Jak poinformowano, do Urzędu Ochrony Danych Osobowych wciąż zgłaszają się administratorzy oraz osoby, których dane dotyczą w związku z pojawiającymi się wątpliwościami w sprawie kopiowania dokumentów tożsamości przez podmioty obowiązane. Dotyczą one tego, w jaki sposób prawidłowo weryfikować tożsamość klienta tych instytucji, wypełniając obowiązki wynikające z ustawy o przeciwdziałaniu praniu pieniędzy (u.p.p.p.), która nałożyła na tzw. instytucje obowiązane, takie jak m.in. banki, spółdzielcze kasy oszczędnościowo-kredytowe czy krajowe instytucje płatnicze, obowiązek stosowania środków bezpieczeństwa finansowego, a jednocześnie postępować zgodnie z przepisami ogólnego rozporządzenia o ochronie danych (RODO).

Czytaj: UODO skontroluje ochronę danych w bankach>>

To uprawnienie, nie obowiązek

Jak zauważa prezes UODO, art. 34 ust. 1 u.p.p.p., określający środki bezpieczeństwa finansowego, stanowi, że środkiem tym jest m.in. identyfikacja klienta oraz weryfikacja jego tożsamości, a nie kopiowanie dokumentu tożsamości. W przepisach przewidziano możliwość kopiowania dokumentów tożsamości. - Takie rozwiązanie należy uznać za uprawnienie przysługujące instytucjom obowiązanym, a nie obowiązek - stwierdza.

Czytaj w LEX: Na styku regulacji, czyli sztuczna inteligencja w sektorze finansowym – status quo i kierunki rozwoju prawa >

Najpierw analiza, czy to potrzebne

Prezes Urzędu Ochrony Danych Osobowych stwierdza w swoim wystąpieniu, że nie kwestionuje zasadności sporządzania kopii dokumentów tożsamości przez instytucje obowiązane w ogóle, gdyż takie uprawnienie przysługuje im na mocy art. 34 ust. 4 u.p.p.p. Podważa jednak twierdzenia, że taka praktyka musi być realizowana przy każdej czynności wykonywanej przez instytucje obowiązane. - Decyzja o skopiowaniu dokumentu tożsamości, czy też żądanie przedstawienia takich kopii powinna być  poprzedzona dokładną analizą czy rzeczywiście taka czynność jest niezbędna. Weryfikacja taka uwzględniać powinna przepisy RODO, w szczególności pozostawać w zgodzie z zasadami ograniczenia celu oraz minimalizacji danych - czytamy w opinii.

Sprawdź w LEX: Czy "instytucje obowiązane", o których mowa w art. 34 ust. 4 ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, są zwolnione ze stosowania przepisów RODO? >

Czytaj: Samo skanowanie czy kopiowanie dokumentów tożsamości nie będzie karalne>>

 

Ochrona danych osobowych. Zbiór przepisów. Ogólne rozporządzenie o ochronie danych (RODO). Ustawa o ochronie danych osobowych (UODO). Ustawa sektorowa

Sprawdź  

Kopia nie zawsze konieczna

Prezes Urzędu Ochrony Danych Osobowych przypomina, że w piśmie z 10 września 2019 r. skierował do Generalnego Inspektora Informacji Finansowej (GIIF) zapytanie, jakimi środkami instytucje obowiązane powinny dokonywać identyfikacji klientów i czy w każdym przypadku instytucje te w celu wypełnienia obowiązku identyfikacji klientów powinny pozyskiwać od nich kopie dokumentów, w tym dokumentów tożsamości.

Czytaj w LEX: Działania instytucji i organów publicznych względem banków w związku z epidemia Covid-19 >

W odpowiedzi Generalny Inspektor Informacji Finansowej zgodził się ze stanowiskiem Prezesa UODO, iż weryfikacja tożsamości klienta nie musi w każdym przypadku polegać na pozyskiwaniu kopii dokumentów. Organ ten wyjaśnił także, że w toku prowadzonych kontroli nad prawidłowością wypełniania przed instytucje obowiązane weryfikacji tożsamości klientów nie oczekuje od nich przedkładania kopii dokumentów tożsamości – jako potwierdzenia prawidłowego zweryfikowania tożsamości.

Sprawdź w LEX: Czy poza bankami istnieją inne instytucje upoważnione na mocy ustawy do pozyskiwania i gromadzenia kopii dokumentów tożsamości? >

UODO skontroluje banki i domaga się rekomendacji 

Mimo zaprezentowania przez GIIF takiego stanowiska, szef UODO twierdzi, że problem jest powszechny i nadal aktualny. Dlatego zdecydował się objąć planem kontroli sektorowych banki pod kątem kopiowania dokumentów tożsamości.
- Mając jednak na uwadze, jakie trudności budzi wypracowanie przez instytucje obowiązane praktyk, które zapewniłyby balans pomiędzy koniecznością zapobiegania tak poważnemu zjawisku, jakim jest pranie pieniędzy i finansowanie terroryzmu, a uwzględnieniem przepisów i zasad ochrony danych osobowych, Prezes Urzędu Ochrony Danych Osobowych skierował 13 marca 2020 r. do Przewodniczącego Komisji Nadzoru Finansowego prośbę o rozważenie opracowania przez tego regulatora stosownych rekomendacji - czytamy w oświadczeniu.

Sprawdź w LEX: Czy instytucja pożyczkowa ma obowiązek ustalić przed zawarciem transakcji okazjonalnej czy klient będący osobą fizyczną nieprowadzącą działalności gospodarczej posiada beneficjenta rzeczywistego? >

Zdaniem Prezesa UODO pomocnym narzędziem dla podmiotów obowiązanych byłyby zatem rekomendacje wydane przez odpowiedniego regulatora, które określiłyby, kiedy pozyskiwanie kopii dokumentów tożsamości jest zasadne, kiedy skorzystać z innych narzędzi, jakie to mogą być narzędzia.
- Właściwe zalecenia wydane przez regulatora stanowiłyby cenną wskazówkę i odniesienie dla podmiotów zobowiązanych stosować środki bezpieczeństwa. Brak jednolitych standardów w tym obszarze generuje wątpliwości zarówno podmiotów obowiązanych, jak i klientów, którzy proszeni są o przedkładanie kopii dokumentów tożsamości - stwierdza prezes UODO.

Czytaj w LEX: Funkcjonowanie sektora bankowego w obliczu zagrożenia epidemicznego >