12 lipca 2019 r. weszła w życie ustawa o dokumentach publicznych. Wprowadza ona przepis karny określony w art. 58 ustawy, który stanowi, że kto wytwarza, oferuje, zbywa lub przechowuje w celu zbycia replikę dokumentu publicznego, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.

Czytaj także: Dowody osobiste jednak można kserować

Ustawa budzi wiele kontrowersji interpretacyjnych i praktycznych. Pojawia się na przykład wątpliwość prawna dotycząca dopuszczalności kserowania dowodów osobistych przez zakłady ubezpieczeń na potrzeby związane z prowadzeniem działalności ubezpieczeniowej. Rozwiać tą wątpliwość próbuje rzecznik finansowy, który opublikował swoje stanowisko o kopiowaniu dowodów osobistych.

Cele urzędowe, służbowe lub zawodowe

Przede wszystkim w opinii rzecznika, nie ma podstaw do żądania kserokopii dowodu przy zawarciu umowy. W stanowisku odwołano się do art. 2 pkt. 6 ustawy o dokumentach publicznych. Zgodnie z tym przepisem replika dokumentu publicznego to odwzorowanie lub kopia wielkości od 75 proc. do 120 proc. oryginału o cechach autentyczności dokumentu publicznego lub blankietu dokumentu publicznego, z wyłączeniem kserokopii lub wydruku komputerowego dokumentu publicznego wykonanych do celów urzędowych, służbowych lub zawodowych określonych na podstawie odrębnych przepisów lub na użytek osoby, dla której dokument publiczny został wydany.

Rzecznik zauważa, że przepis ten nie wyjaśnia w sposób precyzyjny co oznaczają cele urzędowe, służbowe lub zawodowe. Podmioty rynku finansowego takie jak zakłady ubezpieczeń obowiązane są również stosować przepisy ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu (dalej: ustawa) w celu zabezpieczenia obrotu gospodarczego (w tym obrotu z konsumentami) przed praniem brudnych pieniędzy i innymi działaniami niepożądanymi czy przestępczymi. Zgodnie natomiast z art. 2 ust. 2 pkt. 20 ustawy, poprzez stosunki gospodarcze rozumie się stosunki instytucji obowiązanej z klientem związane z działalnością zawodową instytucji obowiązanej, które w chwili ich nawiązywania wykazują cechę trwałości. Zgodnie natomiast z art. 37 ustawy, weryfikacja tożsamości klienta, osoby upoważnionej do działania w jego imieniu oraz beneficjenta rzeczywistego polega na potwierdzeniu ustalonych danych identyfikacyjnych na podstawie dokumentu stwierdzającego tożsamość osoby fizycznej, dokumentu zawierającego aktualne dane z wyciągu z właściwego rejestru lub innych dokumentów, danych lub informacji pochodzących z wiarygodnego i niezależnego źródła. Stosownie do treści art. 36 ust. 1 pkt. 1) ustawy, identyfikacja klienta polega na ustaleniu w przypadku osoby fizycznej: imienia i nazwiska, obywatelstwa, numeru PESEL, serii i numeru dokumentu stwierdzającego tożsamość osoby, adresu zamieszkania, a w przypadku osób prowadzących działalność gospodarczą nazwy firmy, NIP oraz adresu wykonywania działalności gospodarczej. W świetle art. 58 ustawy o dokumentach publicznych, kto wytwarza, oferuje, zbywa lub przechowuje w celu zbycia replikę dokumentu publicznego, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Przepis ten określa sankcje karne.

