Urząd Ochrony Danych Osobowych (Urząd, UODO) nieustannie stoi na gruncie ograniczania możliwości kopiowania dowodów osobistych przez różnego rodzaju instytucje finansowe. Dementuje tym samym pojawiające się od czasu do czasu w różnych przekazach prasowych wątpliwości w tym zakresie. Wyjątek, gdzie UODO widzi potrzebę i dopuszcza kopiowanie dowodów osobistych jest związany z zastosowaniem przepisów mających na celu przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu, aczkolwiek z pewnymi zastrzeżeniami.
Niemniej jednak Urząd widzi w tym zakresie niekonsekwentne działanie m.in. banków. W art. 112b Prawa bankowego wskazane jest, że banki mogą co prawda przetwarzać w ramach swojej działalności informacje zawarte w dokumentach tożsamości osób fizycznych, natomiast nie ma tam mowy o każdorazowym ich kopiowaniu, skanowaniu, itp. UODO zatem nie widzi potrzeby wykonywania kopii dowodów osobistych w tak prozaicznych czynnościach, jak założenie konta bankowego, udzielenie pożyczki, czy też zlecenie przelewu. Zdaniem Urzędu wystarczy w powyżej przywołanych przypadkach okazanie dokumentu tożsamości. Niemniej jednak instytucje finansowe, a w tym i banki powołują się na art. 34 ust 4 ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (u.p.p.p.), tj: „Instytucje obowiązane na potrzeby stosowania środków bezpieczeństwa finansowego mogą przetwarzać informacje zawarte w dokumentach tożsamości klienta i osoby upoważnionej do działania w jego imieniu oraz sporządzać ich kopie.” Aczkolwiek, na co zwraca uwagę UODO, przed zastosowaniem środków bezpieczeństwa finansowego instytucje muszą przeprowadzić ocenę ryzyka prania pieniędzy i finansowania terroryzmu (art. 33 u.p.p.p.). Jednocześnie przepisy powołanej ustawy dookreślają (art. 35 u.p.p.p.), kiedy instytucje obowiązane stosują środki bezpieczeństwa finansowego. Mając powyższe na uwadze, jak również fakt, że instytucje finansowe nie są zwolnione ze stosowania ogólnie przyjętych przepisów o ochronie danych osobowych, zdaniem UODO muszą one przed podjęciem przetwarzania danych osobowych zawartych w kopiach dokumentów tożsamości dokonać oceny, czy taka forma przetwarzania jest niezbędna. Jak podkreśla Urząd mamy tutaj do czynienia z zastosowaniem zasady minimalizacji danych osobowych, o której jest mowa w art. 5 ust. 1 lit. c RODO: Dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Czy instytucje finansowe wykonują takie analizy? W kontekście przetwarzania danych osobowych z dowodów osobistych oraz biorąc pod uwagę stanowisko w tym zakresie samego UODO, powinny. W razie kontroli organu nadzorczego będzie mógł się starać przekonać organ o zasadności swojego postepowania w tym zakresie. Inna sprawa czy taka argumentacja przekona Urząd. Sam UODO podkreśla jednak, że każda sprawa powinna być rozstrzygana indywidualnie, a z pozoru dwie takie same sytuacje, przy bliższych oględzinach, mogą się okazać odmienne.
UODO, jak podkreślał w swoich wcześniejszych stanowiskach, wskazuje, że kopiowanie dokumentów tożsamości w bardzo wielu przypadkach prowadzi do pozyskiwania danych wykraczających poza zakres dopuszczalny przepisami prawa, na podstawie których działają dane podmioty. Gdy sporządza się kopię dokumentu tożsamości, Urząd Ochrony Danych Osobowych może badać, czy kopiujący faktycznie jest uprawniony do przetwarzania aż takiego zakresu zawartych tam danych. Organ nadzorczy będzie zatem weryfikował czy zakres przetwarzanych danych jest ograniczony do tego co niezbędne do celów, dla których dane są przetwarzane, czyli czy nie narusza zasady minimalizacji.
Podmioty, które dokonują kopiowania dowodów tożsamości powinny wziąć pod uwagę, że mogą przetwarzać tylko i wyłącznie te dane, które są niezbędne do celu, w którym będą zbierane, np. zawarcia umowy. Biorąc to pod uwagę dane, które znajdują się w obecnie posiadanych przez obywateli RP dowodach tożsamości, takie jak choćby wizerunek, płeć, obywatelstwo, czy w starszych typach dokumentów kolor oczu, wzrost, wydają się informacjami nadmiarowymi i zbędnymi.
Jak już wspomniano powyżej podmiot kopiujący tego typu dane musi umieć wykazać adekwatność ich przetwarzania. Jeżeli nie będzie w stanie tego uczynić wówczas w przypadku kontroli organu nadzorczego może się spodziewać dodatkowych pytań w tym zakresie. Jeżeli będą one mało przekonujące, to mogą się stać podstawą do ewentualnego ukarania takiego podmiotu.
Jednocześnie, gdy podmiot wykonujący np. ksero dowodu tożsamości, tłumaczy się, że dokonuje takiej czynności w związku z ewentualnym dochodzeniem roszczeń w zakresie np. zniszczonego sprzętu, który był przedmiotem umowy, np. wypożyczony samochód, itp., to zdaniem UODO także jest to działanie nadmiarowe. Aby się stosownie zabezpieczyć podmiot taki powinien spisać dane osobowe potrzebne do ewentualnego dochodzenia roszczeń w zakresie zawartej umowy, czyli imię i nazwisko, nr PESEL, nr dokumentu, jeżeli widniej to adres zamieszkania. Nie ma potrzeby wykonywania ksera dowodu osobistego, gdyż będzie to się wiązać z nadmiarowym przetwarzaniem danych osobowych osoby fizycznej. Ponadto w przypadku kradzieży kser dokumentów tożsamości, mogą one posłużyć do kradzieży tożsamości szeregu osób. W podanym powyżej przykładzie widać zasadę minimalizacji danych, która ma chronić osoby fizyczne, których dane mają być przetwarzane tylko i wyłącznie w takim zakresie jaki jest niezbędny do podjęcia stosownych czynności. Oczywiście podmiot zbierający dane osobowe z dokumentów tożsamości musi pamiętać o okresie przechowywania takich danych osobowych. Gdy ustanie cel przetwarzania takich danych należy je usunąć. W przypadku, gdy doszło do skopiowania dokumentu tożsamości, osoba fizyczna, której dane zostały skopiowane ma prawo zgodnie z art. 17 RODO zwrócić się do administratora danych osobowych z żądaniem usunięcia jej danych osobowych. Gdy żądanie takie zostanie poparte wskazaniem, że dane osobowe zostały zebrane niezgodnie z obowiązującym prawem, i wykraczają poza dopuszczalny zakres, podmiot zbierający dane powinien je rozpatrzyć i dochować należytej staranności w zakresie zbadania, czy faktycznie zebrane dane nie powinny zostać usunięte. Należy tutaj pamiętać, że osoba fizyczna, w przypadku, gdy podmiot zbierający, odmówi usunięcia danych osobowych, będzie mogła złożyć skargę na takie rozstrzygnięcie do Urzędu Ochrony Danych Osobowych.
Autor: Radosław Aniszczyk