Czy banki mogą wykonywać kopię dokumentów tożsamości klientów w razie braku podstaw w procedurze AML
Monitor Prawa Bankowego 2024/04 Kwiecień
Niniejszy artykuł przedstawia zagadnienie dotyczące uprawnienia banku do kopiowania dokumentów tożsamości na podstawie art. 112b p.b.[1]. W szczególności omawia uprawnienie do wykonywania kopii[2], gdy brak jest podstawy do takiego działania w przepisach u.p.p.p.[3].
Kamil Gliwiński
Igor Nowaczyński
Zauważyć należy, że ze względu na szerokie zastosowanie przepisów u.p.p.p., w ramach których banki mają obowiązek wykonywać kopię dokumentu tożsamości, takie sytuacje w obecnym stanie prawnym są wyjątkowe. Zgodnie ze stanowiskiem Generalnego Inspektora Informacji Finansowej sporządzenie kopii powinno być wynikiem dokonanej uprzednio analizy ryzyka, kopiowanie dokumentu tożsamości przy każdej wykonywanej przez bank czynności nie znajduje podstaw prawnych w u.p.p.p [4].
Wątpliwości nasuwają się w sytuacji, gdy analiza ryzyka na podstawie przepisów u.p.p.p. prowadzi do wniosku, że w konkretnej sprawie bank nie jest zobowiązany do wykonania skanu dowodu tożsamości. Uprawnienie banków do kopiowania takich dokumentów było kwestionowane na przestrzeni ostatnich lat przez organy nadzorcze do spraw ochrony danych osobowych. Stanowisko to stoi w sprzeczności z poglądami prezentowanymi przez znaczną część przedstawicieli doktryny. Utrudnia to bankom tworzenie polityk prywatności.
Problematyka stosowania art. 112b p.b. w obecnym stanie prawnym
Ustawodawca wprowadził art. 112b p.b.[5], w którym przyznał bankom uprawnienie do przetwarzania informacji zawartych w dokumentach tożsamości osób fizycznych dla celów prowadzonej działalności bankowej. Przepis ten dodano podczas obowiązywania u.o.d.o. z 1997 r.[6], która implementowała do polskiego porządku prawnego przepisy dyrektywy 95/46/WE[7]. Zauważyć należy, że w poprzednim okresie – na gruncie u.p.p.p. z 2000 r.[8] – nie występowała podstawa prawna legalizująca wykonywanie kopii dokumentów tożsamości przez banki. Nowelizacja, w której wprowadzono art. 112b p.b., miała na celu usankcjonowanie stosowanej praktyki kopiowania lub skanowania dokumentów tożsamości klientów banku[9].
Przepis ten w ostatnich latach wywoływał wiele wątpliwości. Najpierw Generalny Inspektor Ochrony Danych Osobowych, a następnie Prezes Urzędu Ochrony Danych Osobowych zakwestionowali zasadność i istnienie uprawnienia banków do wykonywania kopii dowodu tożsamości przy okazji świadczenia usług bankowych w ramach prowadzonej działalności na podstawie art. 112b p.b.
Konstrukcja powołanego przepisu wiąże się z tym, że został wprowadzony podczas obowiązywania u.o.d.o. z 1997 r. Przesłanki dopuszczalności przetwarzania danych osobowych regulował wtedy art. 23 u.o.d.o. z 1997 r. Odpowiednik podstawy przewidzianej w art. 6 ust. 1 lit. c RODO[10] – przetwarzanie niezbędne do wypełniania obowiązku prawnego ciążącego na administratorze (czyli w tym przypadku na bankach) – tj. art. 23 ust. 1 pkt 2 u.o.d.o. z 1997 r., był ujęty zdecydowanie szerzej. Zawierał w swojej dyspozycji również dopuszczalność przetwarzania danych w sytuacji, gdy jest to niezbędne do zrealizowania uprawnienia wynikającego z przepisu prawa (w niniejszym przypadku – art. 112b p.b.).
Ponadto w RODO wyodrębniono szczególną kategorię danych osobowych – dane biometryczne. Nie były one osobno kwalifikowane w u.o.d.o. z 1997 r. Do danych osobowych zawartych w warstwie graficznej dokumentów tożsamości zaliczyć należy zdjęcie oraz – w dowodach osobistych wydanych po 2.08.2021 r. – podpis. Trzeba zaznaczyć, że nie w każdej sytuacji, wykonując kopię dowodu tożsamości, przetwarza się dane osobowe szczególnej kategorii. Przyjęte pojęcie danych biometrycznych uwzględnia aspekt przetwarzania technicznego[11]. Przykładowo, wykonanie kopii dokumentu tożsamości na odpowiednim urządzeniu, a następnie jej wydruk nie stanowi przetwarzania szczególnych kategorii danych osobowych, ponieważ nie zastosowano specjalnych metod technicznych.