Minimalizacja danych

Odnosząc się do zagadnienia dopuszczalności wykonywania kserokopii dowodów osobistych, zdaniem rzecznika finansowego, w pierwszej kolejności należy zwrócić uwagę na zasadę minimalizacji danych określoną w art. 5 ust. 1 pkt c) rozporządzenia z 27 kwietnia 2019 r. RODO. Zgodnie z tym przepisem, dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. RODO wymaga, aby podmiot zbierający i przetwarzający dane (administrator danych osobowych) gromadził i wykorzystywał tylko te dane, które są rzeczywiście zgodne z celami, które chce on osiągnąć przy pomocy tych danych osobowych. Innymi słowy, administrator danych osobowych jest zobowiązany do gromadzenia tylko takich danych, jakie są niezbędne dla określonego celu przetwarzania. Samo kserowanie dowodów jest zaś, w opinii generalnego inspektora ochrony danych osobowych, czynnością stricte techniczną. Taki pogląd wyrażony został również w wyroku Naczelnego Sądu Administracyjnego z 19 grudnia 2001 r. (sygn. akt II SA 2869/2000), zgodnie z którym gromadzenie danych poprzez wykonanie kopii dokumentu zawierającego dane osobowe jest kwestią techniczną; posługiwanie się taką, czy inną techniką utrwalania tych danych (kopiowanie lub przepisywanie) nie przesądza samo przez się o legalności albo nielegalności tego utrwalania (przetwarzania).

Zdaniem rzecznika finansowego, biorąc pod uwagę właśnie zasadę minimalizacji danych, zakłady ubezpieczeń powinny w pierwszej kolejności potwierdzać tożsamość swoich klientów poprzez wgląd do dokumentu, dokonanie kopii niezbędnych danych, a niekoniecznie całego dowodu osobistego czy odnotowanie najistotniejszych informacji (np. numer i seria dowodu osobistego, PESEL, adres zamieszkania), które później będą przydatne dla ubezpieczyciela w toku likwidacji szkody i pozwolą zidentyfikować tożsamość ubezpieczającego. Analogicznie, w przypadku dochodzenia roszczeń przez osoby trzecie – poszkodowanych, identyfikacja poszkodowanego może nastąpić np. poprzez wgląd do jego dowodu osobistego przez likwidatora szkody i identyfikacji tożsamości poszkodowanego, a następnie zanotowania tych danych.

Przez Internet lub telefon

Rzecznik zauważa w swoim stanowisku, że szczególna sytuacja następuje w przypadku zawarcia umowy ubezpieczenia przez Internet bądź przez telefon. Pojawia się wówczas konieczność weryfikacji tożsamości osoby zawierającej umowę, chociażby w tym celu, aby wyeliminować ewentualną możliwość wykorzystania danych osobowych przez osoby trzecie. Jeśli nie możliwe będzie uzyskanie fizycznego wglądu do dokumentu ani zweryfikowanie tożsamości osoby w inny sposób, to konieczne może okazać się wykonanie kopii dowodu osobistego. - W takim przypadku, ubezpieczyciel może zażądać od konsumenta przedłożenia kopii dowodu osobistego – wskazuje rzecznik finansowy. Zaznacza przy tym, że zakład ubezpieczeń powinien zachować maksymalne środki ostrożności w zakresie zebrania i przechowania danych gromadzonych w drodze elektronicznej. Dlatego, powinien stworzyć procedury bezpieczeństwa i podjąć działania zabezpieczające przed ewentualną kradzieżą czy wyciekiem danych osobowych znajdujących się w systemach informatycznych. Rzecznik ostrzega, że zbyt daleko idące przetwarzanie danych osobowych może stanowić naruszenie praw osobistych osób fizycznych, a co najważniejsze stwarzać ryzyko wycieku danych z elektronicznych środków porozumienia się na odległość (e-mail, Internet, chmura danych, wirtualny dysk itp.) co może rodzić dalej idące skutki.

W podsumowaniu rzecznik podkreśla, że kserokopia dowodu powinna być wykonana, gdy pozostałe możliwości związane z identyfikacją tożsamości konsumenta czy poszkodowanego nie przyniosły rezultatu bądź niemożliwa jest identyfikacja danej osoby w innej formie niż sporządzenie kserokopii dowodu osobistego. Kopiowanie dowodu osobistego osoby trzeciej byłoby również dopuszczalne, gdyby istniało uzasadnione podejrzenie popełnienia przestępstwa takiego jak np. próba wyłudzenia świadczenia ubezpieczeniowego, posłużenie się fałszywymi dokumentami, pranie brudnych pieniędzy. Wówczas, też ubezpieczyciele powinni przedstawić uzasadnienie w zakresie dokonania takiej czynności.