Ochrona danych osobowych zawartych w dowodzie osobistym – studium przypadków

Ochrona danych osobowych zawartych w dowodzie osobistym – studium przypadków

Od dłuższego czasu obserwuję dyskusję odnośnie możliwości pozyskiwania obrazu, a co za tym idzie danych zawartych w naszych dowodach osobistych (DO). Pozyskiwanie obrazu polega na kopiowaniu DO metodą kserograficzną, skanowaniu, fotografowaniu, innych metodach utrwalania obrazu w postaci materialnej lub zapisu elektronicznego.

Prawodawca wykazał inicjatywę dla uregulowania kwestii pozyskiwania obrazów dowodów z uwagi na zagrożenia dla obywateli związane z możliwością ich wykorzystania dla celów przestępczych. Zgodnie z zapisami ustawy1 o dokumentach publicznych – zakazane jest wykonywanie i handel replikami np. dowodów osobistych, praw jazdy oraz całego szeregu innych dokumentów, których katalog znajdziemy w art. 5. Kopiowanie DO nie zawsze jest bezprawne. Niemniej jednak, podmiot, który kopiuje taki dokument bez wyraźnego umocowania ustawowego może odpowiadać za przetwarzanie zbyt szerokiego zakresu danych osobowych.

O tym, że skradziono naszą tożsamość najczęściej dowiadujemy się, otrzymując korespondencję od banku albo od firmy windykacyjnej. Jeśli mamy pecha, to otrzymamy informację o wszczęciu egzekucji przez komornika.

Kolejną okazją dla przestępców są dowody skradzione lub zgubione przez właścicieli. Nie zdajemy sobie sprawy ze skali problemu, dopóki nie zapoznamy się z danymi na ten temat.

W 2019 r., w międzybankowej bazie danych o skradzionych i zgubionych dokumentach tożsamości, które mogłyby zostać wykorzystane np. do wyłudzenia pożyczki czy kredytu zastrzeżono aż 176 554 dowody osobiste, paszporty i prawa jazdy. To rekord w całej historii Systemu DOKUMENTY ZASTRZEŻONE prowadzonego od 23 lat przez Związek Banków Polskich – wynika z raportu infoDOK.

Z opublikowanego 40. raportu o dokumentach infoDOK wynika, że tylko w IV kwartale 2019 r. baza Systemu DZ wzrosła dokładnie o rekordowych 56 686 szt. i zawierała na koniec grudnia 1 881 393 szt. dokumentów zastrzeżonych z powodu ich zagubienia lub kradzieży. Z drugiej strony przestępcy próbowali wyłudzić 1.607 kredytów o łącznej wartości 58,4 mln złotych. (….) Każdy utracony dokument tożsamości jest niestety potencjalnym narzędziem do wykorzystania w działalności przestępczej. Utrata tożsamości może być bardzo dotkliwa zarówno dla jej właściciela, jak i dla oszukanych firm i instytucji. Taki dokument – po zastrzeżeniu – staje się dla przestępców w zasadzie bezużyteczny i wszyscy możemy spać spokojniej – powiedział Krzysztof Pietraszkiewicz, prezes Związku Banków Polskich.

Rozpoczynamy dziś kolejny etap społecznej Kampanii Informacyjnej Systemu DOKUMENTY ZASTRZEŻONE. Projekt prowadzimy od 2008 roku (…) w samym tylko sektorze bankowym i pożyczkowym zablokowaliśmy ponad 85 tys. prób wyłudzeń na łączną kwotę 4,7 miliarda złotych. Statystycznie, codziennie banki blokują 20 prób, w których przestępcy chcą ukraść łącznie ponad 1 milion złotych.2

Problem zatem istnieje – mam nadzieję, że wzbudziłem zainteresowanie i uzasadniłem ostrożność w przekazywaniu danych zawartych w dowodach osobistych.

Niestety przestępcy pozyskują dane z DO dla opisanych powyżej celów nie tylko przez kradzież z torebki czy portfela. Innym problemem są nieuczciwi pracownicy banków i innych instytucji, które czują się w obowiązki lub w prawie posiadania obrazów DO w całości.

