Kopiowanie dowodów osobistych
UODO niezmiennie stoi na stanowisku, że sporządzanie kopii dowodów tożsamości przez instytucje finansowe jest legalne jedynie wtedy, kiedy konieczne jest zastosowanie środków bezpieczeństwa mających na celu przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu.
Zdarza się, że instytucje finansowe, w tym m.in. banki, zawierając z nami umowy na świadczenie różnego rodzaju usług, jak np. założenie i prowadzenie konta bankowego, obsługa bankowości elektronicznej, udzielenie pożyczki, a nawet realizacja zlecenia przelewu, wykonują kopię naszego dokumentu tożsamości. Swoje działanie uzasadniają stosowaniem środków bezpieczeństwa finansowego, o których mowa w ustawie z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu. Wskazują, że zgodnie z jej art. 34 ust. 4 instytucje obowiązane na potrzeby stosowania środków bezpieczeństwa finansowego mogą przetwarzać informacje zawarte w dokumentach tożsamości klienta i osoby upoważnionej do działania w jego imieniu oraz sporządzać ich kopie.
Kopiowanie nie przy każdej czynności
Tymczasem UODO niezmiennie stoi na stanowisku, że powołany przepis nie uprawnia instytucji finansowych do kopiowania dowodu tożsamości klientów w każdej sytuacji.
Wskazuje, że jeśli chodzi o banki, to zgodnie z art. 112b Prawa bankowego banki mogą przetwarzać dla celów prowadzonej działalności bankowej informacje zawarte w dokumentach tożsamości osób fizycznych. Oznacza to jedynie tyle, że na jego podstawie mają one prawo przetwarzać wszystkie dane osobowe klientów, które są zawarte w dokumentach tożsamości. Nie jest to natomiast równoznaczne z uprawnieniem do wykonywania kopii tych dokumentów.
Najczęściej bowiem wystarczające jest okazanie dokumentu tożsamości do wglądu.
Natomiast zgodnie z przepisami ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, instytucje obowiązane, do których należą m.in. banki, ale też fundusze inwestycyjne, przedsiębiorcy prowadzący działalność kantorową w rozumieniu ustawy z dnia 27 lipca 2002 r. – Prawo dewizowe czy notariusze w zakresie wymienionych w powołanej ustawie czynności dokonywanych w formie aktu notarialnego, są uprawnione, by na potrzeby stosowania środków bezpieczeństwa finansowego wykonywać kopie dokumentów tożsamości.
Co jednak ważne, przed zastosowaniem środków bezpieczeństwa finansowego muszą przeprowadzić ocenę ryzyka prania pieniędzy i finansowania terroryzmu. Jednocześnie przepisy powołanej ustawy dookreślają (art. 35), kiedy instytucje obowiązane stosują środki bezpieczeństwa finansowego.
Ponadto instytucje finansowe jako administratorzy są zobowiązani do stosowania przepisów ogólnego rozporządzenia o ochronie danych (RODO). Zatem przed zastosowaniem środków bezpieczeństwa finansowego muszą dokonać oceny, czy przetwarzanie na te potrzeby danych osobowych osoby fizycznej zawartych w kopii dowodu osobistego jest niezbędne. Zgodnie bowiem z zasadami ograniczenia celu i minimalizacji danych, o których mowa w art. 5 RODO, dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach, a także adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, w których są przetwarzane.