Instytucje finansowe zapytały organ nadzorczy o to, czy mogą wykonywać kopie dokumentów tożsamości swoich klientów. Ale gdy wydane stanowisko nie było po ich myśli, część je zignorowała
W sierpniu 2019 r. prezes Urzędu Ochrony Danych Osobowych w odpowiedzi na pytanie Związku Banków Polskich wydał stanowisko (nr ZSPR.027.306.2019), że banki nie zawsze mogą kopiować dowody osobiste. Niestety, mimo że od tego czasu minęło wiele miesięcy, część banków nie uwzględniła zaleceń. Wśród nich ING Bank Śląski SA, który w odpowiedziach na składane reklamacje informuje klientów, że „Stanowisko [prezesa UODO ‒ red.] nie ma zastosowania w przypadku banku”. I dodaje: „Podjęliśmy decyzję, że będziemy pobierać skany dokumentów od wszystkich naszych klientów”. W praktyce oznacza to, że instytucja wykonuje kopie dokumentów tożsamości wszystkich grup klientów: konsumentów i przedsiębiorców, i to niezależnie od tego, czy korzystają z konta, lokaty czy kredytu.

Bezrefleksyjne skanowanie

Kategoryczne stwierdzenia ING BŚ SA mogą dziwić, gdy konfrontuje się je ze stanowiskiem prezesa UODO. Raz, że opinia organu była wprost adresowana do banków. Dwa, UODO podkreślił w niej, że w świetle obowiązujących przepisów niedopuszczalna jest praktyka banków polegająca na automatycznym wykonywaniu kopii dokumentów tożsamości wszystkich klientów niezależnie od tego, z jakich usług korzystają. „Sporządzenie kopii dowodów tożsamości w ocenie organu nadzorczego jest legalne jedynie wtedy, kiedy wynika to wprost z przepisów rangi ustawy” – czytamy w stanowisku z sierpnia br.
Gdy o praktykę ING BŚ zapytaliśmy rzecznika tej instytucji, Piotra Utratę, ten odpowiedział, że przepisem legalizującym ich działania jest art. 34 ust. 4 ustawy z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (t.j. Dz.U. z 2019 r. poz. 1115; dalej: u.p.p.p.f.t.). – Zgodnie z tym przepisem instytucje obowiązane na potrzeby stosowania środków bezpieczeństwa finansowego mogą przetwarzać informacje zawarte w dokumentach tożsamości klienta i osoby upoważnionej do działania w jego imieniu oraz sporządzać ich kopie – mówi rzecznik ING BŚ.
Tyle tylko, że zdaniem UODO również ta ustawa nie uzasadnia bezrefleksyjnego kopiowania dowodów wszystkich klientów. Organ wskazuje, że te regulacje należy interpretować w ten sposób, że kserowanie czy skanowanie ich jest możliwe jedynie w ściśle określonych przypadkach, jak np. przeprowadzanie transakcji okazjonalnej o równowartości 15 tys. euro lub większej, albo wtedy, gdy zachodzi podejrzenie prania pieniędzy lub finansowania terroryzmu. „Banki podczas dokonywania oceny poziomu ryzyka, o której mowa w art. 33 u.p.p.p.f.t., powinny każdorazowo brać pod uwagę zasady: celowości i minimalizacji danych (…), tak aby pozyskiwanie kopii dokumentów tożsamości przez banki odbywało się tylko w uzasadnionych przypadkach i w konkretnym celu, a nie na zapas” – napisał UODO.

