Pisma urzędowe
Status: Aktualne

Pismo
Opinia w sprawie zakazu wykonywania replik dokumentów publicznych
Prezes Urzędu Ochrony Danych Osobowych
ZSPR.027.306.2019

W myśl art. 112b ustawy z dnia 29 sierpnia 1997 r. - Prawo bankowe Banki mogą przetwarzać dla celów prowadzonej działalności bankowej informacje zawarte w dokumentach tożsamości osób fizycznych. Przepis ten stanowi podstawę prawną do przetwarzania danych osobowych zawartych w dowodach tożsamości przez banki, jednak nie stanowi on wprost, że banki mogą sporządzać kopie dowodów tożsamości. W opinii Prezesa Urzędu Ochrony Danych Osobowych w celach prowadzenia działalności bankowej nie zawsze konieczne jest sporządzanie kopii dowodu tożsamości, banki mogą bowiem weryfikować dane osobowe z takiego dokumentu (czy spisywać dane osobowe z niego).

Sporządzenie kopii dowodów tożsamości w ocenie organu nadzorczego jest legalne jedynie wtedy, kiedy wynika to wprost z przepisów rangi ustawy. Podstawę do sporządzania kopii dowodów tożsamości stanowią przepisy ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmowi ((Dz. U. z 2019 r. poz. 115) (dalej: ustawa o przeciwdziałaniu praniu pieniędzy)). W myśl art. 34 ust. 4 ustawy o przeciwdziałaniu praniu pieniędzy Instytucje obowiązane na potrzeby stosowania środków bezpieczeństwa finansowego mogą przetwarzać informacje zawarte w dokumentach tożsamości klienta i osoby upoważnionej do działania w jego imieniu oraz sporządzać ich kopie.

Zgodnie z art. 2 ustawy o przeciwdziałaniu praniu pieniędzy banki są instytucjami obowiązanymi, zatem przytoczony art. 34 ust. 4 tej ustawy będzie miał zastosowanie. Zauważyć jednak należy, że stosowanie środków bezpieczeństwa przez instytucje obowiązane, do których należy m.in. weryfikacja tożsamości poprzez kopiowanie dokumentów tożsamości, powinno mieć miejsce jedynie w sytuacjach, gdy zachodzą przesłanki do takiego stosowania. Przesłanki te zostały natomiast wprost określone w art. 35 ustawy o przeciwdziałaniu praniu pieniędzy.

Zgodnie z wymienionym art. 35 ustawy o przeciwdziałaniu praniu pieniędzy instytucje obowiązane stosują środki bezpieczeństwa finansowego w przypadku:

1)

nawiązywania stosunków gospodarczych;

2)

przeprowadzania transakcji okazjonalnej:

a)

o równowartości 15 000 euro lub większej, bez względu na to, czy transakcja jest przeprowadzana jako pojedyncza operacja, czy kilka operacji, które wydają się ze sobą powiązane, lub

b)

która stanowi transfer środków pieniężnych na kwotę przekraczającą równowartość 1000 euro;

3)

przeprowadzania gotówkowej transakcji okazjonalnej o równowartości 10 000 euro lub większej, bez względu na to, czy transakcja jest przeprowadzana jako pojedyncza operacja, czy kilka operacji, które wydają się ze sobą powiązane - w przypadku instytucji obowiązanych, o których mowa w art. 2 ust. 1 pkt 23;

4)

obstawiania stawek oraz odbioru wygranych o równowartości 2000 euro lub większej, bez względu na to, czy transakcja jest przeprowadzana jako pojedyncza operacja, czy kilka operacji, które wydają się ze sobą powiązane - w przypadku instytucji obowiązanych, o których mowa w art. 2 ust. 1 pkt 20;

5)

podejrzenia prania pieniędzy lub finansowania terroryzmu;

6)

wątpliwości co do prawdziwości lub kompletności dotychczas uzyskanych danych identyfikacyjnych klienta.

2. Instytucje obowiązane stosują środki bezpieczeństwa finansowego również w odniesieniu do klientów, z którymi utrzymują stosunki gospodarcze, z uwzględnieniem rozpoznanego ryzyka prania pieniędzy oraz finansowania terroryzmu, w szczególności gdy doszło do zmiany uprzednio ustalonego charakteru lub okoliczności stosunków gospodarczych.