Prezes Urzędu Ochrony Danych Osobowych (PUODO) w piśmie z października 2019 roku skierowanym do Prezesa Związku Banków Polskich (ZBP) wyrażał swoje zaniepokojenie takim zjawiskiem.

W związku z pojawiającymi się sygnałami, o niezgodnych z prawem praktykach pracowników banków, polegających na nielegalnym sprzedawaniu baz danych klientów banków, w tym potencjalnie na to wskazującymi ogłoszeniami na portalach X i Y (anonimizacja dokonana przez PUODO – przypis autora) zwracam się do Pana Prezesa z uprzejmą prośbą o informacje, czy Związek Banków Polskich podjął lub rozważa podjąć działania, które przyczyniłyby się do zminimalizowania zjawiska nielegalnego wykorzystywania przez pracowników banków danych osobowych klientów.3

Odpowiedź była oczywiście w tonie uspakajającym z naciskiem na to, że banki dokładają wszelkich starań technicznych i organizacyjnych dla zapewnienia bezpieczeństwa swoim klientom.

Bardzo ciekawym dokumentem do znalezienia na stronie (UODO) jest odpowiedź PUODO na odpowiedź PZBP.

W zasadzie pismo to powinno stanowić wykładnię dla wszystkich banków, kiedy możliwe jest kopiowanie, skanowanie czy pozyskiwanie drogą mailową dowodów osobistych swoich klientów. Jako klient banku oraz osoba, która zajmuje się zawodowo ochrona danych osobowych całkowicie zgadzam się z wykładnią PUODO. Realizacja wytycznych zawartych w piśmie gwarantuje właściwe funkcjonowanie banków polegające na rzetelnej weryfikacji klienta oraz zwiększa bezpieczeństwo i realizację praw konsumentów.

Powyższe kwestie związane z danymi zawartymi w dowodach osobistych wyjaśnię Państwu na podstawie dwóch autentycznych przypadków, które dotyczą mnie oraz członka mojej rodziny – nazwijmy go Jan.

Jeden z banków w którym Jan posiada niewielkie środki – wyłącznie dla obsługi karty kredytowej z limitem 3000 zł oraz w którym opłaca ubezpieczenie zwrócił się do niego pismem o Dostarczenie skanu swojego ważnego dokumentu tożsamości (np., dowodu osobistego,….). Dlaczego potrzebujemy skanu Pana dokumentu tożsamości

  • Dzięki temu wiemy, kim są nasi klienci – nie chcemy, żeby ktoś się pod nich podszył,
  • Dbamy o bezpieczeństwo klientów i możemy zapobiegać oszustwom finansowym,
  • Mamy zawsze aktualne i kompletne dane

Bank pokusił się nawet o wyjaśnienie „zgodności” z RODO. Dane naszych klientów – a co za tym idzie ich identyfikacja – są niezbędne do spełnienia naszego obowiązku prawnego. Nasze działanie jest zgodne z rozporządzeniem o ochronie danych osobowych, ponieważ przetwarzamy tylko niezbędne dane. (podkreślenie autora). Dzięki temu klienci mogą swobodnie korzystać z naszych produktów.

Podstawy prawne.

Ustawa z dnia 1 marca 2018 r. o przeciwdziałaniu praniu brudnych pieniędzy oraz finansowaniu terroryzmu (tj. Dz.U. z 12.04.2018 r. poz.723 z późn. zm.) art. 34 ust. 4. W związku z art. 2 ust. 1 pkt. 1 oraz art. 112b ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (tj. Dz.U. z dnia 23.11.2018 r. poz. 2187 z późn. zm.).

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie danych osobowych osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych Dz.U.UE L.2016.119.1 z dnia 4 maja 2016 r., stosuje się od dnia 25 maja 2018 r. (RODO – przypis autora).

Nawiasem mówiąc odnośnie Prawa bankowego jest nowszy tekst jednolity Dz.U. 2019 poz. 2357 na który można się powołać.

Nie czepiając się szczegółów przeanalizujmy podstawy prawne podane przez bank. Zaczniemy od tyłu – ponieważ często w ten sposób czyta się zlepki podstaw prawnych.

