Dopuszczalność kopiowania dokumentów tożsamości

Autor: Marcin Soczko — w kategorii Blog — 26 kwietnia 2019

26

Kwi
2019

Często w mediach wraca temat kopiowania dowodów osobistych. Również i podczas naszej współpracy z Klientami pojawiają się pytania w przedmiotowej kwestii. Przypadki kopiowania dokumentów tożsamości zdarzają się zarówno w sytuacjach służbowych, jak i prywatnych.

Jeszcze kilka lat temu nagminne były także, o wiele bardziej niewłaściwe, przypadki zatrzymywania tego lub innego dokumentu jako zastawu za wypożyczony sprzęt, w trakcie korzystania z czytelni w bibliotece lub podczas noclegu w hotelu. Całkiem niedawno stwierdzaliśmy podobne przypadki również w innych krajach UE.

Zatrzymanie dowodu osobistego

Nieuprawnione skopiowanie dowodu osobistego narusza przepisy o ochronie danych osobowych. Natomiast zatrzymanie bez podstawy prawnej cudzego dowodu osobistego jest wykroczeniem, penalizowanym na podstawie art. 79 Ustawy o dowodach osobistych. Grozi za nie kara grzywny lub ograniczenia wolności.

Dowód osobisty można zatrzymać w bardzo szczególnych sytuacjach, gdy jest to rzeczywiście uzasadnione. Takie uprawnienia ma np. policjant w przypadku podejrzenia jego podrobienia lub przerobienia.

Proceder przechowywania dokumentu tożsamości przez osoby nieuprawnione na szczęście ograniczono. Przyczynił się do tego organ nadzorczy, jeszcze za poprzedniego stanu prawnego oraz dość zauważalna kampania medialna w tej sprawie. Niestety, przypadków zatrzymywania dowodu osobistego nie wyeliminowano jeszcze całkowicie.

Wróćmy jednak do kwestii kopiowania dowodu osobistego. Jest to sytuacja wciąż bardzo częsta, zwłaszcza w firmach z branży finansowej.

Kopiowanie dowodów osobistych przez banki

Do niedawna niemal powszechna była opinia, że Prawo bankowe uprawnia, czy wręcz zobowiązuje, banki do zbierania danych osobowych swoich klientów w tej postaci. Jako podstawę prawną bankowcy podawali art. 112b Prawa bankowego. Zawarto w nim regulację, iż banki mogą przetwarzać, dla celów prowadzonej działalności bankowej, informacje zawarte w dokumentach tożsamości osób fizycznych.

Obecnie, w związku z równoczesnym występowaniem kliku wzorów dowodów osobistych, przepis ten jest wyjątkowo nieprecyzyjny. Jednakże niemal oczywiste jest, że przetwarzanie pełnego zakresu informacji zawartego w dokumencie nie jest równoznaczne ze stworzeniem jego kopii.

Dostępna obecnie technologia pozwala tworzyć kopie dokumentów – w niektórych sytuacjach – nierozróżnialne od oryginałów. Naraża to właścicieli skopiowanych dowodów osobistych na wymierne straty. Wejście w ich posiadanie mogłoby skutkować użyciem kopii, jako oryginału w nieuprawniony sposób, z kradzieżą tożsamości włącznie.

Zgodnie z oficjalnym stanowiskiem GIODO, poprzednika obecnego organu nadzorczego, potwierdzonym jednym z wyroków NSA, stworzenie kopii dokumentu, jest – z punktu widzenia przetwarzania danych osobowych – jedynie czynnością techniczną. Czynność ta pozwala na zebranie danych w pełnym dopuszczalnym zakresie.

Zdaniem naszych ekspertów, kopie powinny być wykonywane w taki sposób, aby nie dało się ich później wykorzystać niezgodnie z pierwotnym celem. Chodzi o to, aby po utrwaleniu danych w systemie informatycznym banku, sama kopia dowodu osobistego była niszczona lub zawierała zintegrowane z nią oznaczenie, pozwalające odróżnić ją od oryginału.

