Kserować czy nie kserować, o to jest pytanie. O dopuszczalności kserowania dowodów na styku przepisów ustawy AML i RODO słów kilka.

O tym, że informacje odpowiedniej jakości odgrywają zasadniczą rolę podczas realizacji obowiązków z zakresu AML/CFT, a zwłaszcza obowiązków wynikających z polskiej ustawy AML nie trzeba nikogo przekonywać. Dość wskazać na identyfikację i weryfikację tożsamości klienta, które stanowią jeden ze środków bezpieczeństwa finansowego, o którym mowa w art. 34 ust. 1 pkt 1 z polskiej ustawy AML. Brak dostępu do prawdziwych i wiarygodnych informacji  w znacznym stopniu utrudnia, a w niektórych sytuacjach wręcz uniemożliwia weryfikację danych przedstawionych przez klienta podczas nawiązywania stosunków gospodarczych.

Z pomocą przychodzi art. 37 ust. 1 polskiej ustawy AML, który wśród sposobów weryfikacji tożsamości klienta wymienia dokument stwierdzający tożsamość osoby fizycznej, czyli najczęściej dowód osobisty. Problem pojawia się, gdy art. 37 ust. 1 polskiej ustawy AML zestawimy z obowiązkiem rozliczalności, o którym mowa w art. 49 ustawy AML. Przywołany przepis, w ustępie pierwszym tylko ogólnie wskazuje na konieczność przechowywania dokumentów i informacji uzyskanych w toku stosowania środków bezpieczeństwa finansowego. W przypadku osób fizycznych, znaczna większość tych informacji będzie stanowiła dane osobowe w rozumieniu RODO. Tym samy, obok polskiej ustawy AML, należy uwzględnić przepisy o ochronie danych osobowych, a w szczególności RODO. W związku z powyższym nasuwa się pytanie, czy na podstawie polskiej ustawy AML można sporządzać kserokopie dowodu osobistego klienta?

Wydaje się, że odpowiedź jest prosta – tak, na podstawie polskiej ustawy AML można sporządzać kserokopie dowodu osobistego. Powyższa odpowiedź wynika wprost z jej przepisów, a dokładnie z art. 34 ust. 4, który upoważnia instytucje obowiązane do przetwarzania informacji zawartych w dokumentach tożsamości i sporządzania ich kopii.

Powyższe koresponduje również ze  stanowiskiem prezentowanym od lat przez Prezesa UODO, który polską ustawę AML uznaje za źródło zgodnego z prawem kserowania dokumentów tożsamości. W najświeższym komunikacje opublikowanym na stronie UODO, z sierpnia 2022 r. potwierdzono aktualność dotychczasowych poglądów UODO, zarazem wyjaśniając, że „Zgodnie z przepisami ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, instytucje obowiązane, (…), są uprawnione, by na potrzeby stosowania środków bezpieczeństwa finansowego wykonywać kopie dokumentów tożsamości” („Czy instytucje finansowe mogą kopiować dowody osobiste?” wpis na stronie UODO z 22 sierpnia 2022 r., https://uodo.gov.pl/pl/138/2476, dostęp: 15 lutego 2023 r.).

Stanowisko UODO nasuwa jednak na myśl kolejne pytanie, czy można przetwarzać całokształt danych osobowych wynikających z dowodu osobistego?  

Tutaj, sytuacja nie jest taka oczywista. W przywołanym powyżej komunikacie UODO zwrócił uwagę, że instytucje obowiązane są jednocześnie administratorami danych osobowych w rozumieniu przepisów RODO. Konsekwencją takiego statusu jest obowiązek postępowania zgodnie z zasadami ochrony danych osobowych. W związku z tym, zdaniem UODO instytucje obowiązane – administratorzy nie powinni automatycznie decydować się na sporządzanie kopii dokumentu tożsamości. Przeciwnie, taką decyzję należy poprzedzić analizą czy kopia dokumentu tożsamości i dane osobowe z niej wynikające są rzeczywiście konieczne dla zastosowania środków bezpieczeństwa finansowego, mając na uwadze zasady ochrony danych osobowych, o których mowa w art. 5 RODO.  Dla omawianego zagadnienia szczególne znaczenie będzie miała zasada minimalizacji, która sprowadza się do ograniczenia przetwarzania wyłącznie do danych osobowych, które są niezbędne dla realizacji celów przetwarzania.