Ustawodawca w momencie wejścia w życie RODO nie zdecydował się na doprecyzowanie licznych przepisów szczególnych, które nie odpowiadały dotychczasowym podstawom przetwarzania danych osobowych. Taki stan rzeczy obecnie powoduje liczne wątpliwości przy ich wykładni. Widać to również w przypadku art. 112b p.b.
Podstawa przetwarzania danych osobowych zawartych w dokumentach tożsamości w działalności bankowej
W obecnym stanie prawnym problematykę zgodności z prawem przetwarzania danych reguluje:
- art. 6 ust. 1 RODO – w stosunku do danych osobowych zwykłych,
- art. 9 ust. 2 RODO – odnośnie do danych osobowych szczególnych kategorii.
Oba przepisy zawierają zamknięte katalogi przesłanek dopuszczalności przetwarzania danych osobowych. Artykuł 112b p.b. nie może stanowić samoistnej podstawy do ich przetwarzania. Należy go analizować w odniesieniu do podstaw wskazanych wyżej.
Przetwarzanie zwykłych danych osobowych zawartych w dokumentach tożsamości – czyli z wyłączeniem danych biometrycznych – powinno się analizować z uwzględnieniem art. 6 ust. 1 lit. c RODO. Chodzi o przetwarzanie niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. W treści przepisu nie wskazano wprost obowiązku prawnego ciążącego na banku. Odwołano się wyłącznie do uprawnienia do przetwarzania danych, co prowadzi do wątpliwości, czy taki przepis może obecnie być podstawą przetwarzania. W licznych publikacjach wyjaśniono jednak te wątpliwości. Wskazano, że w takim przypadku należy przyjąć, że przetwarzanie służy realizacji obowiązku nałożonego przepisami, mimo że nie został on wprost wyrażony[12].
Natomiast w odniesieniu do przetwarzania danych biometrycznych zawartych w dokumentach tożsamości (obecnie zarówno w dowodach osobistych, jak i paszportach), art. 112b p.b. należy analizować łącznie z art. 9 ust. 2 lit. a lub g RODO. Przetwarzanie danych biometrycznych musi wtedy następować za wyraźną zgodą klienta lub być niezbędne ze względów związanych z ważnym interesem publicznym.
Stanowisko GIODO na temat kopiowania dokumentów tożsamości przez banki
Początkowo, zdaniem GIODO, nie budziło wątpliwości, że banki mają uprawnienie do kopiowania dokumentów tożsamości. W licznych publikacjach GIODO wskazywał na art. 112b p.b. jako podstawę prawną[13]. W decyzjach, które wydawano po rozpatrzeniu skarg na kopiowanie przez banki dokumentów tożsamości, organ zaznaczał, że: „kopiowanie dokumentów, jako czynność techniczna służąca pozyskaniu danych osobowych, nie może być kwestionowana przez Generalnego Inspektora Ochrony Danych Osobowych”[14].
Stanowisko to było spójne z orzecznictwem sądów administracyjnych, które uznawały gromadzenie danych osobowych przez wykonanie kopii dokumentu za kwestię techniczną[15]. Jednocześnie Naczelny Sąd Administracyjny zaznaczał, że przepisy u.o.d.o. z 1997 r. nie określały techniki gromadzenia danych osobowych, ale zakres ich przetwarzania[16].
Dyskusja o dotychczasowej praktyce zaczęła się tuż przed wejściem w życie RODO. Edyta Bielak-Jomaa (pełniąca ówcześnie funkcję GIODO) wskazywała, że: „stosowanie dotychczasowej praktyki kopiowania dowodów osobistych nie tylko przez banki, ale i inne podmioty np. przez operatorów komórkowych – ze względu na związane z tym zagrożenia – powinno być poddane dogłębnej analizie”[17]. Jednocześnie postulowała de lege ferenda przeprowadzenie dyskusji o wprowadzeniu zakazu takich praktyk.
