Od wejścia w życie przepisów ogólnego rozporządzenia o ochronie danych (RODO) w maju 2018 roku znacznie zwiększyła się świadomość społeczna w zakresie ochrony danych osobowych. Coraz bardziej zwracana jest uwaga na to, aby danych osobowych nie ujawniać z taką ochotą, mamy też na uwadze ryzyka związane z dostępem osób nieupoważnionych do informacji na nasz temat. W tym kontekście, pojawiają się wątpliwości odnośnie kopiowania dokumentów tożsamości – czy na gruncie przepisów RODO dalej jest to możliwe?
„Poproszę o dowód – muszę skserować”.
Z taką sytuacją najczęściej mamy do czynienia w różnego rodzaju instytucjach finansowych, decydując się na skorzystanie z ich oferty. Wiele osób ma wówczas obawy o zgodność z prawem takiego zachowania, a zdarza się, że najbardziej podejrzliwi rezygnują wówczas z usługi, nie zgadzając się na wykonanie kopii dokumentu. Pytanie, czy zawsze w takiej sytuacji musimy się obawiać? A może jest to działanie prawidłowe?
Ksero dokumentu tożsamości dopuszczalne i wymagane.
Jak się okazuje, odpowiedź na postawione pytanie o możliwość wykonania ksero dowodu tożsamości często jest twierdząca: można wykonać taką kserokopię. Odnosi się to jednak do konkretnych sytuacji: dotyczy instytucji finansowych i określonego celu, jakim jest potrzeba zastosowania tzw. środków bezpieczeństwa finansowego, wymaganych ustawą o przeciwdziałaniu praniu brudnych pieniędzy i finansowaniu terroryzmu. Zgodnie z art. 34 ust. 4 powołanej ustawy: „Instytucje obowiązane na potrzeby stosowania środków bezpieczeństwa finansowego mogą przetwarzać informacje zawarte w dokumentach tożsamości klienta i osoby upoważnionej do działania w jego imieniu oraz sporządzać ich kopie”.
Urząd Ochrony Danych Osobowych o kopiowaniu dokumentów tożsamości.
Prezes UODO podkreśla, że wskazany powyżej przepis nie uprawnia instytucji finansowych do kopiowania dowodu tożsamości klientów w każdej sytuacji. Chodzi tu wyłącznie o przypadki, w których konieczne jest zastosowanie środków bezpieczeństwa finansowego, a które polegają m.in. na weryfikacji tożsamości klienta i udokumentowaniu tego faktu. Istotne jest bowiem, że nie każda czynność wymagająca weryfikacji dowodu osobistego będzie stanowiła po stronie instytucji realizację środków bezpieczeństwa finansowego.
Konieczność weryfikacji z dokumentem jeszcze nie uprawnia do jego skopiowania.
W czynnościach, w których co prawda przepis nakazuje przetwarzanie danych zawartych w dokumentach tożsamości, ale nie uprawnia wprost do ich kopiowania, powinniśmy zachować podejście oparte na zawężającej interpretacji. Jeżeli zrealizowanie dyspozycji takiego przepisu (tu: weryfikacja danych zawartych w dowodzie tożsamości) jest możliwe poprzez sam wgląd w ten dokument, kopiowanie nie jest możliwe, ponieważ naruszałoby to zasadę celowości, minimalizacji i ograniczenia celu. Zgodnie z tymi zasadami, stanowiącymi niejako fundament RODO, administrator powinien dokonywać tylko takich operacji przetwarzania danych, które są niezbędne do realizacji określonego celu.