USTAWA z dnia 29 sierpnia 1997 r. Prawo bankowe

Art. 112b. [Przetwarzanie informacji zawartych w dokumentach tożsamości osób fizycznych] Banki mogą przetwarzać dla celów prowadzonej działalności bankowej informacje zawarte w dokumentach tożsamości osób fizycznych. (podkreślenie autora)

Nie ma tu mowy o skanowaniu czy przesyłaniu mailem lub w inny sposób kopii dowodu osobistego.

U S T AWA z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu.

Art. 2. 1. Instytucjami obowiązanymi są:

1) banki krajowe, oddziały banków zagranicznych, oddziały instytucji kredytowych, instytucje finansowe mające siedzibę na terytorium Rzeczypospolitej Polskiej oraz oddziały instytucji finansowych niemających siedziby na terytorium Rzeczypospolitej Polskiej, w rozumieniu ustawy z dnia 29 sierpnia 1997 r. – Prawo bankowe (Dz. U. z 2018 r. poz. 2187, 2243 i 2354 oraz z 2019 r. poz. 326, 730 i 875);

Art. 34. [Zakres środków bezpieczeństwa finansowego]

4. Instytucje obowiązane na potrzeby stosowania środków bezpieczeństwa finansowego mogą przetwarzać informacje zawarte w dokumentach tożsamości klienta i osoby upoważnionej do działania w jego imieniu oraz sporządzać ich kopie. (Podkreślenia autora).

Gdyby czytać przepisy wyłącznie literalnie i wyłącznie art. 34 ust. 4 cytowanej ustawy można by dojść do wniosku, że bank ma prawo kopiować nasz dowód osobisty w każdym przypadku. Tak jednak nie jest – ponieważ sam bank powołuje się na przepisy RODO, które nakładają na administratora danych obowiązek pozyskiwania danych, które są niezbędne, zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach, adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane, przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą – zgodnie z art. 5 RODO.

W „inwokacji” do przepisów prawnych bank napisał, że dane, które zamierza pozyskać są niezbędne do spełnienia naszego obowiązku prawnego(patrz wyżej). Oznacza to, że za podstawę prawną przyjmują art. 6 ust. 1 lit. c (RODO).

RODO jest ustawą inteligentną, co oznacza, że trzeba ją zawsze czytać w korelacji z innymi aktami prawnymi, które dają bankowi prawa i obowiązki.

Prawo wynika nie z art. 112d. Prawa bankowego na który to przepis bank powołuje się niesłusznie lecz z art. 34 ust. 4 Ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu. Obowiązek natomiast wynika z art. 5 RODO oraz art. 35 Ustawy o przeciwdziałaniu …. .

W artykule tym enumeratywnie wymieniono wszystkie przesłanki do kopiowania dowodów oraz innego przetwarzania danych osobowych.

Art. 35. [Przesłanki stosowania środków bezpieczeństwa finansowego]

1. Instytucje obowiązane stosują środki bezpieczeństwa finansowego w przypadku:

1)nawiązywania stosunków gospodarczych;

2)przeprowadzania transakcji okazjonalnej:

a) o równowartości 15 000 euro lub większej, bez względu na to, czy transakcja jest przeprowadzana jako pojedyncza operacja, czy kilka operacji, które wydają się ze sobą powiązane, lub

b) która stanowi transfer środków pieniężnych na kwotę przekraczającą równowartość 1000 euro;

3) przeprowadzania gotówkowej transakcji okazjonalnej o równowartości 10 000 euro lub większej, bez względu na to, czy transakcja jest przeprowadzana jako pojedyncza operacja, czy kilka operacji, które wydają się ze sobą powiązane – w przypadku instytucji obowiązanych, o których mowa w art. 2 ust. 1 pkt 23;

4) obstawiania stawek oraz odbioru wygranych o równowartości 2000 euro lub większej, bez względu na to, czy transakcja jest przeprowadzana jako pojedyncza operacja, czy kilka operacji, które wydają się ze sobą powiązane – w przypadku instytucji obowiązanych, o których mowa w art. 2 ust. 1 pkt 20;

5) podejrzenia prania pieniędzy lub finansowania terroryzmu;

6) wątpliwości co do prawdziwości lub kompletności dotychczas uzyskanych danych identyfikacyjnych klienta.

