Dopuszczalność kopiowania dokumentów tożsamości

Autor: Marcin Soczko — w kategorii Blog — 26 kwietnia 2019

26

kwi
2019

Często w mediach wraca temat kopiowania dowodów osobistych. Również i podczas naszej współpracy z Klientami pojawiają się pytania w przedmiotowej kwestii. Przypadki kopiowania dokumentów tożsamości zdarzają się zarówno w sytuacjach służbowych, jak i prywatnych.

Jeszcze kilka lat temu nagminne były także, o wiele bardziej niewłaściwe, przypadki zatrzymywania tego lub innego dokumentu jako zastawu za wypożyczony sprzęt, w trakcie korzystania z czytelni w bibliotece lub podczas noclegu w hotelu. Całkiem niedawno stwierdzaliśmy podobne przypadki również w innych krajach UE.

Zatrzymanie dowodu osobistego

Nieuprawnione skopiowanie dowodu osobistego narusza przepisy o ochronie danych osobowych. Natomiast zatrzymanie bez podstawy prawnej cudzego dowodu osobistego jest wykroczeniem, penalizowanym na podstawie art. 79 Ustawy o dowodach osobistych. Grozi za nie kara grzywny lub ograniczenia wolności.

Dowód osobisty można zatrzymać w bardzo szczególnych sytuacjach, gdy jest to rzeczywiście uzasadnione. Takie uprawnienia ma np. policjant w przypadku podejrzenia jego podrobienia lub przerobienia.

Proceder przechowywania dokumentu tożsamości przez osoby nieuprawnione na szczęście ograniczono. Przyczynił się do tego organ nadzorczy, jeszcze za poprzedniego stanu prawnego oraz dość zauważalna kampania medialna w tej sprawie. Niestety, przypadków zatrzymywania dowodu osobistego nie wyeliminowano jeszcze całkowicie.

Wróćmy jednak do kwestii kopiowania dowodu osobistego. Jest to sytuacja wciąż bardzo częsta, zwłaszcza w firmach z branży finansowej.

Kopiowanie dowodów osobistych przez banki

Do niedawna niemal powszechna była opinia, że Prawo bankowe uprawnia, czy wręcz zobowiązuje, banki do zbierania danych osobowych swoich klientów w tej postaci. Jako podstawę prawną bankowcy podawali art. 112b Prawa bankowego. Zawarto w nim regulację, iż banki mogą przetwarzać, dla celów prowadzonej działalności bankowej, informacje zawarte w dokumentach tożsamości osób fizycznych.

Obecnie, w związku z równoczesnym występowaniem kliku wzorów dowodów osobistych, przepis ten jest wyjątkowo nieprecyzyjny. Jednakże niemal oczywiste jest, że przetwarzanie pełnego zakresu informacji zawartego w dokumencie nie jest równoznaczne ze stworzeniem jego kopii.

Dostępna obecnie technologia pozwala tworzyć kopie dokumentów – w niektórych sytuacjach – nierozróżnialne od oryginałów. Naraża to właścicieli skopiowanych dowodów osobistych na wymierne straty. Wejście w ich posiadanie mogłoby skutkować użyciem kopii, jako oryginału w nieuprawniony sposób, z kradzieżą tożsamości włącznie.

Zgodnie z oficjalnym stanowiskiem GIODO, poprzednika obecnego organu nadzorczego, potwierdzonym jednym z wyroków NSA, stworzenie kopii dokumentu, jest – z punktu widzenia przetwarzania danych osobowych – jedynie czynnością techniczną. Czynność ta pozwala na zebranie danych w pełnym dopuszczalnym zakresie.

Zdaniem naszych ekspertów, kopie powinny być wykonywane w taki sposób, aby nie dało się ich później wykorzystać niezgodnie z pierwotnym celem. Chodzi o to, aby po utrwaleniu danych w systemie informatycznym banku, sama kopia dowodu osobistego była niszczona lub zawierała zintegrowane z nią oznaczenie, pozwalające odróżnić ją od oryginału.

Dodatkowo pracownicy instytucji bankowych powinni mieć na względzie, że najnowszy wzór dowodu osobistego zawiera o wiele mniejszy zakres danych niż poprzednie. Zatem w przypadku wymiany dokumentu tożsamości przez klienta i zgłoszenia tego faktu do banku, pewien zakres zebranych wcześniej danych może nie być adekwatny do katalogu wynikającego z art. 112b. Takie dane należy usunąć, oczywiście razem z kopią poprzedniego dowodu osobistego klienta, który przestał być dokumentem tożsamości.

Kopiowanie dowodów tożsamości przez inne instytucje finansowe

Banki, to nie jedyne instytucje, w których masowo zbiera się kopie dokumentów tożsamości. Mamy tu na myśli zarówno dowody osobiste, jak i paszporty w przypadku cudzoziemców. Instytucje finansowe zobowiązane są, na podstawie art. 34 (nowej) Ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, do identyfikacji klienta oraz beneficjenta rzeczywistego i weryfikacji ich tożsamości, w określonych w przedmiotowej ustawie przypadkach.

Zgodnie z ust. 4 w/w artykułu, instytucje te, na potrzeby stosowania środków bezpieczeństwa finansowego, mogą przetwarzać informacje zawarte w dokumentach tożsamości klienta i osoby upoważnionej do działania w jego imieniu. Mogą również sporządzać ich kopie. Uprawnienie to jest wyraźniejsze niż w Prawie bankowym. Tym chętniej będzie ono wykorzystywane również przez banki (choć nie powinno być nadużywane).

Należy jednak pamiętać, że obydwa przepisy wskazują na uprawnienie (a nie obowiązek) instytucji finansowych do przetwarzania danych w szczególnym zakresie. Skorzystanie z niego będzie oznaczało przetwarzanie na podstawie prawnie uzasadnionego interesu administratora (zgodnie z art. 6 ust. 1 lit. f RODO), ze wszystkimi tego konsekwencjami. Spowoduje to również zwiększenie się ryzyka naruszenia praw lub wolności podmiotów danych.

Zatem organizując procesy np. realizacji obowiązków wynikających z przepisów dotyczących przeciwdziałania praniu pieniędzy, należy zastanowić się, czy rzeczywiście warto z tych uprawnień korzystać.

W jaki sposób powinna być realizowana zasada minimalizacji przy przetwarzaniu danych osobowych i chęć zmitygowania ryzyka przy realizacji obowiązków przepisów prawa? Otóż przy zawieraniu umowy z klientem to pracownik instytucji finansowej weryfikuje tożsamość osoby na podstawie okazanego dokumentu tożsamości. Następnie zapisuje jego cechy takie jak seria i numer, na potrzeby ewentualnej konieczności rejestracji transakcji, której klient byłby beneficjentem.

A co w przypadku, gdy beneficjentem rzeczywistym jest inna osoba, której tożsamości nie można zweryfikować bezpośrednio, a jedynie na podstawie kopii dokumentu tożsamości? Wówczas po utrwaleniu niezbędnych danych, tak jak w przypadku banków, kopia dokumentu powinna zostać zniszczona lub trwale oznaczona tak, aby różniła się od oryginału.

Na koniec należy podkreślić, że opisywane w artykule uprawnienia dotyczą tylko podmiotów określonych w przepisach prawa i tylko w określonych sytuacjach. Zatem wszyscy inni przedsiębiorcy nie mogą wykonywać kopii dokumentów tożsamości.

Jednakże chęć automatyzowania procesów zbierania danych, w tym zapewnienia ich poprawności – co również jest fundamentalną zasadą zdefiniowaną w RODO – powoduje, że powstają narzędzia do automatycznego pozyskiwania tylko określonych danych z dokumentów tożsamości bez rejestracji ich pełnej kopii. Takie działania są uprawnione, pod warunkiem spełnienia wszystkich obowiązków RODO.

Aktualizacja 14.10.2019 r.

Zakaz tworzenia replik dokumentów

Nieco zamieszania wprowadziła ustawa z dnia 22 listopada 2018 r. o dokumentach publicznych, która weszła w życie po półrocznym vacatio legis w lipcu 2019 r. Ustawa ta wprowadziła zakaz sporządzania replik dokumentów publicznych oraz poważne sankcje za tego typu działania. Zamieszanie potęgowały niektóre media, stawiając znak równości pomiędzy kopią a repliką. Wciąż można znaleźć w Internecie artykuły o tytułach takich jak np.: “Dwa lata więzienia za ksero dowodu”.

Oczywiście większość dokumentów publicznych, w tym przede wszystkim dowody osobiste, zawierają szereg cech potwierdzających ich autentyczność. Zaś replika to – zgodnie z definicją – możliwie wierne odwzorowanie oryginału. Zatem niemożliwe jest uzyskanie repliki dowodu osobistego przez jego skserowanie, czy samo zeskanowanie.

kradzież tożsamosci

Nowe przepisy zostały wymierzone przede wszystkim w fałszerzy i osoby, wykorzystujące falsyfikaty dowodów osobistych w celu popełnienia przestępstwa. Ostatnio kradzieże tożsamości, przy użyciu tzw. “dokumentów kolekcjonerskich” bardzo przybrały na sile, gdyż są one łudząco podobne do oryginalnych. Dla przykładu można wskazać ataki, polegające na nielegalnym wyrobieniu duplikatu karty SIM ofiary. Z uwagi, że pracownicy operatorów telekomunikacyjnych rzadko są przeszkoleni w rozpoznawaniu autentyczności dokumentów, mogą nie rozpoznać repliki i wziąć ją za oryginał dokumentu tożsamości, który trzeba okazać przy zamawianiu duplikatu karty SIM.

Warto również pamiętać, że dowody osobiste czy też inne dokumenty służące m.in. do potwierdzenia tożsamości, nie wyczerpują katalogu dokumentów publicznych. Względem części wymienionych w ustawie dokumentów nie stosuje się minimalnych zabezpieczeń przed fałszerstwem. Dość powszechne są dokumenty, których jedynym gwarantem autentyczności jest np. pieczęć instytucji wraz z (ewentualnym) podpisem osoby je sporządzającej. W takim przypadku kolorowa kserokopia będzie doskonałą repliką oryginału. Wobec tego, zgodnie z nowymi przepisami, wykonanie kopii takiego dokumentu będzie nielegalne i zagrożone karą 2 lat pozbawienia wolności.

Podsumowując, przepisy o dokumentach publicznych nie mają większego wpływu na dotychczasowe działania po stronie instytucji finansowych, związane z kopiowaniem dowodów tożsamości czy też paszportów. Z drugiej strony, prawdopodobnie zmniejszono nieco ryzyko, występowania w obrocie prawnym replik tych dokumentów, ze względu na ich zdelegalizowanie. Wciąż jednak należy pamiętać, że lepszym sposobem na uwierzytelnienie klienta finansowego jest weryfikacja oryginału jego dokumentu tożsamości, najlepiej przez odpowiednio przeszkolonego pracownika, niż tylko wykonanie kopii tego dokumentu.

Dołącz do dyskusji

Podanie adresu e-mail jest związane z moderacją treści komentarza, w szczególności z ewentualnym kontaktem z Użytkownikiem, w celu uzgodnienia ostatecznej treści, co stanowi prawnie uzasadniony interes administratora. Po opublikowaniu komentarza widoczna jest jedynie jego treść i data publikacji oraz imię autora, reszta danych jest niezwłocznie usuwana. Szczegóły dotyczące przetwarzania danych osobowych zawarte są w Polityce prywatności.