Zdarza się, że instytucje finansowe, w tym m.in. banki, zawierając z nami umowy na świadczenie różnego rodzaju usług, jak np. założenie i prowadzenie konta bankowego, obsługa bankowości elektronicznej, udzielenie pożyczki, a nawet realizacja zlecenia przelewu, wykonują kopię naszego dokumentu tożsamości. Swoje działanie uzasadniają stosowaniem środków bezpieczeństwa finansowego, o których mowa w ustawie z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu. Wskazują, że zgodnie z jej art. 34 ust. 4 instytucje obowiązane na potrzeby stosowania środków bezpieczeństwa finansowego mogą przetwarzać informacje zawarte w dokumentach tożsamości klienta i osoby upoważnionej do działania w jego imieniu oraz sporządzać ich kopie.
Tymczasem UODO niezmiennie stoi na stanowisku, że przepis nie uprawnia instytucji finansowych do kopiowania dowodu tożsamości klientów w każdej sytuacji.
Tak, ale nie przy każdej czynności
Urząd wskazuje, że zgodnie z art. 112b Prawa bankowego, banki mogą przetwarzać dla celów prowadzonej działalności bankowej informacje zawarte w dokumentach tożsamości osób fizycznych.
- Oznacza to jedynie tyle, że na jego podstawie mają one prawo przetwarzać wszystkie dane osobowe klientów, które są zawarte w dokumentach tożsamości. Nie jest to natomiast równoznaczne z uprawnieniem do wykonywania kopii tych dokumentów. Najczęściej bowiem wystarczające jest okazanie dokumentu tożsamości do wglądu - wyjaśnia UODO.
Zgodnie z przepisami ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, instytucje obowiązane, do których należą m.in. banki, ale też fundusze inwestycyjne, przedsiębiorcy prowadzący działalność kantorową w rozumieniu ustawy z dnia 27 lipca 2002 r. – Prawo dewizowe czy notariusze w zakresie wymienionych w powołanej ustawie czynności dokonywanych w formie aktu notarialnego, są uprawnione, by na potrzeby stosowania środków bezpieczeństwa finansowego wykonywać kopie dokumentów tożsamości.
- Sporządzanie kopii dowodów tożsamości przez instytucje finansowe jest więc legalne jedynie wtedy, kiedy konieczne jest zastosowanie środków bezpieczeństwa mających na celu przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu - wskazuje UODO. - Co jednak ważne, przed zastosowaniem środków bezpieczeństwa finansowego muszą przeprowadzić ocenę ryzyka prania pieniędzy i finansowania terroryzmu - przypominana Urząd. Jednocześnie przepisy tej ustawy precyzują (art. 35), kiedy instytucje obowiązane stosują środki bezpieczeństwa finansowego - dodaje.
Czytaj więcej
Nie należy godzić się na zatrzymywanie oraz kopiowanie dokumentów, nawet jeżeli przedsiębiorca tłumaczy, że jest to wymagane do dochodzenia ewentualnych roszczeń za zniszczony czy niezwrócony sprzęt.
Instytucje finansowe jako administratorzy danych, są zobowiązane do stosowania przepisów ogólnego rozporządzenia o ochronie danych (RODO). Zatem przed zastosowaniem środków bezpieczeństwa finansowego muszą dokonać oceny, czy przetwarzanie na te potrzeby danych osobowych osoby fizycznej zawartych w kopii dowodu osobistego jest niezbędne. Zgodnie bowiem z zasadami ograniczenia celu i minimalizacji danych, o których mowa w art. 5 RODO, dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach, a także adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, w których są przetwarzane.
UODO poglądu nie zmienił
Po niedawnych publikacjach w mediach sugerujących, że UODO zmienił stanowisko w kwestii kopiowania dokumentów tożsamości, Urząd stawia sprawę jasno:
- Rekomendacje UODO w tym zakresie pozostają niezmienne i są opisane na stronie internetowej organu m.in. w tekstach „Banki nie zawsze mogą kserować dowód osobisty” [https://uodo.gov.pl/pl/138/1182] oraz „Zakaz wykonywania replik dokumentów publicznych ograniczy kradzieże tożsamości” [https://uodo.gov.pl/pl/138/1097].
Jednocześnie UODO podkreśla, że informacje publikowane na jego stronie internetowej mają charakter informacyjno-edukacyjny i nakreślają pewien kierunek interpretacji.
Natomiast wiążąco UODO wypowiada się jedynie w decyzji administracyjnej wydawanej po zbadaniu wszystkich okoliczności danego przypadku.
- Działalność administratorów jest zróżnicowana i uzależniona od różnych czynników instytucjonalno-prawnych oraz organizacyjnych, które mogą mieć istotny wpływ na ostateczną ocenę. Niekiedy rozstrzygnięcia organu nadzorczego wydane w podobnych z pozoru sprawach mogą się zatem różnić. Dopiero lektura decyzji pozwala poznać szczególne okoliczności, które wpłynęły na ostateczny osąd organu - wskazuje Urząd.
