Organ ochrony danych osobowych dopuszcza skanowanie nawet przy zawieraniu najprostszych umów, np. zakładaniu konta. Oznacza to zmianę stanowiska.

Prezes Urzędu Ochrony Danych Osobowych (UODO) w decyzji administracyjnej z 10 czerwca 2022 r. (sygn. ZSPR.440.1701.2018.FT.AJ) jednoznacznie stwierdził, że na podstawie przepisów ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (dalej: ustawa AML) instytucje finansowe są uprawnione do wykonywania i zbierania kopii dokumentów tożsamości swoich klientów przy zawieraniu najprostszych nawet umów. W praktyce oznacza to, że zarówno klient będący konsumentem, jak i przedsiębiorca udający się do banku w celu założenia konta firmowego nie mogą odmówić zeskanowania swojego dowodu osobistego, jeśli chcą, żeby taki produkt bankowy został im udostępniony.

Przepisy AML rozstrzygające

Ta decyzja, wydana w sporze między bankiem a klientem kwestionującym prawo banku do zeskanowania jego dowodu przy otwieraniu kona bankowego, oznacza, że prezes UODO znacząco zmienił swoje stanowisko w tej kwestii. Dla porównania:
  • w sierpniu 2019 r. prezes UODO w odpowiedzi na pytanie Związku Banków Polskich wydał stanowisko (nr ZSPR.027.306.2019), że banki nie zawsze mogą kopiować dowody osobiste, ale jedynie w ściśle określonych przypadkach, jak np. przeprowadzanie transakcji okazjonalnej o równowartości 15 tys. euro lub większej, albo wtedy, gdy zachodzi podejrzenie prania pieniędzy lub finansowania terroryzmu;
  • w grudniu 2019 r., zapowiadając kontrole sektorowe w opisywanym zakresie, prezes UODO podkreślał, że jeśli bank zamierza skopiować dokument tożsamości, to decyzje o tym powinien poprzedzić analizą i zweryfikowaniem, czy rzeczywiście taka czynność jest niezbędna zgodnie z zasadami celowości i minimalizacji, o których mowa w art. 5 ust. 1 lit b i lit. c RODO, czyli ogólnego rozporządzenia o ochronie danych osobowych.
Obecnie zatem prezes UODO inaczej interpretuje przepisy ustawy AML i nie jest już tak drobiazgowy. W opisywanej najnowszej decyzji z 2022 r. organ podzielił stanowisko banku, że rachunek bankowy już w swojej istocie stanowi produkt rodzący ryzyko prania pieniędzy lub finansowania terroryzmu. Nie mają znaczenia inne okoliczności, jak np. saldo rachunku czy dokonywane na koncie transakcje. W konsekwencji już samo otwieranie rachunku klientowi uzasadnia konieczność zastosowania środków bezpieczeństwa finansowego opisanych w ustawie AML. Tymczasem środki te zgodnie z art. 34 ust. 4 ustawy AML obejmują uprawnienie do sporządzania kopii dokumentów tożsamości klientów i osób upoważnionych do działania w imieniu klientów. Dlatego też bank, którego dotyczyła skarga, wykonuje kopie dokumentów tożsamości wszystkich posiadaczy rachunków bankowych, a prezes UODO tej praktyki w swojej decyzji nie zakwestionował.

Możliwe szerokie konsekwencje

Przyjęcie przez prezesa UODO argumentacji banku, że już sam rodzaj produktu, a nie osoba klienta, determinuje poziom ryzyka uzasadniającego zastosowanie środków bezpieczeństwa, może mieć dalekosiężne konsekwencje dla innych przedsiębiorców, którzy stosują w działalności gospodarczej przepisy o przeciwdziałaniu praniu pieniędzy. W praktyce takie założenie prowadzi do marginalizacji indywidualnej oceny ryzyka w przypadku każdego klienta, a co za tym idzie - celowości zbierania określonego zakresu danych osobowych na jego temat. Do praktyki kopiowania dokumentów tożsamości wkrada się w efekcie krytykowany w poprzednich latach przez organ ochrony danych automatyzm. Zasadniczo bowiem dopuszcza się sytuację, że jeżeli zawiera się umowę z przedsiębiorcą zobowiązanym przez ustawę AML, której przedmiotem jest określony produkt czy usługa, to nieodłączną częścią procesu jest pozyskanie kopii dokumentu tożsamości, niezależnie od rodzaju klienta.
Jako że przedstawione przez bank uzasadnienie praktyki kopiowania dokumentów tożsamości na podstawie art. 34 ust. 4 ustawy AML nie zostało zakwestionowane, to mogą powoływać się na nie również inne podmioty zobowiązane wskazane w ustawie AML. Jej zakres podmiotowy jest szeroki: oprócz banków środki bezpieczeństwa finansowego obowiązane są stosować również m.in. zakłady ubezpieczeń, instytucje pożyczkowe, kantory, notariusze, radcowie prawni, adwokaci, pośrednicy w obrocie nieruchomościami czy też przedsiębiorcy zajmujący się rynkiem dzieł sztuki. ©℗

