Prezes Urzędu Ochrony Danych Osobowych ogłosił plan kontroli sektorowych na 2020 rok. W najbliższych miesiącach pod lupą znajdą się m.in. instytucje finansowe wykonujące kopie dowodów osobistych. Z czego wynikają kontrole w tym zakresie i kto jeszcze może spodziewać się wizyty kontrolerów?
Kopiowanie dowodów osobistych przez banki
W piśmie Prezesa Urzędu Ochrony Danych Osobowych z sierpnia 2019 roku (dostępne na stronie https://uodo.gov.pl/pl/file/2343) wskazano na przesłanki dopuszczalności kopiowania dowodów osobistych przez banki i inne instytucje finansowe. Podstawą prawną w tym zakresie jest art. 112b ustawy Prawo bankowe, zgodnie z którym banki mogą przetwarzać dla celów prowadzonej działalności bankowej informacje zawarte w dokumentach tożsamości osób fizycznych. Podstawa ta dopuszcza jednak co do zasady jedynie wgląd do dokumentu tożsamości i spisanie znajdujących się nim danych w niezbędnym, minimalnym zakresie. Zdaniem Prezesa Urzędu Ochrony Danych Osobowych przepis ten nie pozwala natomiast bankom wykonywać kserokopii i skanów dowodów osobistych klientów w każdym przypadku. Sporządzenie kopii dowodów tożsamości jest legalne jedynie wtedy, kiedy upoważnienie do takiego działania wynika wprost z przepisów rangi ustawowej.
Podstawą taką dla banków i innych instytucji finansowych jest art. 35 ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu. Przepis ten określa przesłanki stosowania środków bezpieczeństwa finansowego przez instytucje zobowiązane do przestrzegania tego przepisu. Stosowanie środków bezpieczeństwa, związane także z kopiowaniem dokumentów tożsamości, możliwe jest m.in. w przypadku przeprowadzania transakcji okazjonalnej o równowartości powyżej 15 000 euro bądź gotówkowej transakcji okazjonalnej na kwotę powyżej 10 000 euro, w przypadkach gdy zachodzi podejrzenie prania pieniędzy lub finansowania terroryzmu bądź wątpliwości co do prawdziwości lub kompletności danych identyfikacyjnych klienta, czy w przypadku nawiązywania nowych stosunków gospodarczych. Nawet jednak w przypadku spełnienia tych przesłanek, bank zobowiązany jest każdorazowo zweryfikować faktyczną potrzebę skopiowania dowodu tożsamości, zgodnie z zasadami celowości i minimalizacji, o których mowa w art. 5 ust. 1 lit b-c RODO. Kopiowanie dowodów osobistych w sytuacjach innych, niż określone w art. 35 ww. ustawy Prezes Urzędu Ochrony Danych Osobowych uznaje za niedopuszczalne.
Stanowisko to było efektem dyskusji ze Związkiem Banków Polskich i wywołało polemikę m.in. ze strony środowiska bankowego. W praktyce większość banków w dalszym ciągu kopiuje dowody osobiste potencjalnych klientów, stosując jednak jednocześnie dodatkowe zabezpieczenia uniemożliwiające lub utrudniające wykorzystanie kopii dowodu osobistego do kradzieży tożsamości. Prezes Urzędu Ochrony Danych Osobowych zapowiada kontrolę procedur bankowych i ich praktycznego stosowania w tym zakresie. Kontrole te mogą doprowadzić do wypracowania jednolitego i jednoznacznego stanowiska w zakresie dopuszczalności i przesłanek kopiowania dokumentów tożsamości.
Kogo jeszcze skontroluje UODO?
Kontrole Prezesa Urzędu Ochrony Danych Osobowych będą dotyczyły nie tylko instytucji finansowych. Zapowiedziano także kontrole w podmiotach korzystających z systemu zdalnego odczytu wodomierzy oraz organach przetwarzających dane osobowe w Systemie Informacyjnym Schengen i Wizowym Systemie Informacyjnym, tj. konsulatach i administracji skarbowej. Jak wskazano w planie kontroli (dostępne na stronie https://uodo.gov.pl/pl/file/2515), uzasadnieniem takiego kręgu podmiotów kontrolowanych jest duże społeczne zainteresowanie tego typu problemami i związane z nimi zagrożenia naruszenia przepisów o ochronie danych osobowych.
Kontrole dotyczyły będą oczywiście także innych przedsiębiorców czy organów administracji publicznej. Będą mogły być wynikiem zarówno skarg złożonych przez osoby fizyczne jak i własnej inicjatywy organu nadzorczego. Liczba kontroli w 2020 roku według większości ekspertów będzie rosła. Jeżeli przeprowadzona kontrola doprowadzi do wykrycia naruszeń, podmiot kontrolowany będący prywatnym przedsiębiorcom może zostać ukarany administracyjną karą pieniężną w wysokości nawet do 40 milionów euro. Dotychczasowe decyzje organu nadzorczego wskazują, że wysokość nakładanych kar może być znaczna. Przedsiębiorcy powinni więc odpowiednio wdrożyć i stosować mechanizmy ochrony danych osobowych i prowadzić wymaganą przez przepisy dokumentację. Czy robią to poprawnie wykażą planowane kontrole.
adw. dr Jan Prasałek
[/vc_column_text][/vc_column][/vc_row]