Obecnie coraz więcej osób korzysta z biletów elektronicznych. Szczególnie popularne stają się aplikacje pozwalające na zakup biletów umożliwiających przejazd komunikacją publiczną. W PKP Intercity sama transakcja przy pomocy aplikacji nie wystarczy. Pasażer musi podać jeszcze imię i nazwisko. Aby bilet zakupiony przez aplikację czy przez internet został uznany za ważny konieczna jest jeszcze kontrola dokumentu tożsamości w PKP.
Kontrola dokumentu tożsamości w PKP zdaniem niektórych jest niezgodna z RODO
Legitymowanie w PKP w przypadku zakupu biletu przez internet czy aplikację stałych pasażerów już specjalnie nie dziwi. Zasady te zakwestionował jednak Paweł Litwiński, adwokat specjalizujący się w przepisach z zakresu ochrony danych osobowych. Wskazał przede wszystkim na uciążliwość okazywania dokumentów czy niezrozumienie ze strony obcokrajowców. Skarżący powołał się na zasadę minimalizacji danych, zgodnie z którą dane osobowe mogą być przetwarzane tylko w zakresie, który jest to niezbędne dla osiągnięcia celu, w jakim zostały zebrane.
Inne zasady obowiązują w przypadku zakupu biletu przy kasie
Gdy bilety kupowane są tradycyjnie przy kasie kontrola dokumentu tożsamości w PKP nie będzie mieć miejsca. Bilety nabyte w tradycyjny sposób nie zawierają bowiem imienia i nazwiska podróżnego. Mimo tego uprawniają do przejazdu. W przypadku transakcji internetowych czy przy użyciu aplikacji zasada jest już inna – podanie imienia i nazwiska jest niezbędne do dokonania zakupu.
Dodatkowe wymogi PKP tłumaczy kwestiami bezpieczeństwa
PKP Intercity utrzymuje, że podanie imienia i nazwiska jest konieczne do zweryfikowania, czy bilet jest autentyczny i czy nie posługuje się nim kilka osób. Bilet zakupiony przy kasie jest bowiem wydrukowany na blankiecie zabezpieczonym przed kopiowaniem. W przypadku biletów elektronicznych rolę zabezpieczenia ma natomiast pełnić przypisanie go do jednej osoby. Kupując bilet przy pomocy aplikacji, pasażer akceptuje regulamin. Tym samym wyraża zgodę na to, by była przeprowadzona kontrola dokumentu tożsamości w PKP.
UODO zgodził się ze stanowiskiem PKP Intercity
Na rozpatrzenie skargi Paweł Litwiński musiał czekać 18 miesięcy. Ostatecznie Urząd Ochrony Danych Osobowych przekonały argumenty PKP Intercity. Uznał, że stosowana praktyka jest zgodna z prawem. W tym wypadku przetwarzanie przez przewoźnika danych osobowych służy zachowaniu bezpieczeństwa obrotu i nadania biletowi unikalności. Zdaniem UODO umieszczenie imienia i nazwiska na bilecie jest więc w tym wypadku niezbędne z prawnie uzasadnionych interesów.
Czy obowiązek podania danych osobowych i okazania dokumentu tożsamości na pewno jest niezbędny do zachowania bezpieczeństwa?
Oprócz zasady minimalizacji w skardze wskazano również artykuł 25 RODO. Zgodnie z nim ochrona danych powinna być uwzględniona już w fazie projektowania. Oznacza to, że przewoźnik już przy tworzeniu aplikacji powinien skupić się na zagwarantowaniu integralności i autentyczności zakupionego biletu. Wśród popularnych aplikacji łatwo znaleźć takie, które pozwalają na kupno biletu bez wymogu podawania danych. PKP Intercity również posiada zabezpieczenia aplikacji takie jak hasło dostępu konieczne do odczytania danych biletu czy szyfrowanie połączenia między urządzeniem końcowym a aplikacją i bazą danych. Pytanie więc, czy kontrola dokumentu tożsamości w PKP w przypadku zakupu biletu poprzez aplikację rzeczywiście jest potrzebna.