Jak poinformowano, do Urzędu Ochrony Danych Osobowych wciąż zgłaszają się administratorzy oraz osoby, których dane dotyczą w związku z pojawiającymi się wątpliwościami w sprawie kopiowania dokumentów tożsamości przez podmioty obowiązane. Dotyczą one tego, w jaki sposób prawidłowo weryfikować tożsamość klienta tych instytucji, wypełniając obowiązki wynikające z ustawy o przeciwdziałaniu praniu pieniędzy (u.p.p.p.), która nałożyła na tzw. instytucje obowiązane, takie jak m.in. banki, spółdzielcze kasy oszczędnościowo-kredytowe czy krajowe instytucje płatnicze, obowiązek stosowania środków bezpieczeństwa finansowego, a jednocześnie postępować zgodnie z przepisami ogólnego rozporządzenia o ochronie danych (RODO).
Czytaj: UODO skontroluje ochronę danych w bankach>>
To uprawnienie, nie obowiązek
Jak zauważa prezes UODO, art. 34 ust. 1 u.p.p.p., określający środki bezpieczeństwa finansowego, stanowi, że środkiem tym jest m.in. identyfikacja klienta oraz weryfikacja jego tożsamości, a nie kopiowanie dokumentu tożsamości. W przepisach przewidziano możliwość kopiowania dokumentów tożsamości. - Takie rozwiązanie należy uznać za uprawnienie przysługujące instytucjom obowiązanym, a nie obowiązek - stwierdza.
Czytaj w LEX: Na styku regulacji, czyli sztuczna inteligencja w sektorze finansowym – status quo i kierunki rozwoju prawa >
Najpierw analiza, czy to potrzebne
Prezes Urzędu Ochrony Danych Osobowych stwierdza w swoim wystąpieniu, że nie kwestionuje zasadności sporządzania kopii dokumentów tożsamości przez instytucje obowiązane w ogóle, gdyż takie uprawnienie przysługuje im na mocy art. 34 ust. 4 u.p.p.p. Podważa jednak twierdzenia, że taka praktyka musi być realizowana przy każdej czynności wykonywanej przez instytucje obowiązane. - Decyzja o skopiowaniu dokumentu tożsamości, czy też żądanie przedstawienia takich kopii powinna być poprzedzona dokładną analizą czy rzeczywiście taka czynność jest niezbędna. Weryfikacja taka uwzględniać powinna przepisy RODO, w szczególności pozostawać w zgodzie z zasadami ograniczenia celu oraz minimalizacji danych - czytamy w opinii.
Czytaj: Samo skanowanie czy kopiowanie dokumentów tożsamości nie będzie karalne>>
Cena promocyjna: 53.1 zł
Cena regularna: 59 zł
Najniższa cena w ostatnich 30 dniach: zł
Kopia nie zawsze konieczna
Prezes Urzędu Ochrony Danych Osobowych przypomina, że w piśmie z 10 września 2019 r. skierował do Generalnego Inspektora Informacji Finansowej (GIIF) zapytanie, jakimi środkami instytucje obowiązane powinny dokonywać identyfikacji klientów i czy w każdym przypadku instytucje te w celu wypełnienia obowiązku identyfikacji klientów powinny pozyskiwać od nich kopie dokumentów, w tym dokumentów tożsamości.
Czytaj w LEX: Działania instytucji i organów publicznych względem banków w związku z epidemia Covid-19 >
W odpowiedzi Generalny Inspektor Informacji Finansowej zgodził się ze stanowiskiem Prezesa UODO, iż weryfikacja tożsamości klienta nie musi w każdym przypadku polegać na pozyskiwaniu kopii dokumentów. Organ ten wyjaśnił także, że w toku prowadzonych kontroli nad prawidłowością wypełniania przed instytucje obowiązane weryfikacji tożsamości klientów nie oczekuje od nich przedkładania kopii dokumentów tożsamości – jako potwierdzenia prawidłowego zweryfikowania tożsamości.
Sprawdź w LEX: Czy poza bankami istnieją inne instytucje upoważnione na mocy ustawy do pozyskiwania i gromadzenia kopii dokumentów tożsamości? >
UODO skontroluje banki i domaga się rekomendacji
Mimo zaprezentowania przez GIIF takiego stanowiska, szef UODO twierdzi, że problem jest powszechny i nadal aktualny. Dlatego zdecydował się objąć planem kontroli sektorowych banki pod kątem kopiowania dokumentów tożsamości.
- Mając jednak na uwadze, jakie trudności budzi wypracowanie przez instytucje obowiązane praktyk, które zapewniłyby balans pomiędzy koniecznością zapobiegania tak poważnemu zjawisku, jakim jest pranie pieniędzy i finansowanie terroryzmu, a uwzględnieniem przepisów i zasad ochrony danych osobowych, Prezes Urzędu Ochrony Danych Osobowych skierował 13 marca 2020 r. do Przewodniczącego Komisji Nadzoru Finansowego prośbę o rozważenie opracowania przez tego regulatora stosownych rekomendacji - czytamy w oświadczeniu.
Zdaniem Prezesa UODO pomocnym narzędziem dla podmiotów obowiązanych byłyby zatem rekomendacje wydane przez odpowiedniego regulatora, które określiłyby, kiedy pozyskiwanie kopii dokumentów tożsamości jest zasadne, kiedy skorzystać z innych narzędzi, jakie to mogą być narzędzia.
- Właściwe zalecenia wydane przez regulatora stanowiłyby cenną wskazówkę i odniesienie dla podmiotów zobowiązanych stosować środki bezpieczeństwa. Brak jednolitych standardów w tym obszarze generuje wątpliwości zarówno podmiotów obowiązanych, jak i klientów, którzy proszeni są o przedkładanie kopii dokumentów tożsamości - stwierdza prezes UODO.
Czytaj w LEX: Funkcjonowanie sektora bankowego w obliczu zagrożenia epidemicznego >