GIODO twierdzi, że kopiowanie dokumentów tożsamości przez przedsiębiorców telekomunikacyjnych prowadzi do pozyskiwania danych osobowych bez podstawy prawnej.
W ostatnim okresie do GIODO kierowane były liczne sygnały, iż w związku z zawieraniem umów o świadczenie usług telekomunikacyjnych przedsiębiorcy kopiują dokumenty potwierdzające tożsamość klientów, pozyskując w ten sposób zbyt wiele danych osobowych. GIODO postanowił więc zająć się sprawą z urzędu i przeprowadzić u wybranych przedsiębiorców telekomunikacyjnych kontrole. Ich celem było ustalenie, czy w związku z potwierdzaniem tożsamości osób zawierających umowy o świadczenie usług telekomunikacyjnych nie dochodzi do pozyskiwania danych osobowych w zakresie wykraczającym poza zakres określony w art. 161 ustawy Prawo telekomunikacyjne, oraz czy operatorzy pozyskują kserokopie, fotokopie lub skany dokumentów potwierdzających tożsamość klientów, np. dowodów osobistych.
Przeprowadzone kontrole wykazały, że przedsiębiorcy w większości przypadków uzależniali zawarcie umowy o świadczenie usług telekomunikacyjnych od przekazania kopii dokumentu tożsamości, a w niektórych przypadkach również innych dokumentów, takich jak np. prawo jazdy, książeczka wojskowa czy legitymacja studencka. Ponadto w niektórych przypadkach zawarcie umowy wiązało się z koniecznością wyrażenia zgody na przetwarzanie danych osobowych zawartych w tych dokumentach.
Powyższa praktyka została zakwestionowana przez Generalnego Inspektora Ochrony Danych Osobowych jako niezgodna z obowiązującym prawem, tj. skutkująca pozyskiwaniem bez podstawy prawnej takich danych, jak m.in.: wizerunek, wzrost, kolor oczu, adres zameldowania, numer prawa jazdy, kategorie prawa jazdy, data wydania oraz data ważności prawa jazdy. Zakres danych użytkownika końcowego będącego osobą fizyczną, do przetwarzania których uprawniony jest dostawca publicznie dostępnych usług telekomunikacyjnych, wyznaczają bowiem przepisy ustawy Prawo telekomunikacyjne. Ich wykładnia wskazuje natomiast, że dla zawarcia umowy o świadczenie usług telekomunikacyjnych przedsiębiorca telekomunikacyjny może – bez uzyskiwania zgody klienta - przetwarzać wyłącznie takie dane osobowe, które zostały ujęte w katalogu określonym art. 161 ust. 2 ustawy Prawo telekomunikacyjne, tj.: nazwiska i imiona; imiona rodziców; miejsce i data urodzenia; adres miejsca zamieszkania i adres korespondencyjny, jeżeli jest on inny niż adres miejsca zamieszkania; numer ewidencyjny PESEL; nazwa, seria i numer dokumentów potwierdzających tożsamość, a w przypadku cudzoziemca, który nie jest obywatelem państwa członkowskiego albo Konfederacji Szwajcarskiej - numer paszportu lub karty pobytu; zawartych w dokumentach potwierdzających możliwość wykonania zobowiązania wobec dostawcy publicznie dostępnych usług telekomunikacyjnych wynikającego z umowy o świadczenie usług telekomunikacyjnych. W katalogu tym nie wymieniono takich danych, jak: wizerunek, wzrost, kolor oczu, adres zameldowania, numer prawa jazdy, kategorie prawa jazdy, data wydania oraz data ważności prawa jazdy.
W związku z tym GIODO w drodze decyzji nakazywał przedsiębiorcom telekomunikacyjnym usunięcie uchybień w procesie przetwarzania danych osobowych. Zgodnie ze stanowiskiem organu, przetwarzanie danych osobowych użytkownika będącego osobą fizyczną wykraczających poza katalog określony w art. 161 ust. 2 Prawa telekomunikacyjnego (pozyskanych na skutek skopiowania dokumentu tożsamości) jest możliwe tylko i wyłącznie na podstawie dobrowolnie wyrażonej zgody na przetwarzanie danych osobowych (stosownie do treści art. 161 ust. 3 powołanej ustawy).
Stanowisko GIODO było kwestionowane przez niektórych przedsiębiorców. W ostatnim czasie zostało jednak potwierdzone przez Wojewódzki Sąd Administracyjny w Warszawie, który wyrokami z 18 lutego 2016 r. oraz z 28 marca 2017 r. (sygn. akt II SA/Wa 779/16), oddalił skargi na decyzje GIODO, nie dopatrując się w nich naruszenia prawa.