Prezes Urzędu Ochrony Danych Osobowych (UODO) Jan Nowak przedstawił stanowisko, wedle którego kopiowanie przez banki i inne instytucje finansowe dokumentów tożsamości nie jest dozwolone przy czynnościach takich jak otwieranie konta czy dla celów sprawdzenia zdolności kredytowej.
Zdaniem szefa Urzędu procedura jest dopuszczalna jedynie, jeżeli wymagają tego względy bezpieczeństwa określone w ustawie o przeciwdziałaniu praniu pieniędzy - czyli np. gdy zachodzi podejrzenie prania pieniędzy lub finansowania terroryzmu, albo przy okazjonalnej transakcji na równowartość 15 tys. euro lub więcej.
Były rządowy koordynator ds. RODO krytykuje opinię szefa UODO
Dr Maciej Kawecki - do niedawna koordynator reformy ochrony danych osobowych w Ministerstwie Cyfryzacji, dziś dziekan w Wyższej Szkole Bankowej w Warszawie - w rozmowie z redakcją Next Gazeta.pl przyznał, że jego zdanie na temat interpretacji przepisów jest odmienne.
Robert Kędzierski: Opinia prezesa UODO w sprawie kopiowania dowodów osobistych to istny grom z jasnego nieba. Do tej pory banki powoływały się na artykuł 112b ustawy Prawo bankowe. Mówi on, że "banki mogą przetwarzać dla celów prowadzonej działalności bankowej informacje zawarte w dokumentach tożsamości osób fizycznych". Mogą czy nie mogą?
Maciej Kawecki: Nie ukrywam, że ze stanowiskiem UODO odnoszącym się kserowania przez banki dokumentów tożsamości się nie zgadzam. Opinia ma gigantyczny wpływ na cały system przetwarzania danych osobowych, o czym do tej pory chyba nikt nie powiedział wyraźnie.
I to nie dlatego, że prezes UODO zaznaczył w niej, że poza przypadkami wymienionymi w ustawie o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, bank nie może gromadzić skanów dokumentów tożsamości.
Prezes UODO w swojej opinii wskazał, że "sporządzanie kopii dokumentów tożsamości jest legalne tylko wtedy, kiedy wynika to wprost z przepisów rangi ustawy". I nie dotyczy to tylko banku, ale wszystkich podmiotów gromadzących dane w Polsce.
RODO miało uporządkować kwestię danych osobowych, dlaczego zatem prezes UODO wskazuje konieczność dopuszczania kopiowania dowodu przez ustawę?
Trzeba kontrolować wszelkie czynności kopiowania takich dokumentów, ale nie wolno nam mówić że tworzenie kopii możliwe jest wyłącznie w przypadkach, gdy ustawa wprost mówi o "kserowaniu" czy "kopiowaniu dokumentów tożsamości" .
Dlaczego?
Nie można zawężać wykładnią krajową stosowanie prawa UE.
Czy opinia UODO ma wpływ tylko na banki?
Każdy administrator w Polsce ma obowiązek dokonać oceny czy zakres gromadzonych danych jest mu absolutnie niezbędny do celu. Jeżeli jest w stanie wykazać, że zakres danych jest niezbędny dla celu, ma prawo przetwarzać dane w oparciu o jedną z przesłanek legalizujących takie przetwarzanie, wymienionych w RODO. I absolutnie, nie musi szukać do tego przepisu rangi ustawowej. I nikt nie może tego prawa go pozbawić.
Przełóżmy to na język praktyczny
Oto prosty przykład. Pracodawca (powiedzmy bank, ale może być to też każdy inny podmiot w Polsce) deleguje pracownika do pracy poza EOG i pośredniczy w uzyskaniu przez niego wizy, do której w wielu przypadkach dołącza się kopię dowodu osobistego. Pracodawca chciałby móc potem przechowywać w celach dowodowych kopię wniosku. Tysiące przypadków może uzasadniać konieczność sięgnięcia do takiego wniosku w przyszłości.
W świetle stanowiska UODO w zasadzie żaden pracodawca w Polsce, nie mógłby tego zrobić. Nie mógłby ani świadczyć takiej usługi pośrednictwa, ale potem zarchiwizować wniosku. Dlaczego? Bo brak jest wyraźnej normy ustawowej, która wprost pracodawcę do tego uprawnia.
I nie ma żadnych podstaw, by jednak taką kopię zrobić? Żadnego "ale"?
Ale … no właśnie, ale. Ale w RODO mamy kilkanaście innych przesłanek, na których gromadzenie takiego skanu można oprzeć. Może nią być np. prawnie uzasadniony interes pracodawcy tj. art. 6 ust. 1 lit. F RODO.
Ale szef UODO uważa inaczej
Tak, opinia UODO wyłącza jego zastosowanie, dlaczego? Tego nie wiem. Ma to jednak ogromne konsekwencje i trzeba sobie z tego zdawać sprawę. I aby było jasne.A może decyzja UODO pozwoli na lepszą ochronę danych osobowych?
Sam kierowałem w Ministerstwie Cyfryzacji grupą roboczą, zmierzająca do opracowania przepisów mających walczyć, ze zjawiskiem kradzieży tożsamości. Zgadzam się - sam to robię, trzeba absolutnie walczyć z procederem nielegalnego handlu dokumentami tożsamości i ich kopiami.
Czytaj też: Pierwsza kara w sprawie RODO. Milion złotych za przetwarzanie danych bez poinformowania
![Hongkong. Z jednej z gigantycznych kaczek zeszło powietrze [ZDJĘCIA]](https://bi.im-g.pl/im/dd/79/1c/z29856221II.jpg)