Stanowisko PUODO na temat kopiowania dokumentów tożsamości przez banki
Stanowisko PUODO[18] zmieniło się po wejściu w życie przepisów RODO. Organ ten, odwołując się do zmiany stanu prawnego, wprost stwierdził, że art. 112b p.b. nie upoważnia banków do kopiowania i skanowania dokumentów tożsamości swoich klientów.
W wydawanych stanowiskach PUODO wskazywał, że na podstawie art. 112b p.b. banki mają uprawnienie do przetwarzania danych osobowych zawartych w dokumentach tożsamości, natomiast przepis ten nic nie stanowi o ich kopiowaniu. Uznawał, że art. 112b p.b. nie pozwala bankom na wykonywanie kserokopii i skanów dowodów tożsamości klientów, np. w celu założenia rachunku bankowego czy zbadania ich zdolności kredytowej (a więc w odniesieniu do najczęściej dokonywanych czynności). Zdaniem POUDO w takiej sytuacji wystarczające jest spisanie danych z dokumentów tożsamości[19].
Jednocześnie PUODO zaznaczał, że takie operacje są dozwolone (również dla banków) wyłącznie w sytuacji, gdy na wykonywanie kopii dokumentów tożsamości wprost zezwalają przepisy, za przykład podając art. 34 ust. 4 u.p.p.p.[20]. Podkreślał, że przepis ten można stosować np. przy przeprowadzaniu transakcji okazjonalnej o równowartości 15 000 euro lub w przypadku, gdy zachodzi podejrzenie prania brudnych pieniędzy. Zdaniem POUDO art. 112b p.b. pozwala przetwarzać do celów prowadzonej działalności bankowej informacje zawarte w dokumentach tożsamości osób fizycznych, lecz nic nie mówi o sporządzaniu ich kopii.
W 2022 r. PUODO wydał decyzję administracyjną, w której stwierdził, że instytucje finansowe są uprawnione do wykonywania i zbierania kopii dokumentów tożsamości swoich klientów przy świadczeniu nawet najprostszych usług bankowych[21]. Decyzja ta odbiła się szerokim echem w prasie[22]. Wskazywano na zmianę stanowiska PUODO, w myśl którego nawet założenie rachunku bankowego uprawnia bank do wykonania kopii dokumentu tożsamości na podstawie przepisów u.p.p.p.
W odpowiedzi na doniesienia medialne PUODO wydał stanowisko, w którym ponownie stwierdził, że banki mogą kopiować dokumenty tożsamości wyłącznie zgodnie z art. 34 ust. 4 u.p.p.p. Nie są uprawnione do wykonywania kopii na podstawie art. 112b p.b., ponieważ treść tego przepisu uprawnia banki wyłącznie do przetwarzania danych zawartych w tych dokumentach. Nie jest to równoznaczne z ich kopiowaniem[23].
Krytyka stanowiska PUODO
Stanowisko PUODO zostało poddane szerokiej krytyce w piśmiennictwie. W szczególności za aktualny uznano pogląd, zgodnie z którym banki mają prawo gromadzić dane osobowe znajdujące się w dowodach tożsamości, a samo kserowanie dokumentów jest czynnością stricte techniczną[24]. Jako zbyt daleko idące uznano stanowisko, jakoby ich kopiowanie było możliwe wyłącznie wtedy, gdy ustawa wprost wskazuje na „kserowanie” czy „skanowanie” (jak w art. 34 ust. 4 u.p.p.p.).
W takim kierunku wypowiedział się Maciej Kawecki. Wskazał, że PUODO nie może odgórnie przesądzać, iż pozyskiwanie kopii dokumentów tożsamości każdorazowo wymaga wyraźnej podstawy prawnej. Taka wykładnia ograniczałaby stosowanie przepisów RODO, które wymieniają wiele przesłanek przetwarzania danych osobowych[25].
Interesujący pogląd wyraziła również Klara Dygaszewicz, odwołując się do wykładni celowościowej art. 34 ust. 4 u.p.p.p. Przepis ten wprowadzono, ponieważ wcześniej uprawnienie do kopiowania dokumentów tożsamości posiadały wyłącznie banki na podstawie art. 112b p.b. Gdyby ustawodawca miał na celu zmianę dotychczasowej praktyki kopiowania dokumentów tożsamości przez banki, to – zgodnie z zasadami techniki prawodawczej – powinien dokonać zmiany art. 112b p.b.[26].