Dodatkowo pracownicy instytucji bankowych powinni mieć na względzie, że najnowszy wzór dowodu osobistego zawiera o wiele mniejszy zakres danych niż poprzednie. Zatem w przypadku wymiany dokumentu tożsamości przez klienta i zgłoszenia tego faktu do banku, pewien zakres zebranych wcześniej danych może nie być adekwatny do katalogu wynikającego z art. 112b. Takie dane należy usunąć, oczywiście razem z kopią poprzedniego dowodu osobistego klienta, który przestał być dokumentem tożsamości.

Kopiowanie dowodów tożsamości przez inne instytucje finansowe

Banki, to nie jedyne instytucje, w których masowo zbiera się kopie dokumentów tożsamości. Mamy tu na myśli zarówno dowody osobiste, jak i paszporty w przypadku cudzoziemców. Instytucje finansowe zobowiązane są, na podstawie art. 34 (nowej) Ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, do identyfikacji klienta oraz beneficjenta rzeczywistego i weryfikacji ich tożsamości, w określonych w przedmiotowej ustawie przypadkach.

Zgodnie z ust. 4 w/w artykułu, instytucje te, na potrzeby stosowania środków bezpieczeństwa finansowego, mogą przetwarzać informacje zawarte w dokumentach tożsamości klienta i osoby upoważnionej do działania w jego imieniu. Mogą również sporządzać ich kopie. Uprawnienie to jest wyraźniejsze niż w Prawie bankowym. Tym chętniej będzie ono wykorzystywane również przez banki (choć nie powinno być nadużywane).

Należy jednak pamiętać, że obydwa przepisy wskazują na uprawnienie (a nie obowiązek) instytucji finansowych do przetwarzania danych w szczególnym zakresie. Skorzystanie z niego będzie oznaczało przetwarzanie na podstawie prawnie uzasadnionego interesu administratora (zgodnie z art. 6 ust. 1 lit. f RODO), ze wszystkimi tego konsekwencjami. Spowoduje to również zwiększenie się ryzyka naruszenia praw lub wolności podmiotów danych.

Zatem organizując procesy np. realizacji obowiązków wynikających z przepisów dotyczących przeciwdziałania praniu pieniędzy, należy zastanowić się, czy rzeczywiście warto z tych uprawnień korzystać.

W jaki sposób powinna być realizowana zasada minimalizacji przy przetwarzaniu danych osobowych i chęć zmitygowania ryzyka przy realizacji obowiązków przepisów prawa? Otóż przy zawieraniu umowy z klientem to pracownik instytucji finansowej weryfikuje tożsamość osoby na podstawie okazanego dokumentu tożsamości. Następnie zapisuje jego cechy takie jak seria i numer, na potrzeby ewentualnej konieczności rejestracji transakcji, której klient byłby beneficjentem.

A co w przypadku, gdy beneficjentem rzeczywistym jest inna osoba, której tożsamości nie można zweryfikować bezpośrednio, a jedynie na podstawie kopii dokumentu tożsamości? Wówczas po utrwaleniu niezbędnych danych, tak jak w przypadku banków, kopia dokumentu powinna zostać zniszczona lub trwale oznaczona tak, aby różniła się od oryginału.

Na koniec należy podkreślić, że opisywane w artykule uprawnienia dotyczą tylko podmiotów określonych w przepisach prawa i tylko w określonych sytuacjach. Zatem wszyscy inni przedsiębiorcy nie mogą wykonywać kopii dokumentów tożsamości.

Jednakże chęć automatyzowania procesów zbierania danych, w tym zapewnienia ich poprawności – co również jest fundamentalną zasadą zdefiniowaną w RODO – powoduje, że powstają narzędzia do automatycznego pozyskiwania tylko określonych danych z dokumentów tożsamości bez rejestracji ich pełnej kopii. Takie działania są uprawnione, pod warunkiem spełnienia wszystkich obowiązków RODO.

Dołącz do dyskusji

Newsletter

Podanie adresu e-mail i potwierdzenie go przez kliknięcie przycisku "Zapisz", oznacza zgodę na przetwarzanie danych osobowych w tym zakresie, wyłącznie w celu dostarczania biuletynu informacyjnego "Newsletter", który zawiera m.in. artykuły dotyczące ochrony danych, bezpieczeństwa informacji, oferty, informacje o szkoleniach, do czasu wycofania zgody, np. za pomocą linku znajdującego się w stopce wiadomości zawierającej "Newsletter". Szczegóły dotyczące przetwarzania danych zawarte są w Polityce prywatności.