Nadmieniam, że w przypadku Jana żadna z tych przesłanek nie zachodzi – wobec powyższego nie ma uzasadnienia dla przekazania skanu DO. Oczywiście, gdyby Jan dokonywał np. przelewów międzynarodowych na kwoty powyżej 15.000 Euro lub spełniał inne przesłanki wynikające z art. 35 – wówczas żądanie banku można by uznać za zasadne.

Niezmiernie ciekawy – w kontekście pozyskiwania danych przez bank – jest zapis art. 36 cytowanej wyżej ustawy.

Art. 36. [Identyfikacja klienta]

1. Identyfikacja klienta polega na ustaleniu w przypadku:

1)osoby fizycznej:

a)imienia i nazwiska,

b)obywatelstwa,

c)numeru Powszechnego Elektronicznego Systemu Ewidencji Ludności (PESEL) lub daty urodzenia – w przypadku gdy nie nadano numeru PESEL, oraz państwa urodzenia,

d)serii i numeru dokumentu stwierdzającego tożsamość osoby,

e)adresu zamieszkania – w przypadku posiadania tej informacji przez instytucję obowiązaną,

f)nazwy (firmy), numeru identyfikacji podatkowej (NIP) oraz adresu głównego miejsca wykonywania działalności gospodarczej – w przypadku osoby fizycznej prowadzącej działalność gospodarczą;

Jak wynika z jego treści pośród danych wymienionych w ustawie nie znajdziemy: wizerunku, imion rodziców, wzoru podpisu czy miejsca urodzenia, a takie dane znajdują się na dowodzie osobistym. W przypadku ich pozyskania – niewątpliwie będą to dane nadmiarowe.

Przypadek towarzystwa ubezpieczeniowego.

W czerwcu 2019 r. zwróciłem się do jednego z towarzystw ubezpieczeniowych o wypłatę należności. W oddziale towarzystwa (będę go nazywał TU) złożyłem wszystkie wymagane przez regulamin dokumenty wypełnione odręcznie, łącznie z numerem telefonu oraz adresem mailowym do korespondencji. Zarówno żona jak i ja okazaliśmy pracownicy TU dowody osobiste celem weryfikacji danych zawartych we wniosku. Udałem się do domu w przekonaniu, że pozostało mi czekać na przelew pieniędzy. Jakież było moje zdziwienie, gdy otrzymałem maila z żądanie przesłania skanu dowodu osobistego pod groźbą niewypłacenia należnego mi świadczenia.

Treść maila:

Uzupełnienie dokumentacji Roszczenie nr: RXXXXXX/G/19 Szanowny Panie, w celu rozpatrzenia roszczenia prosimy o przesłanie poniższych dokumentów: – odpis skrócony aktu małżeństwa lub kserokopia dokumentu tożsamości Współmałżonka. Prosimy o dosłanie brakującej dokumentacji mailowo na skrzynkę: XXXXXX,pl lub pocztą na adres TU ul. XXXXXXXXX 00-000 Warszawa. Dosyłając brakujące dokumenty, prosimy posłużyć się numerem roszczenia: RXXXXXXX/G/19. Prosimy o przesłanie dokumentów w ciągu 30 dni. Dalsze kroki Zajmiemy się analizą zgłoszenia, jak tylko otrzymamy brakujące dokumenty. Decyzję przekażemy najpóźniej po 14 dniach od ich dosłania. Informacje dodatkowe Sprawdź status zgłoszenia online na stronie www.XXXXXXXX.pl. Jednocześnie informujemy, że w przypadku braku odpowiedzi do dnia 13.07.2019 r., Towarzystwo zmuszone będzie zamknąć zgłoszenie. W przypadku jakichkolwiek pytań lub wątpliwości prosimy o kontakt z Doradcami Departamentu Obsługi Klientów, którzy pozostają do Państwa dyspozycji od poniedziałku do piątku w godzinach 8.00-18.00 pod numerami telefonów 22 000 00 00 lub 000 000 000 bądź drogą e-mailową: ubezpieczenia@xxxxx.pl. Z poważaniem XXXXXXXX XXXXXX Wydział Obsługi Roszczeń.