Nieaktualna argumentacja

Różnicę w ocenie przepisów prawa widać również, jeśli chodzi o interpretację ustawy z 29 sierpnia 1997 r. – Prawo bankowe (t.j. Dz.U. z 2019 r. poz. 2357). – W przypadku banków dodatkowym wzmocnieniem uprawnienia do kopiowania dowodów osobistych jest art. 112b tej ustawy, zgodnie z którym mogą one przetwarzać dla celów prowadzonej działalności bankowej informacje zawarte w dokumentach tożsamości osób fizycznych – twierdzi Piotr Utrata. Z kolei UODO zauważa, że przepis ten nie stanowi, że banki mogą sporządzać kopie dowodów. W ocenie organu w celach prowadzenia działalności bankowej nie zawsze konieczne jest sporządzanie kopii, często wystarczy bowiem samo spisanie danych z dokumentu.
Banki, broniąc swojego stanowiska, powołują się też na decyzję generalnego inspektora ochrony danych osobowych z 22 lutego 2013 r. (sygn. DOLIS/DEC-211/13). – Zgodnie z uzasadnieniem do tej decyzji kopiowanie dokumentów, jako czynność techniczna służąca pozyskaniu danych osobowych, nie może być kwestionowana przez GIODO. Z punktu widzenia przepisów ustawy o ochronie danych osobowych istotny jest nie sam fakt kopiowania dokumentów, lecz to, by gromadzenie danych zawartych w kopiach tych dokumentów było oparte na konkretnej podstawie prawnej, w niniejszym wypadku jest to art. 112b ustawy – Prawo bankowe – mówi Piotr Utrata. Problem polega na tym, że następca GIODO, czyli prezes UODO, sygnalizował, że do tamtej decyzji nie należy obecnie przywiązywać wielkiej wagi, ponieważ opierała się na nieobowiązujących obecnie przepisach. Ponadto od czasu jej wydania w sferze ochrony danych wydarzyło się wiele, przede wszystkim w życie weszło rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO, ogólne rozporządzenie o ochronie danych; Dz.Urz. UE z 2016 r. L 119, s. 1).

Nadzór ukróci rynkowy dualizm?

Efekt wzajemnego przerzucania się argumentami pomiędzy organem nadzorczym a instytucjami finansowymi jest taki, że na rynku wykształcił się dualizm. Część banków – oprócz ING Banku Śląskiego SA są to m.in. Bank Millennium SA, Alior Bank SA, Credit Agricole Bank Polska SA – co do zasady wykonuje kopie dokumentów tożsamości wszystkich klientów, podczas gdy inne – np. mBank SA, Bank Pekao SA czy też Getin Noble Bank SA – albo w ogóle ich nie robią, albo jedynie przy wybranych usługach.
– Takiej sytuacji logicznie wytłumaczyć się nie da. Jest to samo prawo, taki sam produkt, a różny zakres danych. Ktoś musi mieć rację, a ktoś musi się mylić – zauważa dr Paweł Litwiński, adwokat z Kancelarii Barta Litwiński. – Dlatego aż prosiłoby się tutaj o jakąś inną wypowiedź prezesa UODO niż stanowisko, którego nie da się zaskarżyć do sądu. Mówiąc wprost, potrzeba decyzji, zapewne zakazującej skanowania dowodów, i następnie jej weryfikacji przed sądem – dodaje.
Taka sytuacja nie podoba się również UODO. Dlatego urząd zapowiada, że sprawa kopiowania dokumentów klientów banków będzie przedmiotem kontroli w 2020 r. [stanowisko] W przeciwieństwie do ogólnego stanowiska z września 2019 r. efektem kontroli mogą być decyzje administracyjne w stosunku do konkretnych podmiotów. Praktyka pokazała, że w tej kwestii potrzebne jest wiążące rozstrzygnięcie.
Stanowisko UODO z 12 grudnia 2019 r. dla DGP
Prezes Urzędu Ochrony Danych Osobowych konsekwentnie stoi na stanowisku, że możliwość kopiowania dokumentów tożsamości w przypadkach określonych w ustawie o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmowi nie jest równoznaczna z takim obowiązkiem po stronie banków na gruncie ustawy ‒ Prawo bankowe. Ponadto za każdym razem, gdy bank na podstawie art. 34 pierwszej z wymienionych ustaw zamierza skopiować dokument tożsamości, to decyzję o tym powinien poprzedzić analizą i zweryfikowaniem, czy rzeczywiście taka czynność jest niezbędna, zgodnie z zasadami celowości i minimalizacji, o których mowa w art. 5 ust. 1 lit b i lit. c RODO, czyli ogólnego rozporządzenia o ochronie danych osobowych.
Zaprezentowane przez prezesa UODO stanowisko formalnie nie ma charakteru wiążącego, ale jest wyrazem przyjętej przez organ wykładni obowiązujących przepisów prawa, którą organ będzie się kierował w prowadzonych przez siebie postępowaniach administracyjnych.
Sygnały o odmiennej praktyce niektórych banków działających na polskim rynku sprawiają, że przedstawiona kwestia będzie objęta zakresem planowanych w 2020 r. kontroli sektorowych w bankach.

