Prezes Urzędu Ochrony Danych Osobowych będzie musiał w wiążący sposób rozstrzygnąć trwający od kilku lat spór. Bank nie potrzebuje kopii dowodu osobistego klienta, aby świadczyć usługi – uważa autor skargi skierowanej na podstawie przepisów RODO.
Skarga, do której dotarł DGP, wpłynęła do Urzędu Ochrony Danych Osobowych (UODO) na początku sierpnia. Klientowi Credit Agricole Bank Polska nie spodobał się następujący zapis w regulaminie kont dla osób fizycznych: „Bank sporządza kopię dokumentu tożsamości klienta. Brak zgody na sporządzenie kopii dokumentu tożsamości oznacza brak możliwości otwarcia konta”. Skarżący uważa, że kserokopia lub skan dowodu osobistego nie są potrzebne do zawarcia umowy z bankiem, a jako przykład stawia Getin Noble Bank, mBank czy też Nest Bank, które nie gromadzą kopii dokumentów tożsamości – przynajmniej jeśli chodzi o najprostsze usługi, jak konta czy lokaty. A skoro tak jest, to inne banki również nie powinny tego robić. W przeciwnym razie pozyskują więcej danych osobowych, niż jest to niezbędne do zawierania i wykonywania umów. W końcu art. 5 ust. 1 lit. c rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE z 2016 r. L 119, s. 1; dalej: RODO) stanowi wprost: dane osobowe powinny być zbierane jedynie w takim zakresie, jaki jest niezbędny do osiągnięcia celu, w którym są przetwarzane (zasada minimalizacji danych).

My możemy

Temat kserowania i skanowania dowodów osobistych przez banki od lat wywołuje kontrowersje. Już w grudniu 2015 r. generalny inspektor ochrony danych osobowych negatywnie ocenił opisywaną praktykę, ale na zapowiedziach analiz zagadnienia się skończyło. Żadne propozycje zmian legislacyjnych nie powstały. Teraz może być jednak inaczej. Złożenie skargi na gruncie RODO oznacza bowiem, że prezes UODO będzie musiał ostatecznie rozstrzygnąć, czy działanie banków jest zgodne z unijnym prawem, i wydać w tym zakresie wiążącą decyzję.
Kto kseruje, a kto nie
Prowadzenie kont oszczędnościowo-rozliczeniowych należy do najprostszych usług oferowanych przez banki. I mimo że funkcjonalności rachunków są zbliżone we wszystkich bankach, to instytucje różnie podchodzą do kwestii kserowania i skanowania dokumentów tożsamości.
Bank Czy wymaga kopii dokumentu tożsamości do otwarcia konta
Alior Bank TAK
BGŻ BNP Paribas TAK
BZ WBK TAK
Credit Agricole Bank Polska TAK
Getin Noble Bank NIE
mBank NIE
Millennium TAK
Nest Bank NIE
Źródło: opracowanie własne. ©℗
Bankowcy się jej jednak nie obawiają. Utrzymują, że rozpoczęcie stosowania RODO nie zmieniło ich sytuacji, jeśli chodzi o uprawnienie do kopiowania dowodów osobistych. Wciąż przywołują art. 112b ustawy z 29 sierpnia 1997 r. – Prawo bankowe (t.j. Dz.U. z 2017 r. poz. 1876 ze zm.), który stanowi, że można przetwarzać dla celów prowadzonej działalności bankowej informacje zawarte w dokumentach tożsamości osób fizycznych.
– Jeżeli bank uzna, że praktyka kopiowania dowodów osobistych jest niezbędna ze względu na bezpieczeństwo działalności, to może ją stosować, chociażby po to, aby tym sposobem eliminować różne oszustwa – uważa Jerzy Bańka, wiceprezes Związku Banków Polskich. Pytany, w jaki sposób posiadanie ksero lub skanu dokumentu tożsamości podnosi poziom bezpieczeństwa, wskazuje, że pracownik banku, do którego przychodzi klient np. w celu wypłaty pieniędzy, może porównać jego wygląd z wizerunkiem zawartym w dowodzie, którego kopią dysponuje bank. W ten sposób utrudnia się oszustom podszywanie się pod osoby trzecie. Natomiast w przypadku występowania z wnioskiem o produkty bankowe przez internet załączenie skanu dokumentu tożsamości potwierdza, że dane rzeczywiście podaje konkretna osoba. Jerzy Bańka jest spokojny o rozstrzygnięcie prezesa UODO. – Powoływanie się przez skarżącego na zasadę minimalizacji danych z RODO, która ma charakter normy ogólnej, jest o tyle nietrafne, że reguła ta nie funkcjonuje w oderwaniu od innych przepisów. Skoro jest jednoznacznie brzmiąca regulacja prawa bankowego upoważniająca do pozyskiwania danych z dowodów osobistych, to przepis ten niejako neutralizuje zasadę minimalizacji danych – mówi Bańka.
WAŻNE W związku z RODO administratorzy muszą uważać, żeby nie gromadzić zbyt wielu danych osobowych.
Prawa do kserowania i skanowania dowodów osobistych broni również Przemysław Przybylski, rzecznik skarżonego Credit Agricole Bank Polska. – Oprócz art. 112b prawa bankowego także nowa ustawa z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu daje wyraźną podstawę prawną do pobierania i przechowywania kopii lub skanu dowodu osobistego. Klient nie musi wyrażać na to zgody, bo jest to element wykonywania obowiązku prawnego banku – tłumaczy Przybylski. Chodzi o art. 34 ustawy, który wskazuje, że na potrzeby stosowania środków bezpieczeństwa finansowego instytucje zobowiązane, wśród których są banki, mogą przetwarzać informacje zawarte w dokumentach tożsamości klienta oraz sporządzać ich kopie. – Bank przetwarza dane m.in. o wizerunku w celach zapewnienia bezpieczeństwa środków klienta – zapewnia Przybylski.

