Prawo: Kserowanie na cenzurowanym
Pretekstem dla podjęcia tej problematyki przez UODO stała się obowiązująca od 12 lipca br. ustawa o dokumentach publicznych. Efektem wejścia w życie nowych przepisów jest penalizacja wytwarzania, sprzedaży lub posiadania z zamiarem wprowadzenia do obrotu replik dowodów osobistych, praw jazdy oraz innych formularzy, wymienionych enumeratywnie w ustawie. Intencją prawodawcy było ograniczenie niekontrolowanego handlu tzw. dokumentami kolekcjonerskimi, który stanowił z reguły przykrywkę dla działań przestępczych, niemniej treść nowych przepisów sprowokowała do rozlicznych spekulacji medialnych.
Sprawcą całego zamieszania była zawarta w art. 2 ust. 1 pkt. 6 definicja repliki dokumentu publicznego, wyłączająca wprost spod obowiązywania nowego prawa jedynie kserokopie i wydruki komputerowe dokumentów wykonane dla celów urzędowych, służbowych lub zawodowych, które zostały sporządzone na podstawie odrębnych przepisów lub też na potrzeby osoby, dla której dokument publiczny został wystawiony. Niektórzy komentatorzy wprost sugerowali, iż z karą do dwóch lat więzienia powinni liczyć się przedsiębiorcy, którzy wykonali kopię dowodu osobistego bądź prawa jazdy w związku z zawieraniem bądź realizacją umowy z klientem, jeżeli przesłanka do kserowania nie została wprost ujęta w prawie.
Ksero to nie replika, ale…
Dywagacje na temat zakresu obowiązywania nowych przepisów skłoniły do reakcji Urząd Ochrony Danych Osobowych. W stanowisku, opublikowanym niezwłocznie po wejściu w życie ustawy o dokumentach publicznych, regulator zwrócił uwagę, że uznanie kserokopii dowodu tożsamości za jego replikę jest mocno dyskusyjne. Zgodnie z art. 2 ust. 1 pkt. 6 ustawy replika musi posiadać cechy autentyczności, o których nie sposób mówić w przypadku odwzorowania wykonanego na standardowym papierze z użyciem kopiarki lub drukarki komputerowej. Konstatacja ta nie oznaczała jednak aprobaty UODO dla uzasadnionego kserowania dowodów tożsamości przez firmy, w tym również instytucje sektora finansowego. „Podmiot, który skopiuje np. dowód osobisty, może odpowiadać za przetwarzanie zbyt szerokiego zakresu danych osobowych” – napisano w komunikacie z 12 lipca br.
Przedstawiciele urzędu twierdzili, że zawarcie bądź realizacja umowy z konsumentem nie stanowi wystarczającego uzasadnienia gromadzenia wszystkich danych uwidocznionych w dokumencie, a do tego sprowadza się jego skserowanie bądź skan. „W nowych dowodach osobistych widnieją dane, które są zbędne dla potrzeb zawarcia umowy, jak np. nasz wizerunek, płeć, obywatelstwo. Ponadto w starszych dokumentach dodatkowo był podany nasz wzrost i kolor oczu, a informacje te nie są potrzebne przedsiębiorcy” – informował UODO.
Nieco inaczej wygląda sytuacja instytucji finansowych, które korzystają choćby z uprawnienia do kopiowania dokumentów zawartego w art. 34 ust. 4 ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu. Jednak regulator i w tym przypadku zastosował niezwykle wąską i restrykcyjną interpretację obowiązujących przepisów. „W ocenie Prezesa UODO taka praktyka jest dopuszczalna tylko w określonych sytuacjach. Nie powinna być stosowana np. w przypadku zakładania konta, sprawdzania zdolności kredytowej czy zawierania umowy kredytowej” – czytamy w stanowisku urzędu. Zgodnie z linią zaprezentowaną przez tę instytucję, kopiowanie powinno mieć miejsce wyłącznie w przypadku, kiedy bank, ubezpieczyciel lub kantor nabierze podejrzeń odnośnie legalności wykonywanych transakcji.
Należy stworzyć w pełni funkcjonalny i powszechny system weryfikacji tożsamości oparty na elektronicznym dowodzie tożsamości, dostosować stosowne przepisy prawa w celu optymalizacji warunków jego używania i zapewnić instytucjom finansowym dostęp do danych zawartych w warstwie elektronicznej. Dopóki tego nie będzie, trudno mówić o sprawnym i powszechnym systemie weryfikacji tożsamości online, który gwarantowałby potwierdzenie tożsamości osoby, przez co mógłby przyczynić się do wyeliminowania skanów i kserokopii.
