Czy banki mogą kserować dowody osobiste klientów? Eksperci odpowiadają

Do "Rzeczpospolitej" zgłaszają się czytelnicy zaniepokojeni praktyką kserowania dowodów osobistych przez banki. Jednak w odróżnieniu od np. wypożyczalni sprzętu sportowego, w tym przypadku praktyka taka jest zupełnie legalna.

Publikacja: 22.10.2024 17:16

Czy banki mogą kserować dowody osobiste klientów? Eksperci odpowiadają

Foto: Adobe Stock

Zgodnie z art. 6 RODO przetwarzanie danych jest legalne m.in., gdy jest to niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, i czy osoba, której dane dotyczą wyraziła na to zgodę. Jednocześnie zgodnie z zasadą minimalizacji i celowości, również przewidzianą w RODO, administrator powinien ograniczyć przetwarzanie tylko do tych danych, które są niezbędne dla realizacji określonego celu. Musi on też zrealizować obowiązek informacyjny wobec osób, których dane przetwarza (zgodnie z art. 13 RODO) - tj. w prosty sposób poinformować m.in. o tym, jakie dane i do jakiego celu przetwarza, jak długo zamierza to robić czy też komu zamierza te dane udostępniać.

Czy bank może kserować dowód osobisty? Walka z praniem pieniędzy i terroryzmem

Jerzy Bańka, radca prawny i były wiceprezes Związku Banków Polskich wskazuje że art. 112 b Prawa bankowego stanowi iż „Banki mogą przetwarzać dla celów prowadzonej działalności bankowej informacje zawarte w dokumentach tożsamości osób fizycznych”.

– Jest to przepis szczególny wobec przepisów RODO – tłumaczy ekspert. – Celem przetwarzania jest nie tylko weryfikacja tożsamości, ale także konieczność dokumentowania czynności bankowych i wykonywanie przepisów o przeciwdziałaniu praniu pieniędzy i zwalczaniu terroryzmu – dodaje.

– Bardzo dobrze, że obywatele starają się chronić swoją tożsamość i nie powinni zostawiać dowodów osobistych np. w wypożyczalniach samochodów czy sprzętu wodnego – tłumaczy Przemysław Barbrich, dyrektor Zespołu Komunikacji i PR w ZBP. – Ale banki są wręcz zobowiązane, by tego typu działania prowadzić. Dokumenty te są przechowywane w sposób bezpieczny i klienci nie powinni się niepokoić – dodaje.

Chodzi w tym wypadku konkretnie o art. 34 ust. 4 ustawy z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, zgodnie z którym instytucje finansowe mają prawo – w określonych przypadkach – do sporządzania kopii dowodów tożsamości. Instytucje te muszą przeprowadzić ocenę czy przetwarzanie na te potrzeby danych osobowych osoby fizycznej zawartych w kopii dowodu osobistego jest niezbędne (art. 5 lit.b i c RODO) oraz ocenę ryzyka prania pieniędzy i finansowania terroryzmu.

Gdy bank kopiuje dowód osobisty. Zagrożenia wynikające z nadmiernego kopiowania danych

Urząd Ochrony Danych Osobowych w odpowiedzi na nasze pytanie w tej sprawie zwraca zaś uwagę, że zgodnie z RODO, dane osobowe muszą być przechowywane „w sposób zapewniający odpowiednie bezpieczeństwo (...), w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych”. Przypomina również, że seria i numer dowodu osobistego identyfikują jedynie sam dokument, a nie osobę która się nim posługuję. Nie stanowią więc danych wrażliwych.

Czytaj więcej

Czy ubezpieczyciel może żądać kserokopii dowodu osobistego

UODO zauważa jednak, że dane te, w połączeniu z innymi dostępnymi na dowodzie osobistym (numer PESEL, imię i nazwisko) mogą z powodzeniem posłużyć do tzw. kradzieży tożsamości, gdy dostaną się one w niepowołane ręce. Sam numer PESEL zaś, oprócz identyfikacji danej osoby, zdradza też jej wiek i płeć, a przez to może być wykorzystany np. do profilowania.

Jednocześnie UODO przyznaje, że choć nie prowadzi szczegółowych statystyk w tej kwestii, to problem nadmiernego kopiowania dokumentów potwierdzających tożsamość nadal istnieje. Obecnie trwa kilkanaście postępowań związanych z takim kopiowaniem. 

– Jeżeli mamy wątpliwości czy administrator właściwie postępuje z naszymi danymi, w tym czy przestrzega naszych praw, mamy prawo zwrócić się do niego z określonym żądaniem np. zaprzestania naruszania praw, jakie daje nam RODO. Możemy również złożyć skargę do Prezesa UODO – wskazuje Karol Witowski, rzecznik prasowy UODO.

– Ponadto, gdy uważamy, że nasze dane osobowe są przetwarzane niezgodnie z prawem, to możemy również dochodzić swoich praw przed sądem powszechnym (art. 79 RODO). A jeżeli uznamy, że w wyniku naruszenia przepisów RODO ponieśliśmy szkodę, mamy też prawo żądać od administratora lub podmiotu przetwarzającego odszkodowania, do czego uprawnia nas art. 82 RODO – podsumowuje rzecznik UODO.

Opinia dla "Rzeczpospolitej"
prof. Grzegorz Sibiga, adwokat i partner w Traple Konarski Podrecki i Wspólnicy

Przepisy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu dopuszczają, aby instytucje obowiązane na potrzeby stosowania środków bezpieczeństwa finansowego przetwarzały informacje zawarte w dokumentach tożsamości klienta i osoby upoważnionej do działania w jego imieniu oraz sporządzały ich kopie. Wynika z tego, że także banki mogą w świetle tych przepisów i Prawa bankowego kopiować dokumenty tożsamości klientów i zbierać w ten sposób dane w nich zawarte, i to bez zgody osób, których dane dotyczą. Jednak równolegle obowiązują ich wszystkie przepisy RODO dotyczące ochrony danych osobowych, w tym zasady minimalizacji danych oraz ograniczenia celu przetwarzania. Oznacza to, że banki muszą samodzielnie ocenić na gruncie tych przepisów, czy sposób realizacji danego środka bezpieczeństwa jest odpowiedni do zidentyfikowanego przez nich poziomu ryzyka i w związku z tym, czy kopiować dokument i jakie gromadzić konkretne dane w nim zawarte.  

Zgodnie z art. 6 RODO przetwarzanie danych jest legalne m.in., gdy jest to niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, i czy osoba, której dane dotyczą wyraziła na to zgodę. Jednocześnie zgodnie z zasadą minimalizacji i celowości, również przewidzianą w RODO, administrator powinien ograniczyć przetwarzanie tylko do tych danych, które są niezbędne dla realizacji określonego celu. Musi on też zrealizować obowiązek informacyjny wobec osób, których dane przetwarza (zgodnie z art. 13 RODO) - tj. w prosty sposób poinformować m.in. o tym, jakie dane i do jakiego celu przetwarza, jak długo zamierza to robić czy też komu zamierza te dane udostępniać.

Pozostało 88% artykułu
Podatki
Skarbówka zażądała 240 tys. zł podatku od odwołanej darowizny. Jest wyrok NSA
Prawo w Polsce
Jest apel do premiera Tuska o usunięcie "pomnika rządów populistycznej władzy"
Edukacja i wychowanie
Ferie zimowe 2025 później niż zazwyczaj. Oto terminy dla wszystkich województw
Praca, Emerytury i renty
Ile trzeba zarabiać, żeby na konto trafiło 5000 zł
Materiał Promocyjny
Klimat a portfele: Czy koszty transformacji zniechęcą Europejczyków?
Prawo karne
Rząd zmniejsza liczbę więźniów. Będzie 20 tys. wakatów w celach