Wątpliwa praktyka

Zupełnie inaczej postrzegają to jednak pytani przez nas prawnicy specjalizujący się w tematyce ochrony danych osobowych. Ich zdaniem prawo banków do pozyskiwania danych z dokumentów tożsamości należy oceniać obecnie nie tylko w kontekście przywołanego art. 112b prawa bankowego, lecz także z uwzględnieniem RODO. Tymczasem, jak pisaliśmy na początku, rozporządzenie wyraźnie wskazuje, że administratorzy danych osobowych mogą gromadzić tylko tyle informacji o swoich klientach, ile jest to konieczne do realizacji aktualnych i precyzyjnie określonych celów przetwarzania. Jeśli coś wykracza poza niezbędny zakres, to nie powinno być pozyskiwane.
Doktor Paweł Litwiński z kancelarii Barta Litwiński widzi szansę, że stosując RODO, organ ochrony danych osobowych doprowadzi do wyeliminowania praktyki kserowania dowodów osobistych przez banki. – Zasada minimalizacji danych osobowych oznacza, że można gromadzić wyłącznie takie dane, jakie są niezbędne do realizacji określonego celu przetwarzania. Dowód osobisty służy identyfikacji osoby, jest okazywany przy czynności wykonywanej osobiście. Wtedy dane z dowodu, w tym zdjęcie, są weryfikowane z rzeczywistością – wyjaśnia dr Litwiński. – Ale nie ma żadnych podstaw, żeby to samo zdjęcie było trwale przechowywane w systemie banku, nie mówiąc już o danych ze starszych dowodów, które pozostają w obrocie, gdzie mieliśmy np. podany wzrost – dodaje radca prawny. Zgadza się z tym Maciej Rzeszewski, radca prawny w FILIPIAKBABICZ Kancelarii Prawnej. – Dowód osobisty zawiera znaczną liczbę danych o osobie fizycznej. W mojej ocenie niektóre z nich w większości przypadków będą zbędne do obrotu gospodarczego, np. miejsce urodzenia czy organ wydający dokument. Podobnie wzrost czy kolor oczu w starszych wzorach dowodów osobistych. Również zdjęcie osoby fizycznej bardzo rzadko jest niezbędne do realizacji celu przetwarzania – tłumaczy.
Prawnicy krytycznie oceniają również to, że banki od możliwości skserowania dowodu tożsamości uzależniają prawo skorzystania z podstawowych i prostych usług bankowych, jak np. prowadzenie konta. A zapisy podobne do cytowanego wyżej regulaminu Credit Agricole Bank Polska można znaleźć również w regulaminie ogólnym świadczenia usług bankowych dla osób fizycznych w Banku Millennium.
– Taki zapis w przygotowanym przez bank regulaminie nie jest zgodny z zasadą minimalizacji z RODO, ponieważ w istocie nie wskazano, w jakim konkretnie celu i w jakich okolicznościach przetwarzanie przez bank skanu dowodu jest niezbędne – ocenia dr inż. Krzysztof Świtała z Katedry Prawa Informatycznego na Uniwersytecie Kardynała Stefana Wyszyńskiego. A inni eksperci dodają, że tego typu postanowienia regulaminów mogą zostać uznane za naruszające nie tylko RODO, lecz także prawa konsumenckie.
– Stosowanie zapisów nakazujących konsumentowi przekazanie większej liczby informacji, niż to niezbędne do realizacji celu, np. umowy o rachunek bankowy, w mojej ocenie może być uznane za klauzulę niedozwoloną, kształtuje bowiem obowiązki konsumenta w sposób rażąco naruszający jego interesy – uważa mec. Rzeszewski.

