie danych osobowych (RODO). Opisywana praktyka budzi wątpliwości, bo – zgodnie z ustawą o grach hazardowych – numerów PESEL można żądać tylko od takich laureatów, którzy wygrali nagrody o wartości powyżej 2280 zł. Ustawa dopuszcza to w celu rozliczeń z fiskusem i z tego powodu nakazuje organizatorom loterii prowadzić ewidencję wydanych nagród m.in. z numerami identyfikacyjnymi typu PESEL albo numerami dowodów tożsamości. Tymczasem Mc Donald’s żądał ich nawet przy drobnych fantach o wartości kilkunastu złotych. To rozjuszyło w końcu jednego z użytkowników portalu Wykop.pl, który postanowił upublicznić wiadomość elektroniczną wysyłaną przez amerykańskiego giganta, w której prosi on o podanie niepotrzebnych – nadmiarowych danych. Po co? Po naszej interwencji firma przyznała się, że doszło do pomyłki. Obiecała usunąć przetwarzane bezprawnie dane ze swojej bazy i zapowiedziała, że w następnych losowaniach nie będzie wymagać numerów identyfikacyjnych PESEL od zwycięzców nagród o niskiej wartości.

Przypomnijmy: Za złamanie najważniejszych zasad RODO grożą kary nawet do 20 mln euro lub 4 proc. obrotu światowego firmy z roku poprzedzającego naruszenie. Ale w opisywanej sprawie ewentualne naruszenie przepisów RODO może ujść koncernowi raczej na sucho. Choć nie można wykluczyć, że prezes UODO znajdzie podstawy do wszczęcia postępowania z urzędu. W odpowiedzi na pytanie DGP zastrzega, że wstępna analiza regulaminu loterii budzi pewne wątpliwości organu, ale podkreśla jednocześnie, że nie zna wszystkich szczegółów sprawy i nie może zająć wiążącego stanowiska. Z kolei prawnicy podkreślają, że loteria jest prowadzona przez dużą sieć i kierowana do wielu klientów, czego nie należy lekceważyć. Nie ukrywają jednak, że nawet jeśli UODO dopatrzy się jakichś nieprawidłowości, to najprawdopodobniej w grę wchodzić będą upomnienie i nakaz administracyjny zmiany praktyki zbierania niektórych danych osobowych wydany przez UODO.

Sprawa dobitnie pokazuje, że w przypadku przetwarzania danych osobowych zawsze warto kierować się zasadą projektowania swoich baz danych zgodnie z postanowieniami unijnego rozporządzenia. Tak, aby nawet przypadkowe zbieranie nadmiarowych danych osobowych nie było możliwe.

>>> CAŁY TEKST W DGP