Wypełnianie obowiązków wynikających z polskiej ustawy AML powoduje, że jednym z celów przetwarzania danych osobowych jest ustalenie i weryfikacja tożsamości klienta. Ustalenie tożsamości klienta polega na pozyskaniu danych, o których mowa w art. 36 ust. 1 pkt 1 polskiej ustawy AML tj.: imienia i nazwiska, obywatelstwa, PESEL lub daty urodzenia –w przypadku, gdy nie nadano numeru PESEL, państwa urodzenia, serii i numeru dokumentu stwierdzającego tożsamość́ osoby, adresu zamieszkania – w przypadku posiadania tej informacji przez instytucję obowiązaną. Aby doszło do weryfikacji tożsamości klienta należy potwierdzić ich prawidłowość w oparciu o wiarygodne źródła informacji, w tym w oparciu o dokument tożsamości. Można więc założyć, że katalog danych, o których mowa w art. 36 ust. 1 pkt polskiej ustawy AML wyznacza niezbędny zakres danych jakie są potrzebne dla ustalenia, ale i weryfikacji tożsamości klienta. Innymi słowy, poszukując źródła informacji, które ma potwierdzić prawidłowość przedstawionych przez klienta danych, instytucja obowiązana kieruje katalogiem, o którym mowa w art. 36 ust. 1 pkt 1 polskiej ustawy AML. Tym samym, zakres dokumentacji i informacji związanych z ustaleniem i weryfikacją tożsamości klienta, o której mowa w art. 49 ust. 1 polskiej ustawy AML określają art. 36 ust. 1 pkt 1 polskiej ustawy AML oraz dodatkowo art. 34 ust. 4 polskiej ustawy AML wskazujący na informacje wynikające z dokumentów tożsamości i ich kopii.

Zakres danych zawartych w obecnie obowiązującej wersji dowodu osobistego określa art. 12 ustawy o dowodach, który dzieli dane na dane dotyczące osoby i dane dotyczące dowodu osobistego. Do pierwszej grupy zaliczono nazwisko, imię (imiona), nazwisko rodowe, imiona rodziców, datę i miejsce urodzenia, płeć, wizerunek twarzy, numer PESEL, obywatelstwo. W drugiej grupie znalazły się seria i numer dowodu osobistego, data wydania, data ważności, oznaczenie organu wydającego dowód osobisty, numer CAN.

Przyjmując powyższe założenie, przetwarzanie całokształtu danych osobowych wynikających z dowodu osobistego okazuje się niedopuszczalne, ponieważ wykracza poza to co konieczne dla realizacji celu przetwarzania danych. Dane o płci, imionach rodziców czy, jak miało to miejsce w przypadku poprzednich wersji dowodu osobistego, dane o wzroście czy kolorze oczu nie znajdują odzwierciedlenia w katalogu, o którym mowa w art. 36 ust. 1 pkt 1 polskiej ustawy AML. Takie stanowisko wymaga od instytucji obowiązanej podjęcia odpowiednich kroków zmierzających do wdrożenia technicznych ograniczeń pozyskiwania danych osobowych wynikających z kserokopii dowodu osobistego. Jeśli instytucja obowiązana wykorzystuje w tym celu np. specjalne oprogramowanie skanujące dokumenty tożsamości, wtedy oprogramowanie powinno być tak skonfigurowane, aby nie skanowało dodatkowych danych; przy tradycyjnym, odręcznym kserowaniu lub kopiowaniu należałoby stosować odpowiednio dostosowane nakładki, które uniemożliwiają utrwalenie zbędnych danych.