opinia eksperta

Przed UODO ważna decyzja

Musimy pamiętać, że w lipcu 2018 r. w życie weszła ustawa z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu. Instytucjami zobowiązanymi do przestrzegania jej przepisów są m.in. banki krajowe, oddziały banków zagranicznych, oddziały instytucji kredytowych. Zgodnie z art. 34 ust. 4 tej ustawy instytucje obowiązane na potrzeby stosowania środków bezpieczeństwa finansowego mogą przetwarzać informacje zawarte w dokumentach tożsamości klienta i osoby upoważnionej do działania w jego imieniu oraz sporządzać ich kopie. Środkami bezpieczeństwa finansowego są m.in. mechanizmy identyfikacji klienta oraz weryfikacja jego tożsamości. W przepisie tym zrealizowano wynikający z art. 13 ust. l dyrektywy 2015/849 obowiązek podjęcia przez instytucje obowiązane działań obejmujących identyfikację i weryfikację tożsamości klienta i osoby upoważnionej do działania w imieniu klienta oraz jej umocowania do działania w imieniu klienta. Służy temu w niektórych przypadkach również zamieszczony na dokumentach tożsamości wizerunek.
W tym przypadku nie ma więc mowy o naruszeniu przewidzianej w RODO zasady minimalizmu. Musimy również pamiętać, że w przedmiocie możliwości gromadzenia kopii dowodów osobistych przez banki wypowiedział się już Naczelny Sąd Administracyjny w wyroku z 19 grudnia 2001 r. (sygn. akt II SA.2869/2000). Sąd ocenił wtedy, że gromadzenie danych osobowych przez wykonanie kopii dokumentu zawierającego te dane jest kwestią techniczną. Pamiętajmy, że również wtedy obowiązywała wynikająca z prawa unijnego zasada minimalizmu (nazwana zasadą celowości).
Na pewno jednak relacja zasady minimalizmu do obowiązujących przepisów prawa bankowego w zakresie gromadzenia danych z dokumentów tożsamości jest tematem interesującym. Skoro do prezesa Urzędu Ochrony Danych Osobowych wpłynęła skarga, urząd się nią zajmie, a rozstrzygnięcie będzie miało ogromne znaczenia dla sektora bankowego. ©℗

Twardy orzech do zgryzienia

Wyraźnie widać, że kontrowersje wokół opisywanej praktyki nie milkną. Pochylając się nad problemem, prezes UODO będzie musiał rozstrzygnąć argumenty padające z obu stron i ocenić w świetle RODO przywołane regulacje prawa bankowego. Tym razem oręż jest mocny, bo od tego roku przepisy o ochronie danych osobowych, w przeciwieństwie do przepisów prawa bankowego, mają charakter unijnego rozporządzenia cieszącego się pierwszeństwem przed prawem krajowym.
W oczekiwaniu na decyzję prezesa UODO eksperci spodziewają się, że zaingeruje on w obecną praktykę. – Uważam, że uzasadnienie zasadności przetwarzania wszystkich danych z dowodów osobistych dla potrzeb np. prowadzenia rachunku bankowego będzie trudne. Spodziewam się, że prezes UODO podejmie raczej działania zmierzające do skorygowania działania banków niż zaakceptuje tę praktykę – ocenia Maciej Rzeszewski. Z kolei dr inż. Krzysztof Świtała wskazuje, że nawet jeśli organ stanie po stronie argumentacji banków, to i tak powinien zdecydować o korekcie dotychczasowego sposobu działania instytucji finansowych. – Minimum, którego należy oczekiwać od prezesa UODO, to zobowiązanie banków, by pozyskiwane skany dokumentów tożsamości trwale opatrywały, np. w postaci znaku wodnego, datą sporządzenia, dopiskiem „kopia”, krótką informacją o administratorze, jak również by w miarę możliwości były one szyfrowane – mówi dr inż. Świtała. Pozwoli to zminimalizować zagrożenia związane z kradzieżą tożsamości na skutek nieuprawnionego pozyskania i wykorzystywania danych zawartych w kopiach dokumentów tożsamości gromadzonych przez banki. Dziś większość banków, które wykonują kopie dowodów osobistych swoich klientów, nie stosuje tak prostej metody zabezpieczania jak znaki wodne.

