Z tego artykułu dowiesz się:
- Jakie dane może przetwarzać dostawca usług telekomunikacyjnych
- Jaka jest podstawa prawna przetwarzania danych przez dostawcę usług telekomunikacyjnych
- Jakie są terminy przetwarzania danych w telekomunikacji
Zawierając umowę na usługi telekomunikacyjne abonenci udostępniają swoje dane takie jak imię i nazwisko, adres zamieszkania, adres do korespondencji, adres świadczenia usług, nr pesel albo seria i nr dowodu osobistego. Zdarza się, że udzielają także zgody na przetwarzanie numeru telefonu kontaktowego i adresu e-mail w celach marketingowych, a nawet numeru konta bankowego, czy kart płatniczych w związku ze świadczoną usługą. Są jednak także inne dane, będące efektem (pochodną) generowanego przez nich ruchu telekomunikacyjnego, czyli min.:
- Informacje o odwiedzanych stronach internetowych
- Specyfikacja wykonanych i odbieranych połączeń telefonicznych
- Dane lokalizacyjne.
Dane te to kopalnia wiedzy o klientach, ich preferencjach, potrzebach czy trybie życia. Odpowiednio przefiltrowane dają dostawcom możliwość śledzenia trendów społecznych i tworzenia skrojonych na miarę ofert.
Przetwarzanie danych ma miejsce i nie tylko w trakcie umowy, ale także po jej ro związaniu. Czy dane nie powinny być usunięte od razu po tym fakcie? Otóż przetwarzanie danych w telekomunikacji regulują dwa reżimy prawne:
- Prawo telekomunikacyjne związane z tajemnicą telekomunikacyjną i jej ochroną
- Przepisy ogólnego rozporządzenia o ochronie danych, tzw. RODO.
W przypadku świadczenia usług telekomunikacyjnych przepisy Prawa telekomunikacyjnego mają charakter szczególny. RODO znajdzie natomiast zastosowanie wówczas, gdy stanowi tak przepis Prawa telekomunikacyjnego (patrz art. 161 ust. 2 Prawa telekomunikacyjnego, który dotyczy przetwarzania danych osobowych użytkownika będącego osobą fizyczną oraz art. 174 Prawa telekomunikacyjnego, który dotyczy zgody abonenta lub użytkownika końcowego). Ponadto, RODO będzie stosowane także wówczas , gdy Prawo telekomunikacyjne nie zawiera kompleksowej regulacji. W takim przypadku RODO stanowi jej uzupełnienie (np. gdy chodzi o prawa osoby, której dane dotyczą).
Na gruncie Prawa telekomunikacyjnego, okres przetwarzania danych objętych tajemnicą telekomunikacyjną jest zależny od rodzaju (kategorii) danych oraz od celu, jakiemu służy to przetwarzanie. W pewnych sytuacjach na dostawcy spoczywa prawny obowiązek przetwarzania określonej kategorii danych przez oznaczony czas, w innych przetwarzanie to stanowi wyłącznie uprawnienie dostawcy usług.
Podstawowe kategorie danych w świetle Prawa telekomunikacyjnego oraz okres ich przetwarzania
Dane użytkowników końcowych – są nimi podmioty korzystające lub żądające świadczenia usług telekomunikacyjnych dla zaspokojenia własnych potrzeb. Dostawca może przetwarzać ich dane w okresie obowiązywania umowy, a po jej zakończeniu w okresie dochodzenia roszczeń lub wykonywania innych zadań przewidzianych w Prawie telekomunikacyjnym lub odrębnych przepisach prawa.
Jak łatwo zauważyć, koniec umowy z dostawcą nie jest wcale jednoznaczny z zakończeniem przetwarzania danych użytkowników końcowych przez dostawcę. Ich dalsze przetwarzanie jest dozwolone min. dla potrzeb dochodzenia roszczeń przez przedsiębiorcę lub abonenta (użytkownika). W praktyce przesłanka ta jest wykorzystywana nie tylko w przypadku wystąpienia realnego sporu pomiędzy dostawcą, a użytkownikiem. Służy ona także dla celów zabezpieczenia prawnej możliwości dochodzenia takich roszczeń lub obrony przed takimi roszczeniami w okresie, gdy roszczenie to nie jest przedawnione.
W przypadku usług telekomunikacyjnych termin przedawnienia wynosi 3 lata, dotyczy to świadczeń okresowych lub związanych z prowadzeniem działalności gospodarczej i 6 lat w przypadku pozostałych roszczeń kierowanych przez konsumentów. Kolejne terminy przetwarzania danych w telekomunikacji będą wynikać z innych regulacji przyjętych bezpośrednio w Prawie telekomunikacyjnym lub z odrębnych przepisów prawa, takich jak min. przepisy ustawy o rachunkowości, Ordynacji podatkowych lub ustaw regulujących kwestie podatku dochodowego lub podatku VAT.
Dane transmisyjne – niezbędne do naliczenia abonentowi opłat za świadczone usługi lub do rozliczeń międzyoperatorskich. Przetwarzanie tej kategorii danych jest prawnie dozwolone, lecz nie może wykraczać poza termin maksymalny wskazany powyżej dla przetwarzania danych użytkowników końcowych.
