Prezes UODO na temat kopiowania dokumentów tożsamości przez instytucje obowiązane

Do Prezesa Urzędu Ochrony Danych Osobowych wpływają liczne sygnały dotyczące legalności pozyskiwania kopii dokumentów tożsamości przez instytucje obowiązane. W związku z tym UODO skierował pismo do Przewodniczącego Komisji Nadzoru Finansowego na temat konieczności opracowania wytycznych dla tego typu instytucji w sprawie weryfikacji tożsamości klientów. 

  • Dorota Kraskowska
  • /
  • 11 maja 2020

Wątpliwości, skargi i pytania w sprawie masowego kopiowania dokumentów tożsamości przez podmioty obowiązane napływają zarówno od administratorów, jak i od osób, których dane dotyczą. Administratorzy pytają, w jaki sposób prawidłowo weryfikować tożsamość klientów instytucji obowiązanych, natomiast sami klienci obawiają się o bezpieczeństwo swoich danych osobowych. Instytucje obowiązane wykonując kopie dokumentów tożsamości powołują się na przepisy Ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu z 1 marca 2018 roku.

Co to są instytucje obowiązane?

W Ustawie znajdziemy wykaz tzw. instytucji obowiązanych. Mogą nimi być zarówno firmy, instytucje, stowarzyszenia, organizacje, jak i indywidualni przedsiębiorcy. Do instytucji obowiązanych należą m.in.: banki, SKOK-i, firmy ubezpieczeniowe, pośrednicy ubezpieczeniowi,  towarzystwa inwestycyjne, instytucje pożyczkowe, kantory, notariusze, adwokaci, radcowie prawni, doradcy podatkowi, biura rachunkowe, biegli rewidenci, pośrednicy nieruchomości, operatorzy pocztowi, stowarzyszenia posiadające osobowość prawną, fundacje, firmy prowadzące działalność w zakresie gier losowych, zakładów wzajemnych, gier w karty i gier na automatach. 

Kopiowanie dokumentów tożsamości: uprawnienie a nie obowiązek

UODO nie kwestionuje zasadności sporządzania kopii dokumentów tożsamości przez instytucje obowiązane. Podmioty te mają prawo wykonywania tych czynności na podstawie art. 34 Ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu. W art. 34 "Przeciwdziałanie praniu pieniędzy" zostały wskazane środki bezpieczeństwa finansowego, jakie mogą stosować instytucje obowiązane. Punkt 4 podawany jest jako podstawa prawna kopiowania dokumentów tożsamości: Instytucje obowiązane na potrzeby stosowania środków bezpieczeństwa finansowego mogą przetwarzać informacje zawarte w dokumentach tożsamości klienta i osoby upoważnionej do działania w jego imieniu oraz sporządzać ich kopie.

Jednak w żadnym punkcie art. 43 nie znajdziemy zapisu o konieczności wykonywania kopii dokumentów tożsamości. Odpowiednim środkiem bezpieczeństwa jest identyfikacja klienta oraz weryfikacja jego tożsamości, a nie obowiązkowe wykonanie kopii dokumentu tożsamości. Przepisy dają możliwość sporządzenia kopii, ale nie nakazują wprost wykonywania tej czynności instytucjom obowiązanym.

W ocenie UODO, sporządzanie kopii dokumentu tożsamości klienta nie zawsze jest koniecznym środkiem bezpieczeństwa. Nie wszystkie czynności muszą być automatycznie powiązane z taką praktyką, a wiele podmiotów gromadzi te dane niejako “na zapas”, na wszelki wypadek. Każdy przypadek powinien być poprzedzony analizą celowości sporządzenia kopii dokumentu tożsamości. Prezes UODO podkreśla również, że weryfikacja klienta powinna uwzględniać — zgodnie z przepisami RODO — zasadę ograniczenia celu oraz minimalizacji danych osobowych.

Czy jest możliwe wypracowanie wspólnych praktyk, które zachowałyby równowagę między koniecznością gromadzenia bardzo szczegółowych danych w związku z zapobieganiem praniu pieniędzy i finansowaniu terroryzmu a ochroną danych osobowych? Dlatego właśnie prezes UODO — dostrzegając złożoność takiego projektu — zwrócił się do Przewodniczącego Komisji Nadzoru Finansowego z prośbą o opracowanie przez regulatora stosownych rekomendacji dla instytucji obowiązanych. Wytyczne są niezbędne, aby podmioty te mogły w sposób prawidłowy wypełniać obowiązek stosowania środków bezpieczeństwa finansowego wskazany w art. 34 Ustawy, a jednocześnie mogły postępować zgodnie z RODO. 

Jednolite standardy w tym zakresie wyeliminowałyby swobodną interpretację przepisów dokonywaną obecnie przez podmioty obowiązane oraz znacznie ograniczyłyby skargi klientów w sprawie nieuzasadnionego kopiowania ich dokumentów tożsamości.

Komisja Nadzoru Finansowego w odpowiedzi na apel UODO informuje, że wydanie przez KNF rekomendacji dla instytucji obowiązanych (a przez nią nadzorowanych) w zakresie wypełniania przez te instytucje obowiązku weryfikacji tożsamości klienta, mogłoby wywołać spór kompetencyjny pomiędzy KNF a Ministerstwem Finansów, a w właściwym organem w sprawach przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu, jak również w zakresie wydawania rekomendacji i interpretacji w tej sprawie jest Generalny Inspektor Informacji Finansowej.

Pełna treść odpowiedzi KNF do UODO TUTAJ:

Na podstawie materiałów UODO.

Odejście pracownika z pracy. Jak długo przechowywać dane osobowe?Odejście pracownika z pracy. Jak długo przechowywać dane osobowe? Alicja Skibińska

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?

Najnowsze tematy

WSPÓŁPRACA

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawa e-commerce
Prawo konsumenckie
Security Magazine
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO
Kliknij aby wrócić do strony głównej

Newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych artykułach. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!