Podsumowanie i wnioski
Dokonując wykładni art. 112b p.b. w oparciu o przepisy RODO dotyczące przesłanek oraz zasad przetwarzania danych osobowych, podzielić należy krytykę stanowiska prezentowanego przez PUODO. Nie obowiązuje przepis, który ograniczałby wykonywanie kopii dokumentów tożsamości do sytuacji, gdy ustawa wprost na to zezwala. Gdy istnieje odpowiednia przesłanka – na podstawie art. 6 ust. 1 lit. c RODO w zw. z art. 112b p.b. lub w odniesieniu do danych osobowych szczególnej kategorii na podstawie art. 9 ust. 2 lit. a lub g RODO w zw. z art. 112b p.b. – bank ma prawo do przetwarzania danych osobowych.
Sposób utrwalenia danych zawartych w dokumencie tożsamości jest irrelewantny dla oceny tego uprawnienia. Pogląd odmienny prowadziłby do zróżnicowania oceny poprawności czynności banku, np. sporządzenie odpisu dokumentu tożsamości (legalne) oraz jego skserowanie (nielegalne), mimo że w obu sytuacjach bank przetwarza dokładnie te same dane osobowe. Prawodawca unijny ani krajowy w żadnym przepisie nie ograniczają sposobu ich utrwalenia.
Prowadzi to do wniosku, że banki dysponują uprawnieniem do wykonywania kopii dokumentów tożsamości na podstawie art. 112b p.b. Kopie te nie mogą być jednak sporządzane w sposób mechaniczny przy okazji świadczenia usług na rzecz klientów. Ze względu na szeroki zakres stosowania przepisów u.p.p.p. taka sytuacja występuje niezwykle rzadko.
Na gruncie art. 112b p.b., przy wykonywaniu kopii całego dokumentu tożsamości, wszystkie dane osobowe muszą być niezbędne bankowi do realizacji celu, dla którego są utrwalane. Inna praktyka prowadziłaby do naruszenia zasady minimalizacji danych. Banki powinny zatem stworzyć procedury gwarantujące zbieranie danych jedynie w takim zakresie, jaki jest niezbędny do osiągnięcia celu. W przypadku gdy w tym celu wystarczy część danych osobowych, należy wykonać kopię zawierającą wyłącznie te dane, używając np. specjalnych nakładek na dokumenty.
Nie można jednak pomijać stanowisk wydawanych przez PUODO. Należy się spodziewać, że gdy bank kopiuje dokumenty tożsamości na podstawie art. 112b p.b., PUODO będzie konsekwentnie twierdził, że takie czynności naruszają przepisy dotyczące ochrony danych osobowych. Ze względu na brak organu wyższego stopnia środkiem zaskarżenia decyzji PUODO jest wniosek o ponowne rozpatrzenie sprawy. Jego skuteczność – z uwagi na ugruntowane stanowisko PUODO dotyczące kopiowania przez banki dokumentów tożsamości – należy oceniać jako niską. Uchylenie wadliwej decyzji może mieć miejsce dopiero na etapie postępowania przed wojewódzkim sądem administracyjnym.
Prowadzi to do dużej niepewności i ryzyka ponoszenia kosztów obsługi postępowań po stronie banków. W odpowiedzi należałoby się zastanowić nad zmianą procedur i – w miejsce wykonywania kopii dokumentów tożsamości – sporządzać ich odpisy z ograniczeniem do niezbędnych danych. Takie rozwiązanie prowadziłoby jednak do wielu problemów w praktyce. Gdyby bank przetwarzał skan dowodu tożsamości na podstawie przepisów u.p.p.p., dodatkowo musiałby wykonać jego odpis w trybie art. 112b p.b. ze względu na inne okresy przetwarzania danych osobowych. W związku z tym de lege ferenda należałoby zmienić treść art. 112b p.b. przez wyrażenie wprost uprawnienia do sporządzania przez banki kserokopii dokumentów tożsamości.
Kamil Gliwiński
radca prawny,
senior associate
w kancelarii SPCG
Igor Nowaczyński
aplikant radcowski,
junior associate
w kancelarii SPCG
[1] Ustawa z 29.08.1997 r. – Prawo bankowe (t.j. Dz.U. z 2023 r., poz. 2488), dalej: „p.b.”.
