Zdarza się, że instytucje finansowe, w tym m.in. banki, zawierając z nami umowy na świadczenie różnego rodzaju usług, jak np. założenie i prowadzenie konta bankowego, obsługa bankowości elektronicznej, udzielenie pożyczki, a nawet realizacja zlecenia przelewu, wykonują kopię naszego dokumentu tożsamości. Swoje działanie uzasadniają stosowaniem środków bezpieczeństwa finansowego, o których mowa w ustawie z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu. Wskazują, że zgodnie z jej art. 34 ust. 4 instytucje obowiązane na potrzeby stosowania środków bezpieczeństwa finansowego mogą przetwarzać informacje zawarte w dokumentach tożsamości klienta i osoby upoważnionej do działania w jego imieniu oraz sporządzać ich kopie.
Tymczasem UODO niezmiennie stoi na stanowisku, że powołany przepis nie uprawnia instytucji finansowych do kopiowania dowodu tożsamości klientów w każdej sytuacji.
Wskazuje, że jeśli chodzi o banki, to zgodnie z art. 112b Prawa bankowego banki mogą przetwarzać dla celów prowadzonej działalności bankowej informacje zawarte w dokumentach tożsamości osób fizycznych. Oznacza to jedynie tyle, że na jego podstawie mają one prawo przetwarzać wszystkie dane osobowe klientów, które są zawarte w dokumentach tożsamości. Nie jest to natomiast równoznaczne z uprawnieniem do wykonywania kopii tych dokumentów.
Najczęściej bowiem wystarczające jest okazanie dokumentu tożsamości do wglądu.
Natomiast zgodnie z przepisami ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, instytucje obowiązane, do których należą m.in. banki, ale też fundusze inwestycyjne, przedsiębiorcy prowadzący działalność kantorową w rozumieniu ustawy z dnia 27 lipca 2002 r. – Prawo dewizowe czy notariusze w zakresie wymienionych w powołanej ustawie czynności dokonywanych w formie aktu notarialnego, są uprawnione, by na potrzeby stosowania środków bezpieczeństwa finansowego wykonywać kopie dokumentów tożsamości.
Co jednak ważne, przed zastosowaniem środków bezpieczeństwa finansowego muszą przeprowadzić ocenę ryzyka prania pieniędzy i finansowania terroryzmu. Jednocześnie przepisy powołanej ustawy dookreślają (art. 35), kiedy instytucje obowiązane stosują środki bezpieczeństwa finansowego.
Ponadto instytucje finansowe jako administratorzy są zobowiązani do stosowania przepisów ogólnego rozporządzenia o ochronie danych (RODO). Zatem przed zastosowaniem środków bezpieczeństwa finansowego muszą dokonać oceny, czy przetwarzanie na te potrzeby danych osobowych osoby fizycznej zawartych w kopii dowodu osobistego jest niezbędne. Zgodnie bowiem z zasadami ograniczenia celu i minimalizacji danych, o których mowa w art. 5 RODO, dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach, a także adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, w których są przetwarzane.
W ostatnim czasie w związku z publikacjami prasowymi pojawiły się wątpliwości, czy Urząd zmienił stanowisko w kwestii kopiowania dokumentów tożsamości.
Otóż nie, rekomendacje UODO w tym zakresie pozostają niezmienne i są opisane na stronie internetowej organu m.in. w tekstach „Banki nie zawsze mogą kserować dowód osobisty” oraz „Zakaz wykonywania replik dokumentów publicznych ograniczy kradzieże tożsamości”.
Trzeba przy tym podkreślić, że informacje publikowane na stronie internetowej UODO mają charakter informacyjno-edukacyjny. Nakreślają pewien kierunek interpretacji.
Natomiast wiążąco UODO wypowiada się jedynie w decyzji administracyjnej wydawanej po zbadaniu wszystkich okoliczności danego przypadku.
Działalność administratorów jest bowiem zróżnicowana i uzależniona od różnych czynników instytucjonalno-prawnych oraz organizacyjnych, które mogą mieć istotny wpływ na ostateczną ocenę. Niekiedy rozstrzygnięcia organu nadzorczego wydane w podobnych z pozoru sprawach mogą się zatem różnić. Lektura decyzji pozwala poznać szczególne okoliczności, które wpłynęły na ostateczny osąd organu.
Źródło: https://uodo.gov.pl