McDonald’s na bakier z RODO. Przez pomyłkę

„Gratulacje, wygrał pan skarpetki! Aby je odebrać, proszę podać nam numer PESEL lub numer dowodu tożsamości” – tak w dużym skrócie można opisać wiadomości, które trafiły do laureatów loterii promocyjnej organizowanej przez amerykańską sieć barów szybkiej obsługi McDonald’s. Rzecz w tym, że w ocenie prawników żądanie od klientów tak wysokiej rangi danych osobowych przy nagrodach o niskiej wartości jest niezgodne z tzw. zasadą minimalizacji, wprowadzoną przez unijne rozporządzenie o ochronie danych osobowych (RODO). Opisywana praktyka budzi wątpliwości, bo – zgodnie z ustawą o grach hazardowych – numerów PESEL można żądać tylko od takich laureatów, którzy wygrali nagrody o wartości powyżej 2280 zł. Ustawa dopuszcza to w celu rozliczeń z fiskusem i z tego powodu nakazuje organizatorom loterii prowadzić ewidencję wydanych nagród m.in. z numerami identyfikacyjnymi typu PESEL albo numerami dowodów tożsamości. Tymczasem Mc Donald’s żądał ich nawet przy drobnych fantach o wartości kilkunastu złotych. To rozjuszyło w końcu jednego z użytkowników portalu Wykop.pl, który postanowił upublicznić wiadomość elektroniczną wysyłaną przez amerykańskiego giganta, w której prosi on o podanie niepotrzebnych – nadmiarowych danych. Po co? Po naszej interwencji firma przyznała się, że doszło do pomyłki. Obiecała usunąć przetwarzane bezprawnie dane ze swojej bazy i zapowiedziała, że w następnych losowaniach nie będzie wymagać numerów identyfikacyjnych PESEL od zwycięzców nagród o niskiej wartości.