W dniu 9 września 2019 roku na stronie internetowej Urzędu Ochrony Danych Osobowych zamieszczono stanowisko Prezesa UODO w sprawie kserowania dowodów tożsamości przez banki[1].
Zdaniem Prezesa UODO sporządzenie kopii dowodów tożsamości jest legalne jedynie wtedy, kiedy wynika to wprost z przepisów rangi ustawy. Tymczasem art. 112b Prawa bankowego[2] co prawda pozwala przetwarzać do celów prowadzonej działalności bankowej informacje zawarte w dokumentach tożsamości osób fizycznych (tj. danych na nim umieszczonych), jednakże przepis ten nie mówi wprost o tym, aby banki mogły sporządzać kopie dowodów tożsamości.
W opinii Prezesa UODO w działalności bankowej nie zawsze konieczne jest sporządzenie kopii dowodu tożsamości, banki mogą bowiem weryfikować i spisywać dane osobowe z takiego dokumentu.
Czy zawsze kopiowanie dowodów przez banki jest zabronione?
Zdaniem Prezesa UODO nie. Organ nadzorczy wskazał, że wyraźną podstawą do sporządzenia kopii dokumentu tożsamości przez banki stanowią przepisy ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmowi[3].
Powyższa ustawa określa przypadki[4], w jakich wykonanie przez bank kserokopii dowodu tożsamości będzie legalne. Prezes UODO wskazuje jednak, że nawet w powyższych sytuacjach każdorazowa decyzja o skopiowaniu dokumentu tożsamości i tak powinna zostać poprzedzona analizą i zweryfikowaniem, czy rzeczywiście zgodnie z zasadami celowości i minimalizacji[5], taka czynność jest niezbędna.
Krytyka stanowiska Prezesa UODO
Powyższe stanowisko Prezesa UODO zostało skrytykowane przez branżę prawniczą. Specjaliści z zakresu ochrony danych osobowych podkreślają m.in., że nie istnieje konstrukcja na gruncie RODO, która wymagałby istnienia ustawowej podstawy dla wykonywania kopii dowodów tożsamości[6] oraz wskazują, że nie ma jakiejkolwiek normy prawa krajowego oraz unijnego, która zakazuje kserowania dokumentów tożsamości[7]. Branża dostrzega problem, że sporządzanie kopii dokumentów tożsamości może ułatwić ich wykorzystywanie do innych celów przez podmioty nieupoważnione, w tym do kradzieży tożsamości, jednakże podkreśla, że nie można twierdzić, że tworzenie kopii czy przetwarzanie jakichkolwiek danych możliwe jest wyłącznie w przypadkach, gdy ustawa wprost mówi o „kserowaniu” czy „kopiowaniu dokumentów tożsamości” i zawężać tym samym wykładnią krajową stosowanie prawa UE[8].
Przychylamy się do powyższych głosów. Aktualnie zauważamy interesującą zależność w działaniu polskiego Urzędu Ochrony Danych Osobowych. Pomimo faktu, że RODO składa się praktycznie w całości z klauzul generalnych, pojęć nieostrych, które dopiero powinny zostać poddane wykładni, polski urząd zdaje się iść w kierunku bardziej restrykcyjnym, zgodnie z którym aby określone działanie było legalne powinno zostać określone wprost w przepisach prawa. Przykładem może być m.in. kontrowersyjne stanowisko Urzędu w sprawie prewencyjnych kontroli trzeźwości pracowników dokonywanych przez pracodawcę[9]. Negatywnie oceniamy powyższą tendencję, w której zdaje się królować wyłącznie wykładnia językowa, podczas gdy nauka prawa wyróżnia jeszcze inne rodzaje wykładni m.in. wykładnię systemową i celowościową.
[1] https://uodo.gov.pl/pl/138/1182;
[2] Art. 112 b Prawa bankowego: „Banki mogą przetwarzać dla celów prowadzonej działalności bankowej informacje zawarte w dokumentach tożsamości osób fizycznych”;
[3] Art. 34 ust. 4 ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmowi: „Instytucje obowiązane na potrzeby stosowania środków bezpieczeństwa finansowego mogą przetwarzać informacje zawarte w dokumentach tożsamości klienta i osoby upoważnionej do działania w jego imieniu oraz sporządzać ich kopie”.
[4] Art. 35 ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmowi:
- Instytucje obowiązane stosują środki bezpieczeństwa finansowego w przypadku:
1) nawiązywania stosunków gospodarczych;
2) przeprowadzania transakcji okazjonalnej:
- a) o równowartości 15 000 euro lub większej, bez względu na to, czy transakcja jest przeprowadzana jako pojedyncza operacja, czy kilka operacji, które wydają się ze sobą powiązane, lub
- b) która stanowi transfer środków pieniężnych na kwotę przekraczającą równowartość 1000 euro;
3) przeprowadzania gotówkowej transakcji okazjonalnej o równowartości 10 000 euro lub większej, bez względu na to, czy transakcja jest przeprowadzana jako pojedyncza operacja, czy kilka operacji, które wydają się ze sobą powiązane – w przypadku instytucji obowiązanych, o których mowa w art. 2 ust. 1 pkt 23;
4) obstawiania stawek oraz odbioru wygranych o równowartości 2000 euro lub większej, bez względu na to, czy transakcja jest przeprowadzana jako pojedyncza operacja, czy kilka operacji, które wydają się ze sobą powiązane – w przypadku instytucji obowiązanych, o których mowa w art. 2 ust. 1 pkt 20;
5) podejrzenia prania pieniędzy lub finansowania terroryzmu;
6) wątpliwości co do prawdziwości lub kompletności dotychczas uzyskanych danych identyfikacyjnych klienta.
- Instytucje obowiązane stosują środki bezpieczeństwa finansowego również w odniesieniu do klientów, z którymi utrzymują stosunki gospodarcze, z uwzględnieniem rozpoznanego ryzyka prania pieniędzy oraz finansowania terroryzmu, w szczególności gdy doszło do zmiany uprzednio ustalonego charakteru lub okoliczności stosunków gospodarczych.
[5] Art. 5 ust. 1 li. b i c RODO;
[6] https://www.linkedin.com/pulse/kopiowa%C4%87-czy-nie-dokumenty-to%C5%BCsamo%C5%9Bci-oto-jest-pawel-litwinski/;
[7]https://www.linkedin.com/pulse/kopiowanie-przez-banki-dokument%C3%B3w-to%C5%BCsamo%C5%9Bci-si%C4%99-do-kawecki/;
[8] https://www.linkedin.com/pulse/kopiowanie-przez-banki-dokument%C3%B3w-to%C5%BCsamo%C5%9Bci-si%C4%99-do-kawecki/;