Argumenty te zostały następnie powtórzone w odpowiedzi prezesa UODO na pismo wystosowane przez prezesa Związku Banków Polskich, Krzysztofa Pietraszkiewicza. „Sporządzenie kopii dowodów tożsamości w ocenie organu nadzorczego jest legalne jedynie wtedy, kiedy wynika to wprost z przepisów rangi ustawy” – zadeklarował szef urzędu. Zakwestionował również argument, jakoby takowym upoważnieniem był art. 112b Prawa bankowego, zezwalający instytucjom finansowym na przetwarzanie danych zawartych w dokumentach tożsamości osób fizycznych. W opinii UODO, nie należy stawiać znaku równości pomiędzy rejestrowaniem informacji a fizycznym skanowaniem bądź kserowaniem formularza. Nawet i w przypadku określonym przez przepisy dotyczące AML banki powinny zachować ostrożność, jeśli chodzi o wykonywanie kopii dowodów tożsamości. „Każdorazowa decyzja (…) powinna być poprzedzona analizą i zweryfikowaniem, czy rzeczywiście taka czynność jest niezbędna, zgodnie z zasadami celowości i minimalizacji, o których mowa w art. 5 ust. 1 lit. b) i c) rozporządzenia nr 2016/679” – wskazał Jan Nowak.
UODO kontra RODO?
Tak restrykcyjne stanowisko instytucji odpowiedzialnej za nadzór nad właściwym przetwarzaniem danych osobowych wzbudziło poważne zastrzeżenia ekspertów. – Urząd nie może przesądzać, że gromadzenie danych osobowych zawartych w kopii dokumentu jest możliwe tylko i wyłącznie, jeżeli przepis prawa wyraźnie o tym mówi – podkreśla dr Maciej Kawecki, koordynator krajowej reformy ochrony danych osobowych w latach 2017-2019, a obecnie dziekan Wyższej Szkoły Bankowej. Twierdzi on, że podejście UODO nie tylko nie wyczerpuje zawartej w ogólnym rozporządzeniu o ochronie danych zasady minimalizmu, ale wręcz jest z nią sprzeczne. – To bank powinien ocenić, jaki zakres danych jest niezbędny do realizacji określonego celu. Jeżeli w danej sytuacji konieczne jest pobranie wszystkich danych, zawartych w dowodzie tożsamości, to oczywiście sporządzenie kopii tegoż dokumentu jest w pełni uzasadnione – zaznacza dr Maciej Kawecki.
Taką przesłanką w przypadku podmiotów sektora bankowego jest bez wątpienia konieczność stosowania środków bezpieczeństwa finansowego, do których należy m.in. identyfikacja klienta i weryfikacja jego tożsamości na podstawie dokumentów lub informacji publicznie dostępnych (art. 8b ust. 3 pkt. 1 ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu). – Jeśli klient po raz pierwszy przystępuje do czynności bankowej, co oznacza, że bank o nim nic nie wie, to instytucja finansowa ma obowiązek go zidentyfikować. Zrozumiałe jest, że w takich przypadkach jednym z elementów owej identyfikacji jest weryfikacja przedłożonego przez klienta dokumentu tożsamości, wykonanie jego skanu lub kserokopii oraz pobranie wzoru podpisu dla celów utworzenia kartoteki klienta – przekonuje Dariusz Kozłowski, wiceprezes zarządu Centrum Prawa Bankowego i Informacji.
Efektem wejścia w życie ustawy o dokumentach publicznych jest penalizacja wytwarzania, sprzedaży lub posiadania z zamiarem wprowadzenia do obrotu replik dowodów osobistych, praw jazdy oraz innych formularzy, wymienionych enumeratywnie w ustawie. Intencją prawodawcy było ograniczenie handlu tzw. dokumentami kolekcjonerskimi, który stanowił przykrywkę dla działań przestępczych, niemniej treść nowych przepisów sprowokowała do spekulacji, czy kserokopia dowodu tożsamości stanowi jego replikę.
Zakwestionował on również opinię UODO, jakoby banki „nieomal przy każdej czynności bankowej żądały od klienta kopii dowodu tożsamości lub też same sporządzały takowe kopie”. – Jeśli ktoś przychodzi do oddziału banku opłacić np. rachunki za media, czy też wypłacić pieniądze ze swojego konta, a czynność ta nie budzi podejrzeń, w tym również w stosunku do tożsamości osoby dokonującej tej czynności, to żaden pracownik banku nie będzie kserował jego dowodu osobistego czy paszportu. Chyba że mamy do czynienia z sytuacją, w której klient posługuje się już nowym dowodem, innym niż ten, którego ksero znajduje się w jego kartotece. Ale w takim przypadku mówimy o aktualizacji danych, a nie o zbędnym zbieraniu kserokopii. Inaczej wygląda sytuacja osoby, która zawiera umowę o świadczenie usług finansowych. Wówczas mamy do czynienia z dwiema możliwościami: jeżeli jest to dotychczasowy klient, to instytucja finansowa dysponuje już odwzorowaniem jego dokumentu, w przeciwnym razie konieczne jest wykonanie kopii celem uzupełnienia dokumentacji – podkreśla Dariusz Kozłowski. Skanowanie dowodu osobistego czy paszportu przez bank może być zatem konieczne również w przypadku, kiedy dotychczasowy formularz utracił moc prawną lub doszło do jego wymiany z innych przyczyn, np. w przypadku jego zagubienia, zniszczenia bądź kradzieży.