Kopiowanie dowodów tożsamości przez banki w sytuacjach innych niż wskazane w powyższym przepisie w ocenie organu nadzorczego nie ma podstaw prawnych.

W piśmie z 24 lipca 2019 r. wskazuje Pan Prezes, że wszystkie środki bezpieczeństwa finansowego wymienione w ustawie muszą zostać zawsze zastosowane i nie ma możliwości niestosowania któregoś ze środków bezpieczeństwa. Zauważyć jednak należy, że art. 34 ust. 1 ustawy o przeciwdziałaniu praniu pieniędzy określający środki bezpieczeństwa finansowego stanowi, że środkiem tym jest m.in. identyfikacja klienta oraz weryfikacja jego tożsamości (art. 34 ust. 1 pkt 1) a nie kopiowanie dokumentu tożsamości. Kopiowanie, o którym mowa w art. 34 ust. 4 należy uznać za przysługujące podmiotowi obowiązanym uprawnienie, przepis ten mówi bowiem o możliwości stosowania przez podmioty takiego narzędzia "instytucje na potrzeby stosowania środków bezpieczeństwa finansowego mogą przetwarzać informacje zawarte w dokumentach tożsamości klienta i osoby upoważnionej do działania w jego imieniu oraz sporządzać ich kopie. Nie można zatem uznać, że na podmiotach obowiązanych leży obowiązek każdorazowego kopiowania dokumentów tożsamości, ale że podmioty te mają prawo z takiego instrumentu korzystać. W ocenie organu nadzorczego każdorazowa decyzja o skopiowaniu dokumentu tożsamości powinna być poprzedzona analizą i zweryfikowaniem czy rzeczywiście taka czynność jest niezbędna, zgodnie z zasadami celowości i minimalizacji, o których mowa w art. 5 ust. 1 lit. b i c) rozporządzenia 2016/679. W myśl tych przepisów dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami (...) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane.

Odnosząc się do przywołanej przez Pana Prezesa decyzji wydanej przez Generalnego Inspektora Ochrony Danych Osobowych w dniu 22 lutego 2013 r. sygn. DOLIS/DEC-211/13 zauważyć należy, że argumentacja przedstawiona w powyższym rozstrzygnięciu opiera się na przepisach prawnych obecnie już nieobowiązujących. Wraz z biegiem czasu natomiast organ nadzorczy zauważa nowe zagrożenia, w ubiegłych latach mniej widoczne, związane z wykorzystywaniem kopii dowodów tożsamości do innych celów przez podmioty nieupoważnione, w tym do kradzieży tożsamości. Ponadto, jeżeli obowiązujące od 13 lipca 2018 r. przepisy znowelizowanej ustawy o przeciwdziałaniu praniu pieniędzy określiły wprost przesłanki legalizujące kopiowania dowodów tożsamości uznać należy, że w przypadku braku spełnienia tych przesłanek kopiowanie dokumentów tożsamości przez podmioty obowiązane, w tym banki, nie jest prawnie uzasadnione. Prezes Urzędu Ochrony Danych Osobowych stoi na stanowisku, że kopiowanie dokumentów tożsamości jest legalne, jeżeli wynika wprost z przepisów prawa. Powoływanie się na art. 112b ustawy - Prawo bankowe nie jest zawsze wystarczające, bowiem stanowi on ogólnie o "przetwarzaniu danych", a przetwarzanie nie zawsze polega na utrwalaniu.

Warto zauważyć także, że nie wszystkie banki w celu weryfikacji tożsamości kopiują dowody tożsamości, a obowiązek identyfikacji osoby wynikający z przepisów prawa realizują za pomocą innych narzędzi. Dodatkowo, na podstawie przepisów z dnia 24 września 2010 r. o ewidencji ludności (Dz. U. z 2019 r" poz. 1397) banki mają możliwość weryfikowania numerów PESEL i z informacji, którymi organ nadzorczy dysponuje w związku z prowadzonymi postępowaniami, banki z tego narzędzia korzystają. Jeżeli zatem bank może w sposób inny niż wykonanie kserokopii dokumentu tożsamości - powodującej pozyskiwanie nie zawsze niezbędnych danych - zweryfikować tożsamość klienta, to powinien z takich narzędzi korzystać.