Skan to nie e-podpis

Banki nie są jedyną grupą przedsiębiorców, która wykonuje kopie dowodów osobistych swoich klientów. Praktyka ta jest wciąż popularna szczególnie wśród firm, które umożliwiają osobom fizycznym zawieranie umów przez internet. Jako koronny argument uzasadniający pozyskiwanie kopii dokumentów tożsamości przedsiębiorcy od lat podają chęć uwiarygodnienia tożsamości osób zawierających umowy drogą elektroniczną. Na odległość nie mogą bowiem wylegitymować klienta, tak jak ma to miejsce przy transakcjach dokonywanych w stacjonarnych placówkach firmy. Prawdziwość danych osobowych jest więc weryfikowana poprzez obowiązek załączania skanu dowodu osobistego do wypełnianego na stronie przedsiębiorcy formularza.
!Skan dokumentu tożsamości nie jest dobrym dowodem na to, że dane przesyłane przez osobę załączającą taki skan pochodzą faktycznie od właściciela dowodu osobistego.
Taka argumentacja została jednak obalona w kwietniu 2018 r., gdy Naczelny Sąd Administracyjny wydał wyrok w sprawie praktyki wykonywania kopii dokumentów tożsamości przez operatorów telekomunikacyjnych (sygn. akt I OSK 1354/16). Skład orzekający uznał, że pozyskiwanie ksero kopii lub skanów dowodów osobistych jest niezasadne, bo wbrew twierdzeniu telekomów nie można traktować kopii dokumentu tożsamości jako środka identyfikacji w sieci poprawiającego bezpieczeństwo obrotu gospodarczego. Przetwarzanie takich kopii nie prowadzi bowiem do wyeliminowania nadużyć polegających na podawaniu przez osoby korzystające z elektronicznych kanałów sprzedaży fałszywych danych o sobie.
– Skan dokumentu tożsamości nie jest dobrym dowodem na to, że dane przesyłane przez osobę załączającą taki skan pochodzą faktycznie od właściciela dowodu osobistego. Wiele osób ma dostęp do kopii dokumentów tożsamości. Przesłanie takiego skanu dowodzi jedynie tego, że osoba przekazująca skan posiada do niego dostęp – zauważa Maciej Rzeszewski. W ocenie rozmówcy właśnie podkreślona przez sąd niewielka skuteczność takiego sposobu potwierdzania tożsamości powinna doprowadzić do wyeliminowania opisywanej praktyki.
– Wykładnia NSA jest bez wątpienia trafna. Należy pamiętać, że w wielu przypadkach w celu zapewnienia bezpieczeństwa obrotu gospodarczego można weryfikować dane określonej osoby z zasobami zgromadzonymi w rejestrze PESEL i Rejestrze Dowodów Osobistych, jeśli tylko wykazany zostanie interes prawny – dodaje dr inż. Krzysztof Świtała.

Uwierzytelnianie w internecie

Skan dowodu osobistego nie może być traktowany jako substytut środków identyfikacji elektronicznej, ponieważ te ostatnie są wprost określone w rozporządzeniu Parlamentu Europejskiego i Rady (UE) nr 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylającym dyrektywę 1999/93/WE (rozporządzenie eIDAS; Dz.Urz. UE z 2014 r. L 257, s. 73). – W sytuacji wykorzystywania komunikacji elektronicznej możemy identyfikować określone podmioty za pomocą środków identyfikacji elektronicznej i usług zaufania przewidzianych w rozporządzeniu eIDAS, a więc podpisów i pieczęci elektronicznych wraz z certyfikatami, profilu zaufanego ePUAP, a w przyszłości także przy wykorzystaniu warstwy elektronicznej nowego dowodu osobistego – wskazuje dr inż. Świtała.