W dniu 9 września 2019 r. na stronie internetowej Urzędu Ochrony Danych Osobowych pojawiła się odpowiedź na pismo skierowane do organu nadzorczego przez prezesa Związku Banków Polskich[1].

Tekst wzbudził bardzo duże kontrowersje i był żywo komentowany w zasadzie od razu po publikacji.

Próbując odpowiedzieć na pytanie, co miał na myśli Prezes UODO, można stwierdzić, że… nie wiadomo – poza tym, że najwyraźniej nie podoba mu się kopiowanie dokumentów tożsamości przez banki.

Warto na chłodno przyjrzeć się stanowisku przedstawionemu przez organ nadzorczy. Po pierwsze wydaje się ono rewolucyjne względem dotychczasowej linii orzeczniczej (w świetle której kopiowanie dokumentów było uznawane wyłącznie za czynność techniczną[2]. Po drugie trudno sobie wyobrazić jego praktyczne stosowanie przez banki (banki krajowe, oddziały instytucji kredytowych, oddziały banków zagranicznych). Po trzecie można odnieść wrażenie, że organ nadzorczy postanowił rozszerzyć swoje kompetencje wynikające z ogólnego rozporządzenia o ochronie danych (dalej: „RODO”)[3], a doprecyzowane w ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych (dalej: „u.o.d.o.”)[4]. Zamiast monitorować i egzekwować stosowanie przepisów RODO (zgodnie z art. 57 ust. 1 lit. a) RODO i art. 34 ust. 2 i innymi przepisami u.o.d.o.) przyjął najwyraźniej, że lepiej będzie wystąpić w roli prawodawcy.

Organ nie zakwestionował wprawdzie możliwości legalnego kopiowania dokumentów tożsamości przez banki, niemniej jednak ewidentnie uznał, że takie działanie powinno mieć charakter ograniczony. Można by zgodzić się z jego rozważaniami na temat art. 112b ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (dalej: „p.b.”)[5] czy z niektórymi spostrzeżeniami dotyczącymi ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (dalej: „ustawa AML”)[6], ale trudno zaakceptować jego postulaty związane ze szczególnym traktowaniem kopii dokumentów tożsamości[7].

Prezes UODO nie ograniczył się do zwykłej interpretacji przepisów, stwierdzając, iż „sporządzanie kopii dowodów tożsamości w ocenie organu nadzorczego jest legalne jedynie wtedy, kiedy wynika to wprost z przepisów rangi ustawy”. Należy zauważyć przy tym, że organ nie stosuje konsekwentnie określonych terminów, raz wskazując na „kopie dowodów tożsamości”, innym razem zaś na „kopie dokumentów tożsamości”. Nieprecyzyjne słownictwo wskazuje na pobieżne potraktowanie problematyki. Nie sposób zresztą racjonalnie przyjąć, że w świetle obowiązujących przepisów można mówić o sporządzeniu „kopii dowodu tożsamości”, skoro skopiować można co najwyżej dokument tożsamości, który to dokument może dopiero stanowić dowód tożsamości. Trudno więc oczekiwać, że organ w ogóle rozważał ewentualne wątpliwości w zakresie tego, czy pojęcie „dokument tożsamości”, o którym mowa w ustawie AML czy w art. 112b p.b., powinno ograniczać się wyłącznie do dokumentów stwierdzających tożsamość, czy też może obejmować także innego rodzaju dokumenty.

Niezależnie od tych uwag brak jest jakiegokolwiek przepisu prawa (zwłaszcza przepisu RODO), który uzasadniałby stanowisko przedstawione przez Prezesa UODO. Prezentując streszczony powyżej pogląd, organ nadzorczy zaproponował – jak się zdaje – wprowadzenie kolejnego rodzaju danych osobowych (danych znajdujących się w dokumentach tożsamości) czy też jedynej w swoim rodzaju operacji przetwarzania (kopiowania dokumentów tożsamości), które wymagają szczególnej podstawy prawnej, tj. przepisów rangi ustawowej.

Taka konstrukcja jawi się jako nieuzasadniona. W RODO można wyróżnić trzy rodzaje danych:

  • dane zwykłe (które mogą być przetwarzane w oparciu o jedną z podstaw wskazanych w art. 6 ust. 1 RODO);
  • szczególne kategorie danych – tzw. dane wrażliwe (które mogą być przetwarzane w oparciu o jedną z podstaw wskazanych w art. 9 ust. 2 RODO);
  • dane dotyczące wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa (których przetwarzania na podstawie art. 6 ust. 1 RODO wolno dokonywać wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem Unii lub prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą).

Warto mieć na uwadze, że obecnie żaden z tych rodzajów danych osobowych nie musi mieć specjalnej podstawy prawnej (jedynie) w ustawie (jak wydaje się chcieć Prezes UODO w swym stanowisku), aby można je było legalnie przetwarzać (wymóg taki względem tzw. danych wrażliwych przewidywały nieobowiązujące już przepisy ustawy o ochronie danych osobowych z 29 sierpnia 1997 r.). Artykuł 6 ust. 1 lit. c) RODO (w zakresie danych zwykłych), art. 9 ust. 2 lit. b), g), i), j) RODO (w zakresie danych wrażliwych) czy art. 10 RODO (w zakresie danych wskazanych w tym przepisie) wspominają wyłącznie o obowