Rozmowa z radcą prawnym Patrycją Kozik z Kancelarii Legal GKK.
Katarzyna Żaczkiewicz-Zborska: - Jest już pierwsza skarga na skanowanie dowodów osobistych w bankach. Czy RODO zakazuje tego typu praktyk, uznawanych dotychczas za dopuszczalne?
Patrycja Kozik: - Zarówno na gruncie przepisów starej ustawy o ochronie danych osobowych, jak i pod rządami RODO, administrator musi legitymować się jedną z podstaw przetwarzania danych osobowych, by przetwarzanie danych było legalne. Art. 112 b Prawa bankowego stanowi, że bank ma prawo do przetwarzania danych osobowych zawartych w dokumentach tożsamości. Przepis nie wskazuje, czy bank może kserować lub skanować czy w inny sposób utrwalać dokument – bo nie musi, gdyż w ramach przetwarzania danych można na wykonywać wszelkie czynności techniczne dopóki jest ku temu stosowna podstawa. Nie ma bowiem znaczenia forma takich czynności, lecz to czy bank w ogóle może przetwarzać dane tam zawarte. Jeśli byśmy przyjęli, że bank ma podstawę przetwarzania, to jeśli dane zawarte w dokumencie tożsamości przepisze, albo w jakikolwiek inny sposób utrwali - ma do tego prawo.
Czytaj: UODO sprawdza policję - były skargi
Wskazać należy, że w związku z wejściem w życie RODO zmianie ulega kilkaset ustaw w tym także prawo bankowe, ale nie w zakresie przepisu dotyczącego dokumentów tożsamości. Na gruncie najnowszego projektu przepisów wdrażających art. 112 b prawa bankowego pozostaje bez zmian. Niemniej jednak, wskazany przepis mówi o „uprawnieniu” banku do przetwarzania danych zawartych w dokumentach tożsamości– na gruncie RODO mowa natomiast o „niezbędności przetwarzania do wypełnienia obowiązku prawnego ciążącego na administratorze” - nie ma obecnie przesłanki uprawnienia, jaka była w uchylonych przepisach ustawy o ochronie danych, co w praktyce może budzić wątpliwości. Jeżeli przepis prawa nie będzie mógł być podstawą przetwarzania danych z dokumentów tożsamości, banki będą musiały powołując się np. uzasadniony interes czy realizację umowy zgodnie z zasadą minimalizacji danych ocenić jakie dane są rzeczywiście niezbędne, a część danych zawartych na dokumentach tożsamości może okazać się nadmiarowa (kolor oczu, wzrost etc).
- Jak obecnie prezes Urzędu Ochrony Danych reaguje na skargi dotyczące kopiowania dowodów?
- Tego jeszcze nie wiemy, ale wpłynęła pierwsza skarga więc niebawem poznamy aktualne, wydane pod rządami rodo stanowisko Prezesa. Niemniej jednak, Prezes Urzędu Ochrony Danych Osobowych, jeszcze jako GIODO stanął na stanowisku, że kserowanie dowodu osobistego jest bardziej dolegliwe dla człowieka, niż samo okazanie lub spisanie z dowodu człowieka, gdyż na podstawie kserokopii dowodu można wziąć kredyt lub chwilówkę, co może nieść za sobą daleko idące konsekwencje.
Czytaj: Sejmowa większość za e-dowodami
Wbrew utrwalonemu orzecznictwu Naczelnego Sądu Administracyjnego uznającemu kserowanie dowodów za czynności techniczne, Prezes Urzędu (jako GIODO) zapowiedział, że nie jest za takimi praktykami. Formalnie z przepisu ustawy zakaz kserowania nie wynika, ale Urząd uważa, że kserowanie czy skanowanie stanowi większą ingerencję w prywatność i nie można interpretować orzeczenia NSA w oderwaniu od zagrożeń jakie pojawiły się w dobie rozwoju technologii takie jak np. kradzież tożsamości.
- Czy skanowanie dowodów dopuszczalne jest w parabanku lub towarzystwie ubezpieczeń?
- Instytucje parabankowe nie podlegają pod regulacje Prawa bankowego. Nie stosuje się do nich ta ustawa, zatem nie mogą powołać się na wskazany przepis by móc przetwarzać dane zawarte na dokumentach tożsamości. Niemniej jednak, jeżeli nie ma przepisu szczególnego, można przetwarzać część danych zawartych na dowodach osobistych takich jak np. imię, nazwisko czy adres na zasadach ogólnych (w zakresie niezbędnym do zawarcia i realizacji umowy oraz dochodzenia roszczeń). Analogicznie ubezpieczyciele – mogą przetwarzać dane z dowodu w zakresie wynikającym z przepisów sektorowych.