Czy banki mogą kopiować dokumenty tożsamości klientów?

Czy dozwolone jest kopiowanie dokumentów tożsamości przez banki? Czy instytucja finansowa może wymagać od klienta przesłania skanu dowodu osobistego i zgody na przetwarzanie tych danych? Czy jednak takie podmioty mogą przetwarzać dane swych klientów, ale wymuszanie zgody na kopiowanie dokumentów narusza RODO?

Takie pytania i wątpliwości przybywają do niniejszej redakcji nie od dziś, a odkąd internet jest pełen dobrych porad z czapy wziętych, czas na krótkie wyjaśnienie. W punktach, bo tak prościej:

  • zaczęło się od Revoluta, a może i gdzie indziej, a później już poszło: chcesz założyć konto w aplikacji — musisz pouśmiechać się do kamerki w swym sprytfonie, a także przesłać fotkę swego dowodu osobistego, co budzi całkiem uzasadnione obawy o prywatność i ryzyko wykorzystania danych w niecnych celach;
  • banki powołują się na to czy tamto, ale przecież każdy wie, że wizerunek, że RODO i dane osobowe — i niech się tylko organ nadzoru dowie, to im kota pogoni;
  • no i proszę: czasem widzi się pogląd, że owszem, banki mogą przetwarzać dane osobowe pochodzące z dokumentów tożsamości — ale przecież też każdy wie, że jedną z czołowych zasad RODO jest zasada minimalizacji danych, czyli wymóg ograniczenia zakresu danych wyłącznie do tego co jest niezbędne i adekwatne do osiągnięcia celów (art. 5 ust. 1 lit. c) RODO);
  • chciałoby się sparafrazować moje ulubione (własne) powiedzonko: przetwarzajcie mnie ile chcecie, ale nic nie kopiujcie (w oryginale szło „ale nic nie wysyłajcie”);

art. 112b prawa bankowego
Banki mogą przetwarzać dla celów prowadzonej działalności bankowej informacje zawarte w dokumentach tożsamości osób fizycznych.

  • wnikliwym podpowiem, że prawo bankowe to nie wszystko, bo mamy przecież jeszcze europejskie regulacje o zapobieganiu praniu brudnych pieniędzy (dyrektywa 2015/849 w/s zapobiegania wykorzystywaniu systemu finansowego do prania pieniędzy lub finansowania terroryzmu);
  • dyrektywa AML zobowiązuje określone podmioty do podejmowania szeregu kroków w celu przeciwdziałaniu praniu owych pieniędzy — m.in. nakazuje „identyfikację klienta i weryfikację jego tożsamości na podstawie dokumentów, danych lub informacji pochodzących z rzetelnego i niezależnego źródła”;
  • w ramach tych obowiązków istnieje wymóg m.in. niezwłocznego przekazania odpowiednich kopii danych pozwalających na weryfikację klienta (zwracam uwagę, że to jest właśnie ten element, którego Revolut nie zastosował, wypowiadając mi umowę z powołaniem się na to, że „nie mogliśmy zweryfikować Twojej tożsamości podczas naszego procesu weryfikacji” , chociaż oferowałem wylegitymowanie się choćby podpisem kwalifikowanym);
  • w ślad za dyrektywą AML polska ustawa o przeciwdziałaniu praniu pieniędzy pozwala na kopiowanie dokumentów tożsamości przez banki, a także zobowiązuje do przetwarzania danych zawartych w tych dokumentach;

art. 34 ust. 4 ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu
Instytucje obowiązane na potrzeby stosowania środków bezpieczeństwa finansowego mogą przetwarzać informacje zawarte w dokumentach tożsamości klienta i osoby upoważnionej do działania w jego imieniu oraz sporządzać ich kopie.

  • nie da się ukryć, że kopiowanie dokumentów tożsamości jest prawem, nie obowiązkiem instytucji obowiązanych do przeciwdziałania praniu pieniędzy („mogą przetwarzać” vs. „przetwarzają”), zatem — pamiętając o zasadzie minimalizacji danych — bank powinien stosować takie rozwiązania, które polegają na zbieraniu jak najmniejszego zakresu informacji;
  • (dlatego właśnie dziwię się, że chociaż Aion Bank zapowiada, że klient może potwierdzić tożsamość „cyfrowo za pomocą dowodu osobistego lub paszportu NFC”, w rzeczywistości nawet posiadacz dowodu osobistego z antenką musi swój dokument sfotografować — bo przecież skoro potrafią obrobić paszport NFC, to dlaczego nie dowód osobisty? (przynajmniej tak to wyglądało na początku funkcjonowania tego banku, może coś się zmieniło));
  • dla pogłębienia nastroju grozy i zrezygnowania: prawo do kopiowania dokumentów nie dotyczy tylko banków, lecz wszystkich „instytucji obowiązanych” — więc może dopowiem, że są instytucjami obowiązanymi są także m.in. SKOK-i, instytucje płatnicze i agenci rozliczeniowi, fundusze inwestycyjne, kantory i inne instytucje zajmujące się wymianą walut (a nawet kryptowalut), notariusze, adwokaci, radcowie prawni i doradcy podatkowi (acz tylko w odniesieniu do niektórych czynności), biura księgowe, domy aukcyjne, podmioty świadczące usługi wirtualnej siedziby oraz instytucje pożyczkowe — a nawet zwykli przedsiębiorcy, o ile dokonują lub przyjmują płatność gotówką na kwotę co najmniej 10 tys. euro (art. 2 polskiej ustawy AML).

Podsumowując: przepisy prawa pozwalają na kopiowanie dokumentów tożsamości przez banki — wprowadzenie odpowiednich środków mających na celu zapobieganie praniu brudnych pieniędzy jest obowiązkiem szeregu instytucji — zatem o ile podmiot taki uzna, że przetwarzanie skanów lub kserokopii jest niezbędne, to ma prawo żądać od klienta przesłania takich danych.

(fikuśne ujęcie czysto ilustracyjne, fot. Olgierd Rudak, CC BY-SA 4.0)

subskrybuj
Powiadom o
guest

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.

30 komentarzy
Oldest
Newest
Inline Feedbacks
zerknij na wszystkie komentarze
30
0
komentarze są tam :-)x