Proponowane podejście pozostaje w zgodzie ze stanowiskiem prezentowanym przez UODO w podobnych sytuacjach, jaką jest na przykład przetwarzanie danych osobowych wynikających z dokumentów tożsamości na podstawie przepisów prawa telekomunikacyjnego, które stanowiło tło jednej ze spraw rozpoznawanych przez Prezesa UODO. Mimo, że sprawa dotyczyła zagadnienia regulowanego w odrębnych przepisach prawa, poglądy wyrażone przez Prezesa UODO są na tyle uniwersalne, że stanowią wskazówkę dla prawidłowej interpretacji podobnych rozwiązań wynikających z polskiej ustawy AML.  W swojej decyzji z 28 maja 2021 r. (decyzja nr DKE.523.5.2021) Prezes UODO stwierdził, że „(…) kopiowanie dokumentów jest czynnością techniczną, która ze swojej istoty nie jest zakazana przepisami o ochronie danych osobowych. Z punktu widzenia tych przepisów istotne jest bowiem, aby podmiot, który czynności tej dokonuje, legitymował się jedną z przesłanek legalności przetwarzania, w tym gromadzenia danych osobowych. Zgodnie z treścią min. art. 161 ust. 2 Prawa telekomunikacyjnego, która obowiązywała w momencie złożenia skargi, dostawca publicznie dostępnych usług telekomunikacyjnych był uprawniony do przetwarzania następujących danych dotyczących użytkownika będącego osobą fizyczną: nazwisk i imion; imion rodziców; miejsca i daty urodzenia; adresu miejsca zameldowania na pobyt stały;  numeru ewidencyjnego PESEL – w przypadku obywatela Rzeczypospolitej Polskiej; nazwy, serii i numeru dokumentów potwierdzających tożsamość, a w przypadku cudzoziemca, który nie jest obywatelem państwa członkowskiego albo Konfederacji Szwajcarski–j – numeru paszportu lub karty pobytu; zawartych w dokumentach potwierdzających możliwość wykonania zobowiązania wobec dostawcy publicznie dostępnych usług telekomunikacyjnych wynikającego z umowy o świadczenie usług telekomunikacyjnych. Ponadto zgodnie z treścią ust. 3 niniejszego artykułu, oprócz danych, o których mowa w ust. 2, dostawca publicznie dostępnych usług telekomunikacyjnych mógł, za zgodą użytkownika będącego osobą fizyczną, przetwarzać inne dane tego użytkownika w związku ze świadczoną usługą, w szczególności numer konta bankowego lub karty płatniczej, adres korespondencyjny użytkownika, jeżeli jest on inny niż adres miejsca zameldowania na pobyt stały tego użytkownika, a także adres poczty elektronicznej oraz numery telefonów kontaktowych. Zatem przetwarzanie przez dostawcę usług telekomunikacyjnych danych w zakresie wykraczającym poza wyżej wskazany zakres bez zgody użytkownika prowadziło do przetwarzania danych bez podstawy prawnej.” Poglądy Prezesa UODO na temat zasad przetwarzania danych wynikających z dokumentów tożsamości na tle prawa telekomunikacyjnego są zbieżne z poglądami wyrażanymi w orzecznictwie (do których odwołuje się także Prezes UODO). W ocenie Naczelnego Sądu Administracyjnego „art. 161 ust. 2 pkt 7 ww. ustawy musi być rozumiana w sposób ścisły i zgodny z celem tego przepisu, którym jest stworzenie podstawy prawnej umożliwiającej dostawcy publicznie dostępnych usług telekomunikacyjnych, przetwarzanie, obok danych identyfikujących użytkownika końcowego, również danych zawartych w dokumentach służących ustaleniu, czy użytkownik końcowy będzie w stanie regulować rachunki za udostępnione mu usługi telekomunikacyjne. Dowód osobisty, jest dokumentem stwierdzającym tożsamość i obywatelstwo polskie. Dane w nim zawarte służą identyfikacji osoby. Nie służą natomiast ustaleniu czy użytkownik będzie w stanie wykonać zobowiązanie pieniężne względem dostawcy usług telekomunikacyjnych. Podobnie rzecz się ma w odniesieniu do legitymacji ubezpieczeniowych, prawa jazdy, legitymacji studenckiej.” (wyrok Naczelnego Sądu Administracyjnego z 13 czerwca 2019 r., sygn. akt I OSK 1715/17, LEX nr 2700651).