Dane o wykonanych usługach – dla potrzeb ustalenia należności za nie oraz rozpatrzenia reklamacji. Stanowią one szczególny rodzaj danych transmisyjnych bowiem wiąże się z nimi prawny obowiązek dostawcy (a nie uprawnienie!) przechowywania danych przez okres co najmniej 12 miesięcy, a w przypadku wniesienia reklamacji przez okres niezbędny do rozstrzygnięcia sporu. Tak określony termin jest terminem minimalnym, ściśle powiązanym z uprawnieniem użytkowników do wniesienia reklamacji usługi telekomunikacyjnej.
Przypomnijmy, że reklamacja usługi telekomunikacyjnej może być złożona w terminie 12 miesięcy od ostatniego dnia okresu rozliczeniowego, w którym zakończyła się przerwa w świadczeniu usługi telekomunikacyjnej, lub od dnia, w którym usługa została nienależycie wykonana lub miała być wykonana, lub od dnia doręczenia faktury zawierającej nieprawidłowe obliczenie należności z tytułu świadczenia usługi telekomunikacyjnej.
Podkreślenia wymaga, że rozwiązanie umowy nie zamyka abonentowi drogi do wniesienia reklamacji usługi telekomunikacyjnej. Ograniczeniem jest jedynie upływ terminu 12 miesięcy do jej wniesienia. Obowiązek dostawcy przechowywania danych o wykonanych usługach służy zabezpieczeniu realizacji prawa abonenta do reklamacji, mimo że umowa z dostawcą została już rozwiązana.
Dane transmisyjne przetwarzane dla celów marketingu usług telekomunikacyjnych lub świadczenia usług o wartości wzbogaconej – przetwarzanie tych danych zawsze wymaga zgody użytkownika końcowego. Dostawca jest więc obowiązany zaprzestać przetwarzania tych danych wraz z wycofaniem zgody lub wraz z osiągnięciem celu, w jakim tej zgody udzielono. Niezależnie od wycofania zgody, dla potrzeb rozliczeń dane o wykonanych usługach o wartości wzbogaconej będą przetwarzane jak inne dane rozliczeniowe, a zatem również po rozwiązaniu umowy.
Dane retencyjne – stanowią je min. numer zakończenia sieci (numer telefonu stacjonarnego), numer MSISDN (numer telefonu komórkowego), imię, nazwisko i adres abonenta wywołującego i wywoływanego, numer IMSI (numer przypisany do karty SIM), numer IMEI (numer przypisany do aparatu telefonicznego), dane dotyczące pierwszego zalogowania użytkownika do sieci oraz dane stacji bazowej (dla usług prepaid), identyfikator użytkownika, adres IP, adres MAC urządzenia końcowego itd..
Dane te są zatrzymywane i przechowywane przez operatora (dostawcę) przez okres 12 miesięcy od dnia połączenia lub nieudanej próby połączenia. Po tym terminie dane te powinny zostać zniszczone, z wyjątkiem tych danych, które zostały zabezpieczone zgodnie z odrębnymi przepisami. Pamiętać wreszcie należy, że rozwiązanie umowy z dostawcą nie daje możliwości skutecznego żądania usunięcia danych o użytkowniku i jego usługach, zatrzymanych i przechowywanych dla potrzeb retencji danych.
Co z RODO?
Przepis art. 161 ust. 2 Prawa telekomunikacyjnego nakazuje bezpośrednio stosować przepisy RODO dla potrzeb przetwarzania danych osobowych dotyczących użytkownika będącego osobą fizyczną, a zatem osoby, która korzysta z usług telekomunikacyjnych lub żąda ich świadczenia. Danymi osobowymi są m.in. dane przetwarzane dla potrzeb zawarcia i wykonania umowy o świadczenie usług telekomunikacyjnych.
Zakończenie trwania umowy abonenckiej z dostawcą nie skutkuje automatycznym ustaniem wszystkich podstaw prawnych przetwarzania danych abonenta przez dostawcę. Wraz z zakończeniem umowy odpada jedynie podstawa prawna przetwarzania danych przez dostawcę określona w art. 6 ust. 1 lit b RODO, tj. gdy przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy.
Inne podstawy prawne przetwarzania określone w RODO pozostają wiążące dla stron albo dopiero materializują się wraz z zakończeniem umowy abonenckiej. Chodzi przede wszystkim o podstawę przetwarzania określoną w:
- art. 6 ust. 1 lit. c RODO, gdy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze,
- art. 6 ust. 1 lit. f RODO, gdy przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią lub
- art. 6 ust. 1 lit. a RODO, gdy osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów.
Każda z tych przesłanek jest niezależna od innych i może występować samodzielnie. Jest to bardzo istotne z perspektywy sytuacji prawnej administratora danych (dostawcy usług telekomunikacyjnych), który chce lub musi przetwarzać dane byłego abonenta po ustaniu umowy. Ponadto, ma to znaczenie w kontekście prawa żądania usunięcia danych przysługującego osobie, której dane dotyczą.
Więcej o prawie bycia zapomnianym oraz o danych byłych klientów w świetle praktyki organu nadzoru oraz wybranych orzeczeń sądów administracyjnych w drugiej części artykułu. Zapraszam do lektury już za tydzień!
Potrzebujesz wsparcia prawnego? Dowiedz się więcej na stronach specjalizacji Prawo telekomunikacyjne oraz Ochrona danych osobowych (RODO).