PYTANIA DO EKSPERTA

Dr Maciej Kawecki, dziekan Wyższej Szkoły Bankowej w Warszawie

Stanowisko UODO nie ujednoliciło praktyki banków w kwestii kopiowania dowodów klientów. Część instytucji to robi, część nie. Jak pan to ocenia?
Do stanowiska prezesa UODO podchodzę krytycznie, bo uważam, że organ nie może odgórnie przesądzać, że w każdym przypadku pozyskiwanie kopii dokumentów tożsamości wymaga znalezienia wyraźnej ustawowej podstawy prawnej do pozyskiwania takich kopii. Po pierwsze, wykładnia taka ogranicza stosowanie przepisów RODO, które wskazują na wiele przesłanek przetwarzania danych. Nie jest nią wyłącznie obowiązek wynikający z przepisów prawa. Po drugie, takie stanowisko wyręcza administratorów, w tym przypadku banki, z obowiązku dokonania oceny zakresu gromadzonych danych z punktu widzenia zasady minimalizacji.
Czy przy zbieraniu kopii dokumentów tożsamości można mówić o wypełnieniu przesłanki z RODO dotyczącej niezbędności przetwarzania danych, skoro część banków obywa się bez gromadzenia kserokopii bądź skanów?
Bank ma prawo pozyskiwać kopie dokumentów tożsamości tylko wtedy, gdy nie jest w stanie realizować określonych celów w inny sposób, a ich pozyskanie znajduje podstawę w RODO, a nie tylko, gdy ustawa tak mówi. Podam przykład. Wyobraźmy sobie bank, który jest pracodawcą, a jednocześnie wchodzi w skład dużej globalnej korporacji. Chciałby więc delegować pracownika do pracy w kraju, w którym wymagane są wizy biznesowe, a elementem ich udzielenia jest doręczenie przez delegującego pracodawcę kopii dokumentu tożsamości pracownika. Nie ma żadnego przepisu prawa polskiego ani unijnego zobowiązującego pracodawcę do pozyskania takiej kopii. Mimo to bank ma prawo taki dokument pozyskać, przechowywać, a nawet udostępnić właściwym organom innego kraju. Jest to uzasadnione prawnie usprawiedliwionym celem pracodawcy.
Ale weźmy przykład zwykłego konta. Jak logicznie wytłumaczyć to, że jedna grupa banków nie potrzebuje skanów, a druga twierdzi, że tak?
Z pozoru podobne usługi potrafią się od siebie różnić. Można sobie wyobrazić, że podobna usługa w jednym przypadku uzasadnia pozyskanie kopii dokumentu tożsamości, a w innym nie. Różnica w podejściu do pozyskiwania kopii dokumentów tożsamości znajduje swoje źródło w art. 35 u.p.p.p.f.t., który nie nakłada obowiązku, ale przyznaje bankom uprawnienie do pozyskiwania takich kopii. To, czy z niego skorzystają, bardzo często zależy od konkretnego stanu faktycznego i wewnętrznych reguł korporacyjnych. W praktyce im bank jest większą korporacją, im działa na większej liczbie rynków na całym świecie, tym większa tendencja do pozyskiwania takich kopii. Dzieje się tak dlatego, że w bardzo w wielu krajach banki mają taki obowiązek, a duże korporacje mają dzisiaj praktykę unifikowania swoich standardów.