PKP Intercity sprzedaje bilety na swoje pociągi w trzech różnych formach: tradycyjnej w kasach lub biletomatach, poprzez stronę internetową intercity.pl i za pomocą aplikacji mobilnej IC Mobile Navigator. Pierwsza forma nie wymaga podania żadnych danych osobowych. Klient po prostu okazuje bilet konduktorowi, ten sprawdza jego autentyczność i na tym cała procedura się kończy.

Korzystając ze strony internetowej czy też aplikacji, pasażer jest proszony o podanie imienia i nazwiska. Następnie pokazując e-bilet konduktorowi (czy to w formie wydruku, czy też wyświetlając go na ekranie swego smartfonu), musi okazać dokument potwierdzający tożsamość. Tylko wówczas e-bilet jest ważny.

– Taka praktyka jest zwyczajnie uciążliwa dla podróżnych: pasażer z biletem z sieci musi mieć dowód osobisty, a pasażer z biletem z kasy nie. Nieraz byłem świadkiem scen, gdy pasażerowie spoza Polski nie byli w stanie zrozumieć, kto – konduktor ma przecież na sobie mundur – i dlaczego ich legitymuje, skoro mają bilet – mówi autor skargi dr Paweł Litwiński, adwokat w kancelarii Barta Litwiński, ekspert z zakresu przepisów o ochronie danych osobowych.

Mity o RODO

– W swej skardze nie domagam się nałożenia kary na przewoźnika ani żadnych pieniędzy dla siebie. Chciałbym jedynie zmiany praktyki sprzecznej z prawem. RODO daje mi taką możliwość i postanowiłem z niej skorzystać. Mam nadzieję, że w interesie ogółu – dodaje prawnik.

Na podstawie RODO

To jedna z pierwszych skarg skierowanych na podstawie stosowanego od 25 maja rozporządzenia o ochronie danych osobowych 2016/679, czyli wspomnianego już RODO. Została skierowana do prezesa Urzędu Ochrony Danych Osobowych, który zastąpił generalnego inspektora ochrony danych osobowych. W jej uzasadnieniu skarżący odwołuje się do wprowadzonej przez RODO zasady minimalizacji danych. Zgodnie z nią dane osobowe mogą być przetwarzane tylko w zakresie, który jest niezbędny dla osiągnięcia celu, w jakim zostały zebrane. Upraszczając – jeśli cel ten można bez nadmiernych trudności osiągnąć w inny sposób, to dane nie powinny być przetwarzane.

Zdaniem dr. Pawła Litwińskiego, jeśli sprzedaż biletów w kasie nie wymaga podawania danych osobowych, to tak samo powinno być przy e-biletach.

„Skoro prawidłowo funkcjonują bilety, które nie zawierają imienia i nazwiska podróżnego, nie sposób przyjąć, że bilety dotyczące tej samej usługi, ale sprzedawane w inny sposób, dla prawidłowego funkcjonowania wymagają podania imienia i nazwiska podróżnego” – napisał prawnik w uzasadnieniu swej skargi.

Co na to PKP Intercity? Przekonuje, że podanie imienia i nazwiska jest konieczne, aby zweryfikować, czy bilet jest autentyczny i czy nie posługuje się nim kilka osób.

– Bilet z kasy jest wydrukowany na blankiecie odpowiednio zabezpieczonym przed kopiowaniem, natomiast dla elektronicznego biletu zabezpieczeniem jest przypisanie go do jednej osoby. Kupujący bilet elektroniczny – zgodnie z regulaminem e-IC – wyraża zgodę na okazanie w trakcie kontroli dokumentu ze zdjęciem potwierdzającym tożsamość. Pasażer, który nie chce podawać imienia i nazwiska, co wymagane jest przy zakupie internetowym, może skorzystać z innych kanałów dystrybucji, np. kasa czy automat, które tego nie wymagają – wyjaśnia Agnieszka Serbeńska, rzecznik prasowy PKP Intercity.

– Przy sprzedaży biletów imiennych w e-IC przetwarzamy dane osobowe zgodnie z regulaminem (dane są niezbędne np. do założenia konta oraz wystawienia faktury na żądanie), natomiast przy kontroli biletów dane osobowe nie są przetwarzane, ponieważ konduktor potwierdza tylko tożsamość danych wskazanych na bilecie z dokumentem tożsamości. Nie dokonuje przy tym w żaden sposób pozyskania danych z dokumentu tożsamości – nie kopiuje, nie robi odpisów oraz w żaden sposób ich nie utrwala – dodaje rzecznik.

Doktor Paweł Litwiński zgadza się z tym ostatnim argumentem. Sama kontrola dokumentu rzeczywiście nie podlega RODO. Zaznacza jednak, że nie tego dotyczy jego skarga. W niej stawia bowiem zarzuty dotyczące przetwarzania danych, które nie są niezbędne, podczas zakupu biletów.

Rozstrzygnie urząd

W obrocie można się spotkać z biletami internetowymi, których autentyczności nie trzeba potwierdzać. Tak jest chociażby przy zakupie e-wejściówek na koncerty, e-biletach do kin czy choćby na lodowisko organizowane każdej zimy na stadionie PGE Narodowy. Czy istnieją powody, dla których zakup biletów na pociąg uzasadnia dodatkowe formalności? To rozstrzygnie prezes UODO, badając zasadność skierowanej do niego skargi.

Do skargi dołączono korespondencję prowadzoną przez dr. Pawła Litwińskiego z PKP Intercity. Zadał on przewoźnikowi pytania na podstawie przepisów o dostępie do informacji publicznej. Z odpowiedzi wynika, że odczyt kodu zawartego w e-bilecie za pomocą specjalnego czytnika, w jakie wyposażeni są konduktorzy, pozwala na weryfikację ważności i autentyczności biletu.

Niezależnie od tych argumentów w odniesieniu do aplikacji mobilnej wskazano naruszenie także art. 25 RODO. Przepis ten nakazuje uwzględnianie ochrony danych już w fazie projektowania. O ile bilet kupiony przez stronę internetową jest drukowany, o tyle ten nabyty za pośrednictwem aplikacji pozostaje w niej zapisany, a więc jego integralność i autentyczność powinny pozostawać przez cały czas zabezpieczone.