Warto także zwrócić uwagę na określony w art. 72 ust. 6 pkt 3 ustawy o przeciwdziałaniu praniu pieniędzy zakres informacji, które instytucje obowiązane przekazują Generalnemu Inspektorowi Informacji Finansowych (dalej: Generalny Inspektor) - organowi właściwemu w sprawach przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu. Przepis ten stanowi, że informacje przekazywane Generalnemu Inspektorowi, o których mowa w art. 72 ust. 1 zawierają dane identyfikacyjne, o których mowa w art. 36 ust. 1 klienta wydającego dyspozycję lub zlecenie przeprowadzenia transakcji. Z powyższego przepisu nie wynika obowiązek przekazywania podmiotom obowiązanym kserokopii dokumentów tożsamości Generalnemu Inspektorowi jako potwierdzenia wypełnienia ustawowych obowiązków identyfikacji tożsamości. Wymóg taki nie wynika także z art. 74 ustawy o przeciwdziałaniu praniu pieniędzy, określającego zakres informacji przekazywanych przez podmioty zobowiązane Generalnemu Inspektorowi w sytuacjach zaistnienia okoliczności mogących wskazywać na podejrzenie popełnienia przestępstwa prania pieniędzy lub finansowania terroryzmu, a także z art. 76 tej ustawy, regulującego przekazywanie lub udostępnianie informacji na żądanie Generalnego Inspektora.

Podkreślenia wymaga, że Prezes Urzędu Ochrony Danych Osobowych nie twierdzi, że banki nie mogą w ogóle kopiować dokumentów tożsamości. Organ nadzorczy stoi na stanowisku, że kopiowanie można uznać za legalne, jeżeli wymagają tego względy bezpieczeństwa określone w art. 35 ustawy o przeciwdziałaniu praniu pieniędzy (przesłanki stosowania środków bezpieczeństwa).

Do Urzędu Ochrony Danych Osobowych docierają jednak sygnały, że banki nieomal przy każdej czynności bankowej żądają od klientów kopii dowodu tożsamości lub same sporządzają takie kopie w obecności klienta. Praktyka ta budzi wątpliwości organu nadzorczego. Dlatego Prezes Urzędu Ochrony Danych Osobowych stanowczo sprzeciwia stosowaniu praktyk wprowadzania w bankach procedur kopiowania dokumentów tożsamości przy każdej czynności bankowej.

Banki podczas dokonywania oceny poziomu ryzyka, o której mowa w art. 33 ustawy o przeciwdziałaniu praniu pieniędzy, powinny każdorazowo brać pod uwagę zasady: celowości i minimalizacji danych ustanowionych przepisami rozporządzenia 2016/679, tak aby pozyskiwanie kopii dokumentów tożsamości przez banki odbywało się tylko w uzasadnionych przypadkach i w konkretnym celu, a nie "na zapas". Wewnętrzne procedury banków związane ze stosowaniem środków bezpieczeństwa finansowego powinny uwzględniać powyższe regulacje. Przy opracowywaniu procedur warto także pamiętać o zasadzie ograniczenia czasowego wynikającej z art. 5 ust. 1 pkt e) rozporządzenia 2016/679, zgodnie z którą dane osobowe powinny być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy niż jest to niezbędne do celów, w których dane są przetwarzane.

Prezes Urzędu Ochrony Danych Osobowych, jak wyżej wskazano nie kwestionuje legalności kopiowania dowodów tożsamości w ogóle, podkreśla jednak, że jako organ nadzorczy czuwający nad przestrzeganiem przepisów o ochronie danych osobowych nie może zaakceptować praktyk podmiotów polegających na gromadzeniu kopii dokumentów tożsamości nie zawsze niezbędnych do osiągnięcia danego celu. Każdy przypadek kopiowania dokumentu tożsamości przez bank powinien być poddany indywidualnej ocenie i nie w każdym przypadku będzie przez Prezesa Urzędu Ochrony Danych Osobowych uznawany za nielegalny.

Zaznaczam także, że intencją Prezesa Urzędu Ochrony Danych Osobowych nie jest wprowadzanie w błąd czy dezinformacja, a działania które podejmuje organ nadzorczy wykonywane są w trosce o bezpieczeństwo danych osobowych. Zasadnym byłoby wypracowanie praktyk, które pozwoliłyby na osiągnięcie balansu pomiędzy interesami banków a ochroną danych osobowych ich klientów.

Opublikowano: www.uodo.gov.pl