Bezpieczeństwo powinno być priorytetem
Poważne ograniczenie możliwości wykonywania kopii dokumentów może generować niepożądane zjawiska nie tylko w sektorze bankowym. Dr Kawecki przypomina, że zakłady pracy nierzadko delegują swych pracowników do państw, w których wymagana jest wiza służbowa, a starania o uzyskanie promesy z reguły prowadzone są za pośrednictwem zatrudniającego. – Niekiedy warunkiem pozytywnego rozpatrzenia wniosku wizowego jest załączenie kopii dokumentu tożsamości, przy czym wymóg taki występuje wyłącznie w wewnętrznych regulacjach państwa przyjmującego. Gdybyśmy przyjęli literalnie stanowisko zaprezentowane przez UODO, okazałoby się, że zakład pracy nie może pośredniczyć w staraniach o wizę, ponieważ jako administrator danych osobowych nie jest w stanie pobrać kopii paszportu – zauważa dziekan Wyższej Szkoły Bankowej.
Na inne niekonsekwencje wynikające z linii interpretacyjnej zaprezentowanej przez regulatora zwraca uwagę wiceprezes CPBiI. – Dla sektora bankowego absolutnym priorytetem jest bezpieczeństwo środków powierzonych przez klientów. Z tej przyczyny konieczna jest należyta weryfikacja tożsamości każdej osoby, która przychodzi do placówki celem przeprowadzenia operacji płatniczej. A jak dobrze pamiętamy, to już dziś zostało mocno utrudnione poprzez wyeliminowanie z dowodów osobistych informacji o cechach posiadacza, jego adresu czy wzoru odręcznego podpisu. Pytanie, jak w takim układzie sprawdzić tożsamość, jeśli nie będziemy mieli wzorca w postaci kopii dokumentu uzyskanej podczas zawierania umowy z bankiem, z którą możemy porównać przedkładany przez klienta dokument – zaznacza Dariusz Kozłowski. Przekonuje równocześnie, iż skserowanie dokumentu przez bank nie generuje większego ryzyka dla osób, których dane dotyczą, z uwagi chociażby na niezwykle restrykcyjne regulacje odnośnie tajemnicy bankowej. – Przecież banki, nie bez przyczyny, posiadają status instytucji zaufania publicznego. Szczerze powiedziawszy, nie słyszałem o żadnym przypadku, aby jakikolwiek bank zajmował się handlem danymi swoich klientów, to nie mieści się w profilu ich działalności – dodaje.
Otworzyć rejestry, a problem kopiowania zniknie
Kiedy zatem możliwe byłoby odstąpienie od kserowania dowodów osobistych przez banki? Wiceprezes CPBiI twierdzi, że w tym celu należałoby w pierwszej kolejności stworzyć w pełni funkcjonalny i powszechny system weryfikacji tożsamości oparty na elektronicznym dowodzie tożsamości, dostosować stosowne przepisy prawa w celu optymalizacji warunków jego używania i zapewnić instytucjom finansowym dostęp do danych zawartych w warstwie elektronicznej. Dopóki tego nie będzie, trudno mówić o jakimś innym sprawnym i powszechnym systemie weryfikacji tożsamości online, który z jednej strony gwarantowałby z bardzo wysokim prawdopodobieństwem potwierdzenie tożsamości osoby, a z drugiej mógłby przyczynić się do wyeliminowania skanów i kserokopii. Sektor bankowy ma co prawda dostęp do rejestrów publicznych, na czele z bazą PESEL i Rejestrem Dowodów Osobistych (RDO), ale tylko i wyłącznie w trybie uproszczonym, bez możliwości pozyskiwania jakichkolwiek danych z tego rejestru.
– Banki, jako instytucje zaufania publicznego, powinny mieć możliwość weryfikacji dokumentów online, w tym również wizerunku, który na nich widnieje – postuluje Dariusz Kozłowski. Z kolei Maciej Kawecki uważa, że zakaz kopiowania dowodów tożsamości nie może być traktowany jako forma przeciwdziałania wykorzystywaniu fałszywej lub skradzionej tożsamości na rynku. Znacznie skuteczniejsze byłoby według niego wprowadzenie bardziej wnikliwej weryfikacji osób ubiegających się o finansowanie, zwłaszcza w formie popularnych chwilówek.