Jak już była o tym mowa, decyzja o sporządzeniu kserokopii dowodu osobistego powinna być uzasadniona, jako, że co do zasady nie jest to obowiązkowy sposób weryfikacji tożsamości klienta. I rzeczywiście w tych sytuacjach, gdy dochodzi do fizycznego nawiązania relacji z klientem, np. w lokalu przedsiębiorstwa, wystarczającym będzie porównanie danych wskazanych przez klienta z danymi, które wynikają z okazanego dowodu osobistego, wraz z oświadczeniem pracownika instytucji obowiązanej np. w formie krótkiej notatki służbowej, o tym, że porównanie miało miejsce.

Pozornie znacznie trudniej będzie zrezygnować z pozyskiwania kserokopii lub skanów dokumentów tożsamości w realiach zdalnej obsługi, a więc wszędzie tam, gdzie dochodzi do nawiązania relacji z klientem na odległość. Jednak w tym wypadku bardziej efektywne wydaje się poszukiwanie substytutu dla fizycznej obecności obu stron nawiązywanej relacji. Zarówno UKNF, jak i GIIF proponują wykorzystanie narzędzia wideoweryfikacji tożsamości klienta. W ten sposób, ponownie, kserokopia lub skan dokumentu tożsamości nie będą konieczne, gdyż pracownik instytucji obowiązanej zweryfikuje prawidłowość danych podczas połączenia z klientem przy użyciu kamery.

Bez wątpienie wideoweryfikacja tożsamości klienta nie jest rozwiązaniem idealnym. UKNF i GIIF zgodnie przyznają, że wideoweryfikacja obarczona jest poważnymi ryzykami, w tym ryzykiem błędnej weryfikacji tożsamości (por. Stanowisko UKNF dotyczące identyfikacji klienta i weryfikacji jego tożsamości w bankach oraz oddziałach instytucji kredytowych w oparciu o metodę̨ wideo weryfikacji, 5 czerwca 2019 r.;Wytyczne Generalnego Inspektora Informacji Finansowej w sprawie identyfikacji klienta instytucji obowiązanej i weryfikacji jego tożsamości w sytuacji braku jego fizycznej obecności, 22 sierpnia 2018 r.). Co więcej, w ocenie UKNF instytucja obowiązana powinna przechowywać dla celów dowodowych zapis całej wideorozmowy z klientem (czyli również utrwalony fragment nagrania z czynności okazania dokumentu tożsamości) co budzi uzasadnione wątpliwości na tle zasady minimalizacji danych, której była mowa wcześniej. Niemniej jednak, powyższe zastrzeżenie nie przekreślają jednoznacznie wideorozmowy jako potencjalnego narzędzia weryfikacji tożsamości klienta.

Podsumowując, przetwarzanie danych osobowych wynikających z dowodów osobistych i ich kopii, w tym ich przechowywanie na podstawie przepisów polskiej ustawy AML jest zgodne z prawem, pod warunkiem, że dojdzie do ograniczenia zakresu przetwarzania wyłącznie do danych, o których mowa w art. 36 ust. 1 pkt polskiej ustawy AML. Zanim instytucja obowiązana zdecyduje się na wdrożenie obowiązku pozyskiwania kserokopii dokumentów tożsamości, a zwłaszcza dowodów osobistych, powinna wnikliwie rozważyć, czy w przypadku jej działalności jest to rzeczywiście potrzebne i efektywne, biorąc pod uwagę istnienie innych dostępnych rozwiązań, w tym wiedoweryfikacji tożsamości klienta

Aleksandra Ossowska, Wspólnik Zarządzający

Wojciech Panek, Associate