[2] „Dyspozycją komentowanego przepisu objęte są dane osobowe zawarte w dokumentach tożsamości, do których można zaliczyć dowód osobisty, który zgodnie z ustawą o dowodach osobistych jest dokumentem stwierdzającym tożsamość i obywatelstwo polskie, oraz paszport, który zgodnie z ustawą o dokumentach paszportowych poświadcza obywatelstwo polskie, a także tożsamość osoby w nim wskazanej w zakresie danych, jakie ten dokument zawiera. Do dokumentów tożsamości potwierdzających tożsamość cudzoziemców należy zaliczyć kartę pobytu, polski dokument tożsamości oraz dokument »zgoda na pobyt tolerowany«” – K. Dygaszewicz [w:] Prawo bankowe. Komentarz (red. A. Mikos-Sitek, P. Zapadka), Warszawa 2022, LEX/el., komentarz do art. 112b.
[3] Ustawa z 1.03.2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (t.j. Dz.U. z 2023 r., poz. 1124), dalej: „u.p.p.p.”.
[4] Pismo GIIF z 4.02.2020 r. do PUODO (IF6.701.29.2019), niepubl. [za:] A. Mednis [w:] Prawo obrotu pieniężnego. Komentarz (red. P. Zapadka), Warszawa 2023, LEX/el., komentarz do art. 34 u.p.p.p.
[5] Ustawa z 1.04.2004 r. o zmianie ustawy – Prawo bankowe oraz o zmianie innych ustaw (Dz.U. nr 91, poz. 870).
[6] Ustawa z 29.08.1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2016 r., poz. 922, ze zm.), dalej: „u.o.d.o. z 1997 r.”. Utraciła ona moc wraz z wejściem w życie ustawy z 25.05.2018 r. o ochronie danych osobowych (t.j. Dz.U. z 2019 r., poz. 1781), dalej: „u.o.d.o.” – zob. art. 175 u.o.d.o.
[7] Dyrektywa 95/46/WE Parlamentu Europejskiego z 24.10.1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. UE L nr 281, s. 31), dalej: „dyrektywa 95/46/WE”.
[8] Ustawa z 16.11.2000 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (t.j. Dz.U. z 2017 r., poz. 1049, ze zm.).
[9] A. Więch-Barchan, Uprawnienie banków do kopiowania dokumentów tożsamości, LEX/el. 2019.
[10] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. UE L nr 119, s. 1), dalej: „RODO”.
[11] D. Lubasz, W. Chomiczewski, M. Czerniawski, P. Drobek, U. Góral, M. Kuba, P. Makowski, K. Witkowska-Nowakowska [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz (red. E. Bielak-Jomaa, D. Lubasz), Warszawa 2018, LEX/el., komentarz do art. 4.
[12] P. Fajgielski, Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, Warszawa 2022, LEX/el., komentarz do art. 6 RODO.
[13] Zob. m.in. https://archiwum.giodo.gov.pl/pl/332/2839 (dostęp: 10.02.2024 r.).
[14] Decyzja GIODO z 22.02.2013 r. (DOLiS/DEC-211/13/11391).
[15] Wyrok NSA z 19.12.2001 r. (II SA 2869/00).
[16] Wyrok NSA z 7.11.2003 r. (II SA 1432/02).
[17] https://prawo.gazetaprawna.pl/artykuly/933162,czy-kserowanie-dowodu-osobistego-jest-zgodne-z-prawem. html (dostęp: 10.02.2024 r.).
[18] Z dniem 25.05.2018 r., na podstawie u.o.d.o., Prezes Urzędu Ochrony Danych Osobowych zastąpił Generalnego Inspektora Ochrony Danych Osobowych, przejmując jego dotychczasowe kompetencje.
[19] https://archiwum.uodo.gov.pl/pl/138/1182 (dostęp: 10.02.2024 r.).
[20] Jako przykład można wskazać stanowisko PUODO z 9.01.2019 r.
[21] Decyzja PUODO z 10.06.2022 r. (ZSPR.440.1701.2018.FT.AJ).
[22] https://www.gazetaprawna.pl/firma-i-prawo/artykuly/8489919,czy-mozna-kopiowac-dowody-osobiste.html (dostęp: 5.02.2024 r.).
[23] Https://uodo.gov.pl/pl/138/2476 (dostęp: 5.02.2024 r.).
[24] J. Byrski [w:] Prawo bankowe. Komentarz (red. serii K. Osajda, red. tomu J. Dybiński), Warszawa 2023, Legalis, komentarz do art. 112b.
[25] https://prawo.gazetaprawna.pl/artykuly/1446455,dowod-osobisty-ksero-banki-rodo.html (dostęp: 10.02.2024 r.).
[26] K. Dygaszewicz [w:] Prawo…,komentarz do art. 112b.