Bank wiedzy:

Żądanie ksero (skanów) dowodów osobistych przez przedsiębiorcę – na przykładzie platformy internetowej Vinted

Urząd Ochrony Danych Osobowych („UODO”) postanowił sprawdzić, dlaczego litewska platforma handlowa Vinted wymaga od użytkowników handlujących w ramach platformy przedstawiania kopii dowodów osobistych.

Z uwagi na to, że platformę tę prowadzi spółka zarejestrowana na Litwie, UODO w ramach mechanizmu wzajemnej współpracy wystąpił z wnioskiem w trybie art. 61 RODO do Litewskiego Państwowego Inspektoratu Ochrony Danych („DPA”), o wszczęcie postępowania z urzędu lub przeprowadzenie kontroli w firmie Vinted UAB w celu dostosowania operacji przetwarzania do przepisów ogólnego rozporządzenia o ochronie danych (RODO).

Żądanie ksero (skanów) dowodów osobistych przez Vinted

W związku z tym, że do polskiego Urzędu Ochrony Danych Osobowych zaczęły wpływać liczne sygnały dotyczące żądania przez litewską platformę zakupową Vinted przedstawienia od użytkowników rejestrujących się w celach handlowych (sprzedawców) kopii ich dowodów osobistych, UODO postanowił zająć się sprawą i zgłosił się w ramach mechanizmu wzajemnej współpracy do Litewskiego Państwowego Inspektoratu Ochrony Danych („DPA”) o pomoc.

Z informacji zamieszczonej na stronie UODO wynika, że we wniosku polski organ zwrócił uwagę na konieczność:
1. podania podstawy prawnej przetwarzania danych osobowych przez operatora platformy Vinted,
2. zbadania zakresu oraz rodzaju przetwarzanych danych osobowych, sposobu oraz celu zbierania i udostępniania danych osobowych,
3. zweryfikowania, czy zostały wdrożone odpowiednie środki organizacyjne i techniczne celem zapewnienia odpowiedniej ochrony danych osobowych przez administratora.
Podjęte przez UODO działania mają na celu wymuszenie na litewskim DPA efektywniejszego egzekwowania przepisów RODO. Litewski organ nadzorczy powinien zająć stanowisko w tej sprawie bez zbędnej zwłoki, nie później jednak niż w terminie 1 miesiąca od dnia otrzymania wskazanego wniosku UODO, tj. do 23 kwietnia 2021 roku.

Możliwość sporządzania kopii dokumentów publicznych (np. dowodów osobistych) zgodnie z prawem

W dniu 12 lipca 2019 r. weszła w życie ustawa o dokumentach publicznych (j.t. DZ. U. 2021, poz. 725), które obejmuje swoim zakresem nie tylko dowody osobiste, lecz także cały katalog dokumentów – zawarty w art. 5 tejże ustawy. Katalog ten podzielono na trzy kategorie, w zależności od znaczenia dokumentu dla bezpieczeństwa państwa.
Na czele listy pierwszej kategorii dokumentów znajduje się dowód osobisty, natomiast w pozostałych punktach wskazane są takie dokumenty jak m.in.: paszport, odpis aktu stanu cywilnego, prawo jazdy, legitymacje służbowe policjantów, dokumenty potwierdzające kwalifikacje zawodowe, świadectwa ukończenia szkoły czy legitymacje studenckie.
Rozważając czynność kserowania dokumentów tożsamości, z pewnością warto zajrzeć
w pierwszej kolejności do wspomnianej na wstępie ustawy pomimo tego, że nie zawiera ona regulacji dotyczących pozyskiwania danych osobowych (przykładowo na skutek kserowania czy skanowania dokumentów), przy których w pierwszej kolejności zastosowanie znajdą przepisy RODO.

Głównym celem ustawy jest walka z fałszowaniem dokumentów, przestępstwami podszywania się pod inne osoby oraz z licznymi wyłudzeniami kredytów czy pożyczek. Co więcej - zaprzestanie zmuszania konsumentów do wyrażenia zgody na kserowanie dowodu bez istnienia wyraźnej przesłanki ku tej czynności.
UODO zwraca uwagę na fakt, że w wielu przypadkach przez kopiowanie dokumentów tożsamości dochodzi do pozyskiwania danych wykraczających poza zakres jaki dopuszczają przepisy prawa. Ponadto urząd wskazał również na zjawisko podszywania się pod inne osoby w celu wyłudzeń kredytów i zakupu na raty, które nasiliło się za sprawą „dokumentów kolekcjonerskich”, które łudząco przypominają oryginalne dowody osobiste, paszporty czy prawo jazdy.

W świetle przepisów ustawy o dokumentach publicznych kserowanie czy skanowanie tego rodzaju dokumentów ma być ostatecznością, a czynności te podejmować mogą jedynie ściśle określone podmioty, mające ku temu ściśle określone podstawy prawne. Są nimi np. banki czy firmy ubezpieczeniowe. Zdaniem UODO wyraźną podstawę do sporządzenia kopii dokumentu tożsamości przez banki stanowią przepisy ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu (j.t. DZ.U. 2020, poz. 971). Jednak za każdym razem, gdy bank na podstawie art. 34 ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu zamierza skopiować dokument tożsamości, decyzję tę powinien poprzedzić analizą i zweryfikowaniem - czy rzeczywiście taka czynność jest niezbędna, zgodnie z zasadami celowości i minimalizacji, o których mowa w art. 5 ust. 1 lit b) i c) RODO.