pytania do eksperta

ikona lupy />
Dr Paweł Litwiński adwokat, wspólnik w Kancelarii Barta Litwiński / nieznane
Czy zgadza się pan z rozstrzygnięciem prezesa UODO, że możliwość wykonywania kopii dokumentów tożsamości przez banki wynika wprost z przepisów?
W całości podzielam stanowisko prezesa UODO i osobiście bardzo się cieszę z takiej, a nie innej decyzji, gdyż zwyczajnie kończy to długi okres niepewności. Przepisy ustawy AML są jasne i nie powinny budzić żadnych wątpliwości: na banku ciąży prawny obowiązek stosowania środków bezpieczeństwa finansowego, a w ramach tego obowiązku możliwe jest sporządzanie kopii dokumentów tożsamości.
Natomiast podkreślam jedną kwestię: na gruncie decyzji mówimy o kopiowaniu dokumentów tożsamości w ramach stosowania środków bezpieczeństwa finansowego, a nie np. dla wygody czy bez specjalnego uzasadnienia. Prezes UODO potwierdził, że w tym pierwszym przypadku można zgodnie z prawem sporządzać kopie dokumentów tożsamości. Jednocześnie sytuacje bezrefleksyjnego kopiowania dokumentów tożsamości dla wygody kopiującego, który dzięki temu tych danych nie musi przepisywać, nadal mogą budzić wątpliwości.
Czy w sytuacji, gdy uznamy, że instytucje finansowe mogą wykonywać kopie dokumentów tożsamości klientów, to przepisy powinny nakazywać im nieodwracalnego ich oznaczanie trwałym zabezpieczeniem, które uniemożliwiałoby wykorzystanie kopii do innych celów w przypadku ich wycieku?
Moim zdaniem trudno mówić o takim obowiązku na poziomie przepisów, bo jednak od początku stosowania RODO filozofia regulowania sposobów zabezpieczenia danych jest inna: w każdym przypadku określamy ryzyko, jakie związane jest z przetwarzaniem określonych danych, i na tej podstawie dobieramy środki zabezpieczenia. I oczywiście tego rodzaju rozwiązanie zapewne byłoby ze wszech miar pożądane. Niemniej jednak wyobrażam sobie raczej namawianie do jego stosowania, opisanie np. w kodeksach postępowania czy w zaleceniach prezesa UODO, a nie w ustawie.
Czy zgoda prezesa UODO na wykonywanie kopii dokumentów tożsamości przez banki przy zawieraniu najprostszych umów oznacza, że inni przedsiębiorcy także mogą legalnie żądać takich kopii od swoich klientów?
Ja tutaj nie dostrzegam zezwolenia ze strony prezesa UODO, ale ze strony ustawodawcy, który przyjął takie, a nie inne rozwiązania w przepisach o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu. Organ nadzorczy po prostu zastosował prawo, co jednak nie oznacza przyzwolenia na nieograniczone sporządzanie kopii dokumentów - nie, nie ma takiego przyzwolenia ze strony prezesa UODO. Kopiowanie dokumentów tożsamości - poza przypadkami takimi, jak opisane w ustawie AML - to technika zbierania danych osobowych, która w większości przypadków oznacza pójście na skróty: po co mam przepisywać dane, skoro mogę skopiować dokument? Tymczasem w ten sposób bardzo często dochodzi do zbierania danych nadmiarowych, do niczego niepotrzebnych temu, kto kopiuje dokument. Taka praktyka rodzi też znacznie większe ryzyko w przypadku naruszenia poufności danych, czyli inaczej mówiąc, w przypadku wycieku takich kopii (skanów), niż gdyby wyciekły po prostu dane z bazy danych. Co więcej, kopiowanie dokumentów tożsamości nie służy też przyszłej identyfikacji posiadacza takiego dokumentu: tu po prostu trzeba zawsze okazać dokument i porównać zdjęcie z dokumentu z wizerunkiem osoby, a nie posługiwać się skanem, zwłaszcza w relacjach online.
O ile więc co do zasady jestem przeciwnikiem kopiowania dokumentów tożsamości, o tyle w przypadkach, w których obowiązujące prawo wymaga takiego działania, nie bardzo widzę pole do dyskusji i cieszę się, że nie dostrzega go też prezes UODO.©℗
Rozmawiał Piotr Pieńkosz
Podstawa prawna
• art. 34 ust. 4 ustawy z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu; ustawa AML (t.j. Dz.U. z 2022 r. poz. 593; ost.zm. Dz.U. z 2022 r. poz. 835)
• art. 5 ust. 1 lit b i lit. c rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych); RODO (Dz.Urz. UE z 2016 r. L 119, s. 1)