GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Banki nie zawsze mogą wykonywać ksero dowodu osobistego

Banki nie zawsze mogą wykonywać ksero dowodu osobistego

W dniu 9 września 2019 roku na stronie internetowej Urzędu Ochrony Danych Osobowych zamieszczono stanowisko Prezesa UODO w sprawie kserowania dowodów tożsamości przez banki[1].

Zdaniem Prezesa UODO sporządzenie kopii dowodów tożsamości jest legalne jedynie wtedy, kiedy wynika to wprost z przepisów rangi ustawy. Tymczasem art. 112b Prawa bankowego[2] co prawda pozwala przetwarzać do celów prowadzonej działalności bankowej informacje zawarte w dokumentach tożsamości osób fizycznych (tj. danych na nim umieszczonych), jednakże przepis ten nie mówi wprost o tym, aby banki mogły sporządzać kopie dowodów tożsamości.

W opinii Prezesa UODO w działalności bankowej nie zawsze konieczne jest sporządzenie kopii dowodu tożsamości, banki mogą bowiem weryfikować i spisywać dane osobowe z takiego dokumentu.

Czy zawsze kopiowanie dowodów przez banki jest zabronione?

Zdaniem Prezesa UODO nie. Organ nadzorczy wskazał, że wyraźną podstawą do sporządzenia kopii dokumentu tożsamości przez banki stanowią przepisy ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmowi[3].

Powyższa ustawa określa przypadki[4], w jakich wykonanie przez bank kserokopii dowodu tożsamości będzie legalne. Prezes UODO wskazuje jednak, że nawet w powyższych sytuacjach  każdorazowa decyzja o skopiowaniu dokumentu tożsamości i tak powinna zostać poprzedzona analizą i zweryfikowaniem, czy rzeczywiście zgodnie z zasadami celowości i minimalizacji[5], taka czynność jest niezbędna.

Krytyka stanowiska Prezesa UODO

Powyższe stanowisko Prezesa UODO zostało skrytykowane przez branżę prawniczą. Specjaliści z zakresu ochrony danych osobowych podkreślają m.in., że nie istnieje konstrukcja na gruncie RODO, która wymagałby istnienia ustawowej podstawy dla wykonywania kopii dowodów tożsamości[6] oraz wskazują, że nie ma jakiejkolwiek normy prawa krajowego oraz unijnego, która zakazuje kserowania dokumentów tożsamości[7]. Branża dostrzega problem, że sporządzanie kopii dokumentów tożsamości może ułatwić ich wykorzystywanie do innych celów przez podmioty nieupoważnione, w tym do kradzieży tożsamości, jednakże podkreśla, że nie można twierdzić, że tworzenie kopii czy przetwarzanie jakichkolwiek danych możliwe jest wyłącznie w przypadkach, gdy ustawa wprost mówi o „kserowaniu” czy „kopiowaniu dokumentów tożsamości” i zawężać tym samym wykładnią krajową stosowanie prawa UE[8].

Przychylamy się do powyższych głosów. Aktualnie zauważamy interesującą zależność w działaniu polskiego Urzędu Ochrony Danych Osobowych. Pomimo faktu, że RODO składa się praktycznie w całości z klauzul generalnych, pojęć nieostrych, które dopiero powinny zostać poddane wykładni, polski urząd zdaje się iść w kierunku bardziej restrykcyjnym, zgodnie z którym aby określone działanie było legalne powinno zostać określone wprost w przepisach prawa. Przykładem może być m.in. kontrowersyjne stanowisko Urzędu w sprawie prewencyjnych kontroli trzeźwości pracowników dokonywanych przez pracodawcę[9]. Negatywnie oceniamy powyższą tendencję, w której zdaje się królować wyłącznie wykładnia językowa, podczas gdy nauka prawa wyróżnia jeszcze inne rodzaje wykładni m.in. wykładnię systemową i celowościową.

[1] https://uodo.gov.pl/pl/138/1182;

[2] Art. 112 b Prawa bankowego: „Banki mogą przetwarzać dla celów prowadzonej działalności bankowej informacje zawarte w dokumentach tożsamości osób fizycznych”;

[3] Art. 34 ust. 4 ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmowi: „Instytucje obowiązane na potrzeby stosowania środków bezpieczeństwa finansowego mogą przetwarzać informacje zawarte w dokumentach tożsamości klienta i osoby upoważnionej do działania w jego imieniu oraz sporządzać ich kopie”.

[4]  Art. 35 ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmowi:

  1. Instytucje obowiązane stosują środki bezpieczeństwa finansowego w przypadku:

1) nawiązywania stosunków gospodarczych;

2) przeprowadzania transakcji okazjonalnej:

  1. a) o równowartości 15 000 euro lub większej, bez względu na to, czy transakcja jest przeprowadzana jako pojedyncza operacja, czy kilka operacji, które wydają się ze sobą powiązane, lub
  2. b) która stanowi transfer środków pieniężnych na kwotę przekraczającą równowartość 1000 euro;

3) przeprowadzania gotówkowej transakcji okazjonalnej o równowartości 10 000 euro lub większej, bez względu na to, czy transakcja jest przeprowadzana jako pojedyncza operacja, czy kilka operacji, które wydają się ze sobą powiązane – w przypadku instytucji obowiązanych, o których mowa w art. 2 ust. 1 pkt 23;

4) obstawiania stawek oraz odbioru wygranych o równowartości 2000 euro lub większej, bez względu na to, czy transakcja jest przeprowadzana jako pojedyncza operacja, czy kilka operacji, które wydają się ze sobą powiązane – w przypadku instytucji obowiązanych, o których mowa w art. 2 ust. 1 pkt 20;

5) podejrzenia prania pieniędzy lub finansowania terroryzmu;

6) wątpliwości co do prawdziwości lub kompletności dotychczas uzyskanych danych identyfikacyjnych klienta.

  1. Instytucje obowiązane stosują środki bezpieczeństwa finansowego również w odniesieniu do klientów, z którymi utrzymują stosunki gospodarcze, z uwzględnieniem rozpoznanego ryzyka prania pieniędzy oraz finansowania terroryzmu, w szczególności gdy doszło do zmiany uprzednio ustalonego charakteru lub okoliczności stosunków gospodarczych.

[5] Art. 5 ust. 1 li. b i c RODO;

[6] https://www.linkedin.com/pulse/kopiowa%C4%87-czy-nie-dokumenty-to%C5%BCsamo%C5%9Bci-oto-jest-pawel-litwinski/;

[7]https://www.linkedin.com/pulse/kopiowanie-przez-banki-dokument%C3%B3w-to%C5%BCsamo%C5%9Bci-si%C4%99-do-kawecki/;

[8]  https://www.linkedin.com/pulse/kopiowanie-przez-banki-dokument%C3%B3w-to%C5%BCsamo%C5%9Bci-si%C4%99-do-kawecki/;

[9] https://uodo.gov.pl/pl/138/1076.