Blog o Ochronie Tożsamości Szczegoly

Szczegoly

  poprzedni wpis następny wpis  

2018-08-28 | Fellowes Polska SA

Trwający od kilku lat kontrowersyjny spór o kserowanie dowodów osobistych pomiędzy bankami a Urzędem Ochrony Danych Osobowych (wcześniej GIODO) zostanie wkrótce wiążąco rozstrzygnięty przez Prezesa Urzędu Ochrony Danych Osobowych. Skarga, która do UODO wpłynęła na początku sierpnia, dotyczy korelacji świadczenia usług przez banki z gromadzeniem kopii dokumentów tożsamości i wykluczeniem osób, które na takie praktyki nie wyrażają zgody. Czy zatem skan lub kserokopia dowodu osobistego jest niezbędna do zawarcia umowy z bankiem?

Skarżący uważa, że do zawarcia umowy z bankiem nie są potrzebne kserokopia lub skan dowodu osobistego, a tego typu praktyki są sprzeczne z unijnym rozporządzeniem RODO, gdyż banki pozyskują dane osobowe w ponadnormatywnym zakresie, niż jest to niezbędne do zawarcia i egzekucji umowy.

Kserowanie dowodów w bankach wywołuje kontrowersje

Kserowanie dowodów w bankach wywołuje kontrowersje (źródło: Depositphotos®)

Zasada minimalizacji danych

Ostatecznie art. 5 ust. 1 lit. c rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony danych osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE stanowi wprost: dane osobowe powinny być zbierane jedynie w takim zakresie, jaki jest niezbędny do osiągnięcia celu, w którym są przetwarzane (zasada minimalizacji danych).

Kserowanie dokumentów tożsamości przez banki GIODO ocenił negatywnie w grudniu 2015 r., ale nie wynikły z tego żadne późniejsze zmiany legislacyjne, ani chociażby rekomendacje czy tzw. dobre praktyki. Tym razem jednak UODO będzie zobligowany do ostatecznego rozstrzygnięcia sporu i wydania wiążącej decyzji.

Kwestia ta jednak tylko z pozoru wydaje się prosta, bowiem wielu finansistów, powołując się na art. 112b ustawy z 29 sierpnia 1997 r. Prawo bankowe (Dz.U. z 2017 r. poz. 1876 z późniejszymi zmianami) - mówiący o tym, że informacje zawarte w dokumentach tożsamości można przetwarzać dla celów prowadzonej działalności bankowej - uważa, że przepisy RODO nie dotyczą uprawnień banków do kopiowania dowodów osobistych. Dodatkowo praktyka ta jest popierana przez Związek Banków Polskich, który tłumaczy kserowanie dokumentów tożsamości względami bezpieczeństwa oraz przeciwdziałaniem oszustwom i nadużyciom. Ponadto ZBP uważa, że powoływanie się na ogólną zasadę minimalizacji danych jest niefortunne i sprzeczne z jednoznacznie zdefiniowanymi regulacjami prawa bankowego. Bankowcy powołują się również na nową ustawę z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu. W zupełnym przeciwieństwie w postrzeganiu art. 112b znajduje się środowisko prawników specjalizujących się w tematyce ochrony danych osobowych, których zdaniem prawo banków do pozyskiwania danych osobowych z dokumentów tożsamości należy rozpatrywać z uwzględnieniem zarówno prawa bankowego jak i RODO, a administratorzy danych powinni gromadzić w swoich zbiorach tylko takie dane, które są konieczne do realizacji precyzyjnie określonych celów przetwarzania. Oznacza to, że nie ma żadnych podstaw do przetwarzania przez banki takich danych jak np. wizerunek osoby fizycznej utrwalony na fotografii, miejsce urodzenia czy nazwa organu wydającego dokument.

Krytycznie oceniane przez środowisko prawników jest również kserowanie dowodu, w przypadku zawierania umów na podstawowe usługi bankowe (np. otwarcie i prowadzenie rachunku), które często można znaleźć w regulaminie ogólnym świadczenia tych usług. Eksperci jednogłośnie stwierdzają, że tego typu postanowienia regulaminów naruszają nie tylko RODO, ale także ustawę o prawach konsumenckich. Klauzula nakazująca konsumentowi podania większej liczby informacji, niż jest to niezbędne do realizacji celu przetwarzania nosi znamiona klauzuli niedozwolonej, w rażący sposób naruszający jego interesy.

Kserowanie dowodów osobistych narusza przepisy RODO

Kserowanie dowodów osobistych narusza przepisy RODO (źródło: Depositphotos®)

Należy jednak pamiętać, że zgodnie art. 34 ust. 4 ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu, do której przestrzegania zobligowane są m. in. banki i instytucje udzielające kredytów, na potrzeby stosowania mechanizmów identyfikacji klienta i weryfikacji jego tożsamości, instytucje te mogą przetwarzać informacje zawarte w dokumentach tożsamości i sporządzać ich kopie. W takim przypadku nie ma mowy o naruszeniu zasady minimalizmy wskazanej w rozporządzeniu RODO.

W sprawie kopiowania dowodów tożsamości przez banki wypowiedział się również Naczelny Sąd Administracyjny w wyroku z 19 grudnia 2001 r. (sygn. akt II SA.2869/2000), który uznał gromadzenie danych wskazanych w dokumencie tożsamości za kwestię techniczną organizacji systemu bankowego. Wówczas również obowiązywała unijna zasada minimalizmu, nazywana zasadą celowości.

Wobec wpłynięcia skargi do UODO można oczekiwać, że wkrótce zmieni się status quo sporu, ale z pewnością nie będzie to rzeczą łatwą, ani spełniającą wymagania wszystkich stron. Eksperci spodziewają się raczej korekty dotychczasowego działania banków, np. poprzez dodatkowe znakowanie i oznaczanie kopii dokumentów drukowanych lub szyfrowanie dokumentów elektronicznych, niż całkowitej zmiany ich funkcjonowania w zakresie gromadzenia i przetwarzania danych osobowych klientów na podstawie ich dowodów osobistych. Aktualnie większość banków nie stosuje żadnych zabezpieczeń kopii dokumentów tożsamości swoich klientów, co uniemożliwia identyfikację ich pochodzenia w przypadku wycieku danych.

Praktyka kolekcjonowania kopii dokumentów tożsamości stosowana jest jednak nie tylko przez banki czy instytucje finansowe. Wśród przedsiębiorstw stosujących tego typu uwiarygodnienia tożsamości osób zawierających umowy drogą elektroniczną są również firmy z sektora IT i telekomunikacyjnego, które niejednokrotnie zamieszczają w formularzach na stronach internetowych żądanie dołączenia skanu dowodu osobistego. W uzasadnieniu wyroku Naczelnego Sądu Administracyjnego z kwietnia 2018 r. (sygn. akt I OSK 1354/16) można przeczytać m. in., że "pozyskiwanie kserokopii lub skanów dowodów osobistych jest niezasadne, gdyż nie można traktować kopii dokumentu tożsamości jako środka identyfikacji w sieci poprawiającego bezpieczeństwo obrotu gospodarczego - przetwarzanie takich kopii nie prowadzi bowiem do wyeliminowania nadużyć polegających na podawaniu przez osoby korzystające z elektronicznych kanałów sprzedaży fałszywych danych o sobie." Należy przy tym zwrócić uwagę, że w wielu przypadkach dane określonej osoby, celem zapewnienia obrotu gospodarczego, można zweryfikować w ogólnopolskim rejestrze PESEL i Rejestrze Dowodów Osobistych.