Natomiast przy założeniu konta bankowego czy badaniu zdolności kredytowej klienta, zgodnie ze stanowiskiem Prezesa UODO, wystarczające jest spisanie danych z dokumentów tożsamości, co oznacza, że kserowanie dowodu wykracza poza zakres dozwolony prawem.

Z pewnością możliwości archiwizowania dokumentów tożsamości nie mają podmioty, które poprzez skanowanie dokumentu tożsamości lub inny sposób utrwalenia znajdujących się na nich danych chcą zabezpieczyć się przed kradzieżą czy też nieopłaceniem usługi – np. wypożyczalnie samochodów. Zgodnie z przepisami, wystarczające do dochodzenia przez te podmioty ich ewentualnych roszczeń, będzie jedynie okazanie dokumentu i spisanie z niego potrzebnych danych, bez konieczności jego skopiowania czy zeskanowania. W dowodach osobistych widnieją bowiem dane, które są nierzadko zbędne przedsiębiorcom dla potrzeb zawarcia umowy, jak na przykład płeć czy obywatelstwo.

Powinniśmy pamiętać, że nasza wyrażona w przeszłości zgoda na zrobienie skanu czy kserokopii dokumentu tożsamości nie jest nieodwracalna. Przepisy RODO dają nam możliwość skierowania do administratora naszych danych osobowych wniosku o usunięcie takich danych. W sytuacji, gdy wniosek nie zostanie pozytywnie rozpatrzony, możemy wnieść skargę do Prezesa UODO.

W związku z powyższym zaleca się, aby każdorazowo negocjować z podmiotami sposób weryfikacji tożsamości celem uniknięcia w przyszłości m.in. wyłudzeń kredytowych.

Zasada minimalizacji danych zgodnie z RODO

Przy sporządzaniu kopii dokumentów tożsamości powinniśmy pamiętać o zasadzie minimalizacji danych, wynikającej z RODO.
UODO wskazuje, że podczas badania zasadności gromadzenia kserokopii dokumentów przez przedsiębiorcę, osoba dokonująca czynności kontrolnych zwróci szczególną uwagę na zakres utrwalonych przez administratora danych osobowych. W związku z tym przedsiębiorca, który chce kserować dokumenty tożsamości, w pierwszej kolejności powinien zbadać czy posiada ważną podstawę prawną do przetwarzania wszystkich danych osobowych znajdujących się na danym dokumencie. Warto tu wskazać, że np. dowód osobisty, oprócz numeru dowodu, imienia, nazwiska i daty urodzenia jego posiadacza, zawiera szereg innych informacji o osobie fizycznej, np. wizerunek, nazwisko rodowe, imiona rodziców, miejsce urodzenia, wzrost, kolor oczu, nr PESEL. Często zdarza się, że przedsiębiorca, który sporządza kopię dowodu osobistego, nie legitymuje się podstawą prawną (wyrażoną w art. 6 RODO) do przetwarzania wszystkich danych, które się na nim znajdują. Dlatego bardzo ważne jest, aby przed przystąpieniem do zbierania tego rodzaju danych przeanalizować niezbędność sporządzenia tego rodzaju kopii dla potrzeb przedsiębiorcy i danej usługi. Warto tym miejscu wskazać, że UODO przede wszystkim zwraca uwagę na to, czy zakres danych przetwarzanych przez przedsiębiorcę jest ograniczony do tego, co niezbędne do celów, dla których dane są przetwarzane, tj. czy działanie jest zgodne z art. 5 RODO, w którym zawarta jest zasada minimalizacji.

Sankcje prawne za sporządzanie kopii dokumentu publicznego (np. dowodu osobistego)

Zgodnie z brzmieniem art. 58 ustawy o dokumentach publicznych „Kto wytwarza, oferuje, zbywa lub przechowuje w celu zbycia replikę dokumentu publicznego, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2”. Ustawa zawiera również definicję repliki dokumentu publicznego, zgodnie z którą repliką jest odwzorowanie lub kopia wielkości od 75% do 120% oryginału o cechach autentyczności dokumentu publicznego lub blankietu dokumentu publicznego, z wyłączeniem kserokopii lub wydruku komputerowego dokumentu publicznego wykonanych do celów urzędowych, służbowych lub zawodowych określonych na podstawie odrębnych przepisów lub na użytek osoby, dla której dokument publiczny został wydany.
Zgodnie ze stanowiskiem UODO nie każde wykonywanie ksero (skanu) dokumentów publicznych dla celów urzędowych, służbowych lub zawodowych, określonych na podstawie odrębnych przepisów, lub na użytek osoby, dla której dokument publiczny został wydany, jest zagrożone wskazanymi powyżej sankcjami wynikającymi z ustawy o dokumentach publicznych. Jednak przed wykonaniem kopii np. dowodu osobistego, paszportu czy prawa jazdy trzeba rozważyć, czy takie działanie nie naruszy ustawy o dokumentach publicznych po to, aby taka kopia nie została potraktowana przez organy ścigania jak replika dokumentu publicznego.


Opracowały:
Beata Zalewska - Inspektor Ochrony Danych Osobowych oraz Martyna Kujawa - Specjalista ds. ochrony danych osobowych