Przewoźnik jest administratorem danych pasażerów pozyskanych podczas kontroli biletów
Przewoźnik, decydując się na zlecenie firmie zewnętrznej kontroli biletów i windykacji należności od osób, które nie uiściły opłaty za przejazd, nie przestaje być administratorem przetwarzanych w związku z tym danych osobowych pasażerów.
W świetle przepisów Prawa przewozowego nie jest dopuszczalne zawarcie przez przewoźnika umowy, na podstawie której nastąpiłaby sukcesja prawna na rzecz firmy kontrolującej bilety, bowiem przewoźnik może jedynie upoważnić ją do działania
w swoim imieniu.
Jedno z miejskich przedsiębiorstw komunikacyjnych, zamierzające podjąć współpracę z zewnętrzną firmą kontrolującą bilety w autobusach komunikacji miejskiej, zwróciło się do UODO z pytaniem, czy dopuszczalne jest zawarcie przez przewoźnika umowy na kontrolę biletów i windykację, na podstawie której nastąpiłaby sukcesja prawna na rzecz firmy kontrolującej bilety również w zakresie administrowania danymi osobowymi pasażerów.
W odpowiedzi organ nadzorczy zaznaczył, że przetwarzanie danych osobowych pasażerów w związku z kontrolą biletową w środkach komunikacji reguluje art. 33a ustawy z dnia 15 listopada 1984 r. – Prawo przewozowe. Przepis ten stanowi, że przewoźnik lub osoba przez niego upoważniona, legitymując się identyfikatorem umieszczonym w widocznym miejscu, może dokonywać kontroli dokumentów przewozu osób lub bagażu (ust. 1). W razie stwierdzenia braku odpowiedniego dokumentu przewozu przewoźnik lub organizator publicznego transportu zbiorowego albo osoba przez niego upoważniona pobiera właściwą należność za przewóz i opłatę dodatkową albo wystawia wezwanie do zapłaty (ust. 3). W razie stwierdzenia braku ważnego dokumentu poświadczającego uprawnienie do bezpłatnego albo ulgowego przejazdu przewoźnik lub organizator publicznego transportu zbiorowego albo osoba przez niego upoważniona pobiera właściwą należność za przewóz i opłatę dodatkową albo wystawia wezwanie do zapłaty. Pobrana należność za przewóz i opłata dodatkowa, po uiszczeniu opłaty manipulacyjnej odpowiadającej kosztom poniesionym przez przewoźnika lub organizatora publicznego transportu zbiorowego, podlegają zwrotowi, a w przypadku wezwania do zapłaty – umorzeniu, w przypadku udokumentowania przez podróżnego, nie później niż w terminie 7 dni od dnia przewozu, uprawnień do bezpłatnego lub ulgowego przejazdu (ust. 4).
Z powołanego przepisu wynika zatem, że uprawnieni do pozyskiwania i dalszego przetwarzania danych osobowych podróżnych są przewoźnik lub osoba przez niego upoważniona. Analiza treści art. 33a Prawa przewozowego prowadzi zatem do wniosku, że o ile przewoźnik powierzy wykonywanie czynności związanych z kontrolą biletową osobie trzeciej, to – w zakresie umocowania – działa ona każdorazowo na jego rzecz. Dotyczy to zwłaszcza pozyskiwania danych osobowych pasażerów podczas kontroli i dalszego ich przetwarzania w związku z dochodzeniem należności z tytułu opłat za przejazd bez ważnego biletu.
Z takiego ukształtowania przez ustawodawcę relacji między przewoźnikiem a podmiotem, który zostaje przez niego upoważniony do prowadzenia kontroli biletowej, wynika zatem, iż decyzje o celach i środkach przetwarzania danych osobowych pasażerów w każdym przypadku należą wyłącznie do przewoźnika. W konsekwencji status administratora danych pasażerów zawsze przysługiwał będzie przewoźnikowi. Podkreślić przy tym należy, że art. 33a Prawa przewozowego ma charakter bezwzględnie obowiązujący, wobec czego niedopuszczalne jest odmienne ukształtowanie ww. spraw w drodze umowy między przewoźnikiem a osobą trzecią. Stanowisko takie znajduje również odzwierciedlenie w orzecznictwie (np. postanowienie Sądu Najwyższego z 23 października 2003 r., sygn. akt IV KK 265/02).
W świetle powyższego stwierdzić należy, iż w każdym przypadku skutki prawne działań podejmowanych przez pracowników firm, które dokonują kontroli biletowej za zgodą i wiedzą przewoźnika, powstają bezpośrednio w sferze prawnej z jednej strony – przewoźnika, a z drugiej – podróżnego. Nie jest zatem dopuszczalne zawarcie przez przewoźnika umowy, na podstawie której nastąpiłaby sukcesja prawna na rzecz firmy kontrolującej bilety, bowiem przewoźnik może jedynie upoważnić ją do działania w swoim imieniu. W konsekwencji, wszelkie umowy między przewoźnikami a firmami kontrolującymi bilety muszą być rozumiane jako dotyczące powierzenia wykonywania czynności w imieniu przewoźnika. W opinii organu nadzorczego w zakresie dotyczącym przetwarzania danych osobowych pasażerów przepis art. 33a Prawa przewozowego daje podstawę do zawarcia między przewoźnikiem a firmą kontrolującą umowy powierzenia przetwarzania danych osobowych, o której mowa w art. 28 RODO.
