Wyniki kontroli UODO aplikacji eToll
Wyniki kontroli UODO aplikacji eToll – przypomnijmy, RPO wystąpił do Prezesa UODO z wnioskiem o cyt.: „(…)o ocenę tej aplikacji pod kątem skutecznej ochrony praw jej użytkowników(…)”, o czym informowaliśmy w naszym opracowaniu pt. „Aplikacja e-Toll„. Sprawa doczekała się swojego finału. Prezes UODO przeprowadził postępowanie kontrole. Poniżej prezentujemy fragmenty
Cel przetwarzania ... cyt.: "W toku kontroli ustalono m.in., że jednym z zadań KAS jest pobieranie opłaty za
przejazd po płatnych odcinkach dróg w Polsce poprzez System Poboru Opłaty
Elektronicznej (SPOE), oparty o technologię pozycjonowania satelitarnego. Aplikacja
e-TOLL PL funkcjonuje w ramach Systemu Poboru Opłaty Elektronicznej Krajowej
Administracji Skarbowej i służy do pozycjonowania przejazdów zrealizowanych przez
pojazd użytkownika na podstawie danych geolokalizacyjnych, pozwalających ustalić
położenie pojazdu objętego poborem opłat za przejazd po płatnych odcinkach dróg w
Polsce. W celu użytkowania aplikacji e-TOLL PL użytkownicy muszą do realizacji
obowiązku opłaty za przejazd posiadać urządzenia mobilne umożliwiające przekazywanie
danych geolokalizacyjnych."
Podstawa prawna przetwrazania ... cyt.: "Zakres i rodzaj przetwarzanych danych osobowych w SPOE KAS wynika
z przepisów ustawy o drogach publicznych2, zaś aplikacja e-TOLL PL przetwarza
identyfikator urządzenia mobilnego (numer biznesowy) i dane geolokalizacyjne powiązane
z tym identyfikatorem."
Okresy retencyjne ... cyt.: "Po zaakceptowaniu przez użytkownika przycisku „rozpocznij przejazd” w aplikacji
dane geolokalizacyjne są zbierane z urządzenia z lokalizacji, w której się ono znajduje
m.in. z płatnych i nieodpłatnych odcinków dróg. Dane lokalizacyjne zbierane przez
aplikację mobilną e-TOLL PL podlegają weryfikacji i na dalszym etapie są przetwarzane
w SPOE KAS tylko dane geolokalizacyjne z przejazdów płatnymi odcinkami dróg. Dane
z przejazdów dostępne są w aplikacji e-TOLL przez trzy miesiące w zakresie daty i godziny
rozpoczęcia i zakończenia przejazdu oraz czasu trwania przejazdu. Dane geolokalizacyjne
przekazywane z aplikacji mobilnej z przejazdów płatnymi odcinkami dróg, jak i bezpłatnymi
odcinkami dróg przechowywane przez 30 dni. Dane te są przechowywane na wypadek
wystąpienia ewentualnej awarii systemu i dla celów dowodowych dla dostawców
zewnętrznych."
Wnioski z kontroli ...
Okresy retencyjne ... cyt.: "Jak wynika, z powyższych ustaleń o obszarze zbieranych przez urządzenie danych
geolokalizacyjnych decyduje użytkownik aplikacji i nawet kiedy ten obszar jest większy niż
teren dróg płatnych, zebrane dane są filtrowane i usuwane. Należy też zauważyć, że
przepisy o ochronie danych osobowych nie nakładają na administratorów obowiązku
informowania osób, których dane dotyczą o zastosowanych rozwiązaniach technicznych
oraz wskazania szczegółowego sposobu działania aplikacji, w których przetwarzane są
dane osobowe."
Naruszeń nie stwierdzono ...
Okresy retencyjne ... cyt.: "W zakresie objętym kontrolą nie stwierdzono naruszenia przepisów o ochronie
danych osobowych, które stanowiłyby podstawę do zastosowania art. 90 ustawy,
tj. wszczęcia postepowania w sprawie naruszenia, o którym mowa w art. 60 ustawy."
Materiały źródłowe:
Komunikat RPO w sprawie wystąpienia do Prezesa UODO z dnia 16 lutego 2022r. [Dostępny 04.03.2023r., godz.: 11:45]
Pismo RPO z dnia 15 lutego 2022r., VII.501.18.2022.KZ [Dostępny 17.02.2022r., godz.: 9:00]
Pismo UODO z dnia 28 marca 2023r., DKN.5112.7.2022 [Dostępny 17.02.2022r., godz.: 9:00]