Do Urzędu Ochrony Danych Osobowych docierają kolejne skargi dotyczące kopiowania dokumentów tożsamości przez instytucje finansowe. Tylko w styczniu i na początku lutego br. wpłynęło ich nieznacznie mniej niż w ciągu całego 2018 roku. Jednak, jak przekonują eksperci, banki mogą legalnie sporządzać tego typu kopie. O stosowaniu określonych środków bezpieczeństwa mówi ustawa o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu. Pomimo to, banki powinny przy tym pamiętać o analizie oraz weryfikacji, czy taka czynność jest niezbędna. Stanowisko Prezesa UODO nie ma charakteru wiążącego, a sądy mogą mieć inne zdanie w tej sprawie. Tymczasem na ten rok zaplanowane są liczne kontrole w bankach.
W 2018 roku do UODO wpłynęło ok. 10 skarg ws. kopiowania dokumentów tożsamości przez instytucje finansowe. Rok później było ich już 2 razy więcej. Natomiast tylko na początku tego roku, w ciągu niespełna półtora miesiąca, odnotowano już 8 takich zgłoszeń.
– Trzeba wyraźnie powiedzieć, że banki mają możliwość kopiowania dokumentów tożsamości. Ale jest to legalne tylko wtedy, kiedy wynika wprost z rangi przepisów, np. w przypadkach określonych w ustawie o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmowi. Nie jest to jednak równoznaczne z takim obowiązkiem – podkreśla Adam Sanocki, rzecznik prasowy UODO.
Powyższa ustawa wskazuje, kiedy powinny być zastosowane środki bezpieczeństwa. Jak zaznacza Agata Szeliga, radca prawny z Sołtysiński Kawecki & Szlęzak, obowiązek ten pojawia się wobec dotychczasowych i nowych klientów, którzy chcieliby założyć konto. W przypadku pierwszej grupy są to np. okazjonalne przelewy na kwotę przekraczającą równowartość 1000 euro czy transakcje okazjonalne o równowartości co najmniej 15 tys. euro. Natomiast, kiedy mówimy o otwierających rachunek, bank nie ma żadnych danych do rozpoznania ryzyka i jego oceny. A fundamentem przeprowadzenia tej analizy jest ustalenie tożsamości klienta i jej weryfikacja.
– Klient zawsze może zapytać o podstawę żądania przez bank kopii dokumentu tożsamości. Powinien to zrobić, zwłaszcza jeśli ma wątpliwości dotyczące przetwarzania jego danych osobowych. Administrator danych musi posiadać podstawę prawną do ich przetwarzania – mówi adwokat Karolina Brzezińska z Kancelarii Drzewiecki, Tomaszek i Wspólnicy.
Z kolei Adam Sanocki podkreśla stanowisko Prezesa UODO ws. kopiowania dokumentów tożsamości. Za każdym razem, gdy dany podmiot zamierza to zrobić na podstawie art. 34 ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmowi, powinien poprzedzić swoją decyzję analizą i zweryfikowaniem, czy rzeczywiście taka czynność jest niezbędna. Musi to być zgodnie z zasadami celowości i minimalizacji, o których jest mowa w art. 5 ust. 1 lit b i c RODO, czyli ogólnego rozporządzenia o ochronie danych osobowych.
– Jeżeli dane są zbierane na potrzeby rozpoznania czy oceny ryzyka prania pieniędzy lub finansowania terroryzmu, to nie mogą być przetwarzane do innych celów, np. marketingowych. Natomiast zasada minimalizacji oznacza, że dane powinny być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Zgodnie z tym, standardowo wystarczające powinno być skopiowanie jednego dokumentu tożsamości, a nie kilku z nich – komentuje radca prawny z Sołtysiński Kawecki & Szlęzak.
Jak zaznacza mecenas Brzezińska, pozyskiwanie danych osobowych poprzez kserowanie dokumentu tożsamości może mieć na celu zachowanie bezpieczeństwa środków ulokowanych w banku i zapobiegnięcie działaniom na szkodę jego klientów. W ten sposób minimalizuje się możliwości wyłudzenia kredytów przez osoby, których tożsamości nie da się ustalić. Ponadto, mogą zdarzyć się sytuacje, kiedy dochodzi do zakładania rachunków bankowych tylko w celu dokonywania oszustw czy procederu tzw. prania brudnych pieniędzy. Brak dysponowania przez bank kserokopią dokumentu tożsamości posiadacza konta może w takiej sytuacji utrudnić ewentualną weryfikację takiej osoby.
– Prezes UODO podkreśla, że art. 112 b Prawa bankowego pozwala przetwarzać do celów prowadzonej działalności bankowej informacje zawarte w dokumentach tożsamości osób fizycznych. Przepis ten jednak nic nie mówi o tym, że banki mogą sporządzać kopie dowodów tożsamości. Dlatego też takie postępowanie niemal przy każdej czynności budzi wątpliwości organu nadzorczego – dodaje Adam Sanocki.
Jak podkreśla mecenas Brzezińska, zgodnie ze stanowiskiem Prezesa UODO, powoływanie się banków na art. 112 b ustawy Prawo bankowe nie jest już zawsze wystarczającą podstawą do sporządzania kopii dokumentów tożsamości. Prezes UODO nie zakwestionował legalności kopiowania dowodów tożsamości. Stwierdził on jedynie, że powinno to mieć jednak charakter ograniczony. W związku z tym, że Prezes UODO wypowiedział się w tej sprawie stosunkowo niedawno, to nie można określić jaka będzie praktyka banków, a w konsekwencji także sądów w tej kwestii. W świetle dotychczasowej linii orzeczniczej, kopiowanie dokumentów tożsamości było uznawane za czynność techniczną, a także jeden ze sposobów zbierania danych osobowych
– Zaprezentowane przez UODO stanowisko formalnie nie ma charakteru wiążącego. Jest wyrazem przyjętej przez Urząd wykładni obowiązujących przepisów prawa, którą urząd będzie się kierował w prowadzonych przez siebie postępowaniach administracyjnych – podkreśla Adam Sanocki.
Według Agaty Szeligi, takie stanowisko jest bardzo ogólne. Sądy lub inne organy mogą nie podzielać poglądu Prezesa UODO. Jeżeli bank wykaże w konkretnej sprawie, że spełnione zostały przesłanki wskazane w ustawie czy innych przepisach, to ma duże szanse obronić swoje stanowisko przed tym organem lub sądem. Ekspert podkreśla, że instytucja nadzorcza może też zmienić zdanie. W związku z tym należy kontrolować, czy Prezes UODO nie zajął odmiennego od uprzedniego stanowiska.
– Praktyka nadmiernego kopiowania dokumentów tożsamości jest znana Prezesowi Urzędu Ochrony Danych Osobowych. I właśnie ta kwestia będzie przedmiotem kontroli sektorowej w bankach w 2020 roku. Ma to związek z licznymi sygnałami zgłaszanymi do UODO, dużym zainteresowaniem społecznym oraz coraz częściej pojawiającymi się zagrożeniami – informuje rzecznik Sanocki.
Czynności kontrolne mogą odbywać się w godzinach od 6.00 do 22.00. Kontrolerzy mają m.in. prawo wglądu do dokumentów, oględzin np. miejsc i urządzeń, żądania złożenia wyjaśnień. Mogą również przesłuchiwać pracowników. W przypadku stwierdzenia naruszenia przepisów, możliwe są m.in. kary finansowe. One mają być nie tylko skuteczne i odstraszające, ale i proporcjonalne. Dlatego przy ich wymierzaniu Prezes UODO musi brać pod uwagę aż 11 różnych czynników. Istotne są m.in. charakter, waga i czas trwania naruszenia.
– Do tej pory nie spotkałam się z nadużywaniem art. 34 ust. 4 Ustawy do kopiowania dokumentów tożsamości. Oczywiście, nie można wykluczyć, że wystąpią jednostkowe przypadki, wynikające z nadgorliwości pracowników. Bank jednak powinien mieć wytyczne dla personelu, w jaki sposób należy przeprowadzać analizę celowości i minimalizacji, wraz z przykładami postępowania w najczęściej występujących przypadkach – podsumowuje ekspert z Kancelarii Sołtysiński Kawecki & Szlęzak.