Czy bank może kserować dowód osobisty klienta?
Powszechną praktyką, stosowaną w wielu firmach przy zawieraniu umów z konsumentami jest kserowanie ich dowodów osobistych. Czy taka praktyka jest zgodna z prawem?
Rozważając powyższe w pierwszej kolejności należy odnieść się do przepisów ustawy Prawo bankowe z dnia 29 sierpnia 1997 r. (Dz.U. z 2019 r. poz. 2357) (dalej „PrBank”), w szczególności art. 112b stanowiącego, że „Banki mogą przetwarzać dla celów prowadzonej działalności bankowej informacje zawarte w dokumentach tożsamości osób fizycznych.”. Pomimo przyzwolenia wyrażonego w omawianym przepisie Ustawodawca nie uregulował sposobu, w jaki bank może dokonywać czynności związanych z pozyskiwaniem danych osobowych klienta. Istotnym jest zatem rozróżnienie sytuacji, w której pracownik banku zwraca się o przekazanie dowodu tożsamości w celu weryfikacji danych, od czynności związanej ze skanowaniem bądź kserowaniem rzeczonego dokumentu w celu jego późniejszej archiwizacji. Utrwalanie danych osobowych przez kopiowanie lub przepisywanie nie przesądza samo z siebie o legalności albo nielegalności tej czynności.[1] Istotą jest bowiem ustalenie czy podmiot kopiujący dokument tożsamości ma podstawę prawną do przetwarzania wszystkich zawartych w nim danych[2].
Należy zgodzić się ze stanowiskiem wyrażonym przez dr. adw. P. Litwińskiego, który stwierdził, że: „dowód osobisty służy identyfikacji osoby, jest okazywany przy czynności wykonywanej osobiście. Wtedy dane z dowodu, w tym zdjęcie, są weryfikowane z rzeczywistością. Ale nie ma żadnych podstaw, żeby to samo zdjęcie było przechowywane w systemie banku, nie mówiąc już o danych ze starszych dowodów, które pozostają w obrocie, gdzie mieliśmy np. podany wzrost”. [3] Mając na względzie powyższe nie można uznać, iż kopiowanie bądź skanowanie dowodów osobistych związane z realizacją usług bankowych jest w pełni zgodne z przepisami, ponieważ przeczy temu zasada minimalizacji danych wyrażona w Rozporządzeniu Parlamentu Europejskiego i Rady (ue) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/we (ogólne rozporządzenie o ochronie danych, dalej „RODO”).
„Czy bank może kserować dowód osobisty klienta?”
Pogląd dotyczący analizowanej kwestii wyraził również Prezes Urzędu Ochrony Danych Osobowych w odpowiedzi na pismo Prezesa Związku Banków Polskich. Zgodnie z jej treścią „Sporządzanie kopii dowodów tożsamości w ocenie organu nadzorczego jest legalne jedynie wtedy, kiedy wynika to wprost z przepisów rangi ustawy.” Mając natomiast na względzie, iż przepisy zawarte w Ustawie Prawo bankowe nie regulują w takim zakresie wykonywania replik dokumentów publicznych uznać należy, że czynności banków związane z obsługą klientów powinny ograniczyć się wyłącznie do weryfikacji autentyczności oraz spisania danych z dokumentów tożsamości. Prezes UODO wskazał również, iż stanowczo sprzeciwia się takiej praktyce przy każdej czynności. Jednocześnie organ zwrócił uwagę, iż decyzje wydawane do chwili obecnej, w tym decyzja wydana przez Generalnego Inspektora Ochrony Danych Osobowych z dnia 22 lutego 2013 r. sygn. DOLIS/DEC-211/13 opierały się na nieobowiązujących obecnie przepisach prawnych.
