Skanowanie dowodów pod lupą: nadmiarowy środek czy konieczność?

Stanowisko Prezesa Urzędu Ochrony Danych Osobowych (PUODO) wyrażone w decyzji z 23 lipca 2025 r. (DKN.5112.6.2020) kwestionujące rutynowe skanowanie dokumentów tożsamości przez banki, postawiło sektor finansowy przed koniecznością weryfikacji dotychczasowej praktyki. PUODO podważa tę praktykę, argumentując , że narusza ona zasadę minimalizacji danych osobowych oraz odbywa się bez odpowiedniej podstawy prawnej.

Tymczasem banki stoją w obliczu rosnącej fali przestępstw związanych z kradzieżą tożsamości i fałszerstwem dokumentów. Jakie konsekwencje dla bezpieczeństwa sektora finansowego niesie zatem podejście regulatora? Analizujemy kolizję dwóch wartości prawnie chronionych: prawa do ochrony danych osobowych oraz prawa do bezpieczeństwa finansowego obywateli.

Co mówią liczby?

Statystyki dotyczące fałszerstw dokumentów tożsamości pokazują, że zjawisko to nabiera znaczenia w skali globalnej. W ostatnich latach liczba prób oszustw systematycznie rośnie, a przestępcy sięgają po coraz bardziej wyszukane metody, by uzyskać dostęp do naszych danych osobowych i dokumentów tożsamości.

Świadomy skali wyzwań, sektor finansowy przygotowuje się do implementacji europejskich standardów dotyczących systemu tożsamości cyfrowej na polskim rynku. Warto więc przyjrzeć się badaniom rynkowym, które wykazują rosnący trend związany z czarnym rynkiem kradzieży tożsamości, zarówno w Polsce, jak i na świecie.

Kradzież tożsamości w Polsce

Raport o dokumentach infoDOK, przygotowany w 2025 r. przez Związek Banków Polskich, jest cyklicznym opracowaniem analizującym skalę i charakter przestępstw związanych z fałszerstwem dokumentów tożsamości w Polsce. Badanie zostało przeprowadzone na podstawie informacji udzielonych przez banki, policję oraz Biuro Informacji Kredytowej.

Z raportu wynika, że w samym III kwartale 2025 r. w Polsce odnotowano 2835 przypadków posługiwania się dokumentem innej osoby oraz aż 7705 przypadków podrobienia dokumentów. Łącznie to ponad 10500 przestępstw związanych z dokumentami tożsamości w zaledwie trzy miesiące.

Kradzież tożsamości na świecie

Z raportu „Consumer Sentinel Network Data Book 2024” amerykańskiej Federalnej Komisji Handlu (FTC) wynika, że w 2024 r. zgłoszono 1135270 przypadków kradzieży tożsamości, o 9,5 proc. względem poprzedniego roku. Szacuje się, że aż 30 proc. Amerykanów doświadczyło kradzieży tożsamości w ostatnim roku, a ponad 9 mln tożsamości jest kradzionych rocznie na świecie. W samych USA straty finansowe związane z tymi przestępstwami wyniosły 12,5 mld dol.

Najnowszy raport SOCTA z 2025 r. (Serious and Organised Crime Threat Assessment) opublikowany przez Europol, prezentuje wyzwania, jakie stoją przed organami ścigania i sektorem publicznym w obliczu coraz bardziej wyrafinowanych metod fałszerstw dokumentów tożsamości. Raport SOCTA podkreśla m.in., że fałszywe dokumenty tożsamości pełnią istotną rolę w funkcjonowaniu struktur terrorystycznych oraz współczesnej przestępczości zorganizowanej, gdzie służą do ukrywania tożsamości i ułatwiania działań operacyjnych.

W świetle powyższego, weryfikacja fizycznego dokumentu tożsamości pozostaje najbardziej kompleksowym i bezpiecznym sposobem potwierdzenia tożsamości, szczególnie w obliczu ryzyk związanych z wykorzystaniem AI do podrabiania tych dokumentów.

Ochrona prywatności klientów wobec obowiązków nakładanych na banki przez AML

Już w 2004 r. ustawodawca dostrzegł potrzebę uregulowania kwestii przetwarzania przez banki danych z dowodów tożsamości klientów i w tym celu wprowadził do ustawy Prawo bankowe art. 112b, przyznający bankom prawo do przetwarzania danych z dokumentów tożsamości. Zatem skanowanie dokumentów tożsamości od lat stanowi standard rynkowy w sektorze bankowym, nie tylko w Polsce, ale także w innych państwach Unii Europejskiej. Banki uprawnione są do tego na podstawie ustawy AML (o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu), która wymaga stosowania środków bezpieczeństwa finansowego podczas nawiązywania stosunku gospodarczego, a także w trakcie jego trwania. Stosowanie powyższych środków polega w szczególności na identyfikacji i weryfikacji klienta. Zgodnie z art. 36 ust. 1 ustawy AML weryfikacja musi obejmować m.in. pozyskanie serii i numeru dowodu osobistego, a następnie – na podstawie art. 34 ust. 4 AML – bank ma prawo wykonać jego kopię oraz przetwarzać dane w nim zawarte. Wypełnienie powyższych norm prawnych przez instytucje finansowe wymaga zatem zachowania pozyskanych danych w swoich wewnętrznych bazach.

Skuteczność mechanizmów weryfikacyjnych opartych na skanowaniu dokumentów tożsamości najlepiej ilustrują dane statystyczne. Jak wynika z raportu infoDOK, w III kwartale 2025 r. polskie banki udaremniły 3629 prób wyłudzeń kredytów z wykorzystaniem cudzych danych na łączną kwotę 78,3 mln zł. Dane zatem jasno wskazują, że problem jest realny, a banki stosują środki ochrony, które przynoszą wymierne efekty.

Zasada minimalizacji danych a realia sektora finansowego

Stanowisko PUODO wyrażone w jego decyzji jest formalnie spójne z literą RODO. Jednakże należy także uwzględnić realia współczesnej przestępczości finansowej oraz ciążących na bankach obowiązków. PUODO postuluje, aby banki przeprowadzały indywidualną ocenę ryzyka prania pieniędzy i finansowania terroryzmu w odniesieniu do każdej konkretnej sytuacji, co miałoby uzasadniać selektywne skanowanie dokumentów tylko w przypadkach „podwyższonego ryzyka”. Tymczasem – jak wskazują statystyki – ryzyko kradzieży tożsamości i fałszowania dokumentów ma charakter obiektywny i permanentny. Ryzyko to istnieje więc zawsze i uzasadnia każdorazową oraz kompleksową weryfikację klienta za pomocą jego dowodu tożsamości. Zatem w przeciwdziałaniu tego rodzaju przestępstwom nie może być mowy o „nadmiarowości środków” (jak to określił w decyzji PUODO w odniesieniu do skanowania dowodów uznanych w jego ocenie za zbędne), bowiem każde pominięcie weryfikacji stwarza lukę, która może zostać wykorzystana przez przestępców.

Do czasu pełnego uruchomienia systemu tożsamości cyfrowej priorytetem powinno pozostawać zapewnienie ochrony klienta przed ryzykiem nadużyć za pomocą podstawowych metod weryfikacji, takich jak skan dowodu tożsamości. PUODO neguje także istnienie podstawy prawnej dla przetwarzania danych z dokumentów tożsamości w odniesieniu do powszechnego pozyskiwania ich kopii. Organ odrzuca przetwarzanie tak pozyskanych danych m.in. na podstawie prawnej z art. 6 ust. 1 lit. d) RODO (przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej) oraz art. 6 ust. 1 lit. e) RODO (przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym).

Stanowisko to nie uwzględnia systemowej roli banków w architekturze bezpieczeństwa finansowego. Instytucje te działają bowiem nie tylko w interesie indywidualnego klienta, chroniąc go przed kradzieżą tożsamości (w większości przypadków także przed kradzieżą środków majątkowych), ale wykonują również niezwykle istotną funkcję w interesie publicznym, chroniąc integralność całego sektora finansowego przed infiltracją kapitału pochodzącego z działalności przestępczej.

PUODO kwestionuje proporcjonalność przetwarzania danych zawartych w dowodzie osobistym, takich jak m.in. wizerunek (zdjęcie) czy podpis, uznając je za nadmierne w stosunku do celu identyfikacji. Tymczasem, wizerunek jest niezbędny nie tylko do bieżącej identyfikacji, ale także do późniejszego porównania z nagraniami monitoringu czy ustalenia sprawcy przez organy ścigania. Podpis z kolei pozwala wykryć rozbieżności w dokumentach, ułatwiając ujawnienie ich fałszerstw czy podrabiania.

Skanowanie dokumentów to konieczna ochrona

Praktyka skanowania dowodów tożsamości przez banki wynika z wieloletniego doświadczenia rynku i wypracowanych standardów bezpieczeństwa, a ostatnio także alarmujących statystyk dotyczących skali przestępstw związanych z kradzieżą tożsamości. Ponadto, ewolucja nowoczesnych narzędzi AI wymusza na sektorze finansowym adaptację do coraz bardziej wymagających i złożonych metod fałszerstw.

Podkreślenia wymaga także szczególna pozycja banków jako instytucji zaufania publicznego. Społeczne postrzeganie odpowiedzialności w przypadku naruszeń bezpieczeństwa jest asymetryczne – ostatecznie to właśnie banki są rozliczane z zawodności swoich systemów weryfikacji, a nie organy nadzoru, zaś negatywne skutki dotkną klientów banków.