Oczywiście skorzystałem z podanego numeru telefonu i usiłowałem wytłumaczyć pani z TU, że:

  • wszystkie niezbędne dokumenty zostały złożone w siedzibie TU, ich kompletność potwierdziła pracownica oddziału,
  • tożsamość moja i mojej żony zostały stwierdzone przez pracownicę oddziału TU na podstawie okazanych jej dowodów osobistych,
  • przesyłanie dokumentów przy pomocy maili jest niebezpieczne z uwagi na zagrożenie, którego chyba nie trzeba tłumaczyć.

Ku wielkiemu rozczarowaniu moje stanowisko nie spotkało się ze zrozumieniem pani z infolinii, z którą prowadziłem nerwowe (głównie dla niej jak sądzę po tonie) rozmowy. Na pytanie o podstawę żądania dokumentów padł argument o art. 40 Ustawy o praniu brudnych pieniędzy …. .

Art. 40. 1. Instytucje obowiązane, o których mowa w art. 2 ust. 1 pkt 8, będące stronami umowy ubezpieczenia, stosują wobec osób uprawnionych z tytułu tych umów środki bezpieczeństwa finansowego, o których mowa w art. 34 ust. 1 pkt 1. Środki te są stosowane niezwłocznie po ustaleniu osób uprawnionych z tytułu umowy ubezpieczenia, nie później niż w momencie wypłaty świadczenia. Przepisy art. 34 ust. 4, art. 36 ust. 1 pkt 1 oraz art. 37 stosuje się odpowiednio.

W tym miejscu musiałbym ponownie powoływać się na te same przepisy i interpretacje, które przytaczałem wcześniej – odsyłam więc kilkadziesiąt linijek wyżej. Nadmieniam, że kwota odszkodowania nie przekraczała 3000 zł.

Po trzech rozmowach telefonicznych – prawdopodobnie ktoś kto w TU ma jako takie pojęcie o ochronie danych osobowych zdecydował o zaprzestaniu bezprawnego nękania mnie i wypłacie szkody bez przesyłania skanu dowodu osobistego żony.

Podsumowanie.

Wiele instytucji ma prawo do przetwarzania danych osobowych. Przetwarzanie danych zwłaszcza takich i w takiej ilości dotyczącej jednej osoby, które znajdują się w naszym dokumencie tożsamości jakim jest dowód osobisty wymaga:

  • posiadania wyraźnie określonej podstawy ustawowej,
  • nie wychodzenia poza ustawowe uprawnienia, co oznacza, że nie wolno pozyskiwać większej ilości informacji niż to wynika z przepisu oraz przetwarzać dane w innych celach niż to zostało prawnie określone.
  • Ochrony danych na wielu polach – zastosowanie rozwiązań prawnych, organizacyjnych, technicznych i innych celem maksymalnej ochrony danych klientów przed ich nielegalnym pozyskaniem i wykorzystaniem ze szkodą dla klienta,
  • Stosowania się do polityk bezpieczeństwa oraz wytycznych PUODO.

Dla zainteresowanych na stronie UODO znajduje się film, który mówi o prawach i zagrożeniach w kontekście dowodów osobistych.4

Z uwagi na to, że praktyki związane z ochroną danych osobowych rodzą się cały czas w bólach – zachęcam do wyrażania opinii przez czytelników. Jesteśmy ciekawi, czy Waszym zdaniem ochrona danych osobowych to „fanaberia” jak uważają jedni czy konieczność jak myślą inni?

O swoich prawach i obowiązkach związanych z tym i innymi zagadnieniami dotyczącymi ochrony danych osobowych dowiesz się ze szkoleń organizowanych przez Instruktor-Dariusz Kilian oraz Sdirect24.

Autor: Dariusz KILIAN

1. https://prawo.sejm.gov.pl/isap.nsf/download.xsp/WDU20190000053/O/D20190053.pdf

2. https://zbp.pl/Aktualnosci/Wydarzenia/Polacy-w-2019-r-zastrzegli-w-bankach-ponad-176-tysiecy-utraconych-dokumentow

3. https://uodo.gov.pl/pl/138/1388

4. https://uodo.gov.pl/pl/384/710

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

Skip to content