Ponadto w opinii PUODO możliwości skanowania/kopiowania dowodów tożsamości nie powinna zostać całkowicie zakazana, ponieważ w niektórych sytuacjach działanie to jest legalne. Jako podstawę do sporządzania kopii dokumentów tożsamości należy wskazać m.in. przepisy ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu z dnia 1 marca 2018 r. (Dz.U. z 2019 r. poz. 1115, dalej również „TerroryzmU”). Zgodnie z art. 34 ust. 4 rzeczonej ustawy „Instytucje obowiązane na potrzeby stosowania środków bezpieczeństwa finansowego mogą przetwarzać informacje zawarte w dokumentach tożsamości klienta i osoby upoważnionej do działania w jego imieniu oraz sporządzać ich kopie.” Taką „instytucją obowiązaną” jest również bank, co daje mu prawo do sporządzania kopii dokumentów tożsamości.
Przytaczając art. 34 ust. 4 TerroryzmU zaznaczyć należy, że posiada on również pewne ograniczenia, m.in. art. 35 ust. 1 TerroryzmU wymieniający przypadki, w których Instytucje obowiązane są do stosowania środków bezpieczeństwa finansowego. Analizując powyższy przepis, jako przykład może posłużyć nam pkt. 2 lit, zgodnie z jego treścią stosowanie środków bezpieczeństwa jest możliwe w przypadku przeprowadzania transakcji okazjonalnej o równowartości 15 000 euro lub większej, bez względu na to, czy transakcja jest przeprowadzana jako pojedyncza operacja, czy kilka operacji, które wydają się ze sobą powiązane.
„Czy bank może kserować dowód osobisty klienta?”
Kolejnym obostrzeniem związanym z możliwością skorzystania przez bank z art. 34 ust. 4 TerroryzmU jest konieczność poprzedzenia decyzji o sporządzeniu kopii dowodu tożsamości analizą oraz weryfikacją, czy faktycznie rzeczona czynność jest konieczna i zgodna z zasadami celowości i minimalizacji, o których mowa w art. 5 ust. 1 lit b) i c) RODO. Ponadto zgodnie z art. 6 i 9 RODO, podstawą przetwarzania danych może być, np. uzasadniony interes administratora lub możliwość dochodzenia roszczeń. Oznacza to, że administrator dokonując „testu niezbędności” zobowiązany jest do wykazania, że absolutnie każda kategoria danych zamieszczona na dowodzie jest mu niezbędna dla realizacji celu jakim jest wykonanie usług bankowych.
Pomimo tego, że banki zgodnie ze wskazanymi powyżej przepisami mają możliwość kopiowania dokumentów tożsamości, nie należy tego uprawnienia pojmować jako działania niezbędnego do realizowania celów tych instytucji. Obecnie w prawie polskim nie ma ani zakazu kserowania dowodów osobistych na potrzeby realizacji umów, ani przepisu potwierdzającego taką możliwość. W związku z powyższym, za każdym razem należy w sposób wnikliwy przeanalizować wszystkie okoliczności stanu faktycznego. Należy mieć również na uwadze, że właściwym podejściem jest ograniczenie tego typu praktyk, w celu zminimalizowania ryzyka związanego z wykorzystywaniem danych osobistych do innych celów przez podmioty nieupoważnione, w tym do kradzieży tożsamości.
[1] wyroki NSA z 19 grudnia 2001 r., II SA 2869/00, NSA z 11 grudnia 2001 r., II SA 2684/00, NSA z 7 listopada 2003 r., II SA 1432/02,
[2] Dariusz Wociór „Ochrona danych osobowych i informacji niejawnych z uwzględnieniem ogólnego rozporządzenia unijnego”, C.H. Beck Wydawnictwo Polska, Warszawa 2016,
[3] P. Litwiński, (w:) P. Pieńkosz, RODO kontra prawo bankowe: co dalej z kserowaniem i skanowaniem dokumentów tożsamości przy zakładaniu kont, Dziennik Gazeta Prawna, 28.8.2018 r., https://edgp.gazetaprawna.pl/e-wydanie/55612,28-sierpnia-2018/65367,Firma-i-Prawo/670977,RODO-kontra-prawo-bankowe:-co-dalej-z-kserowaniem-i-skanowaniem-dokumentow-tozsamosci-przy-zakladaniu-kont.html (dostęp: 19.03.2020 r.).
Czy bank może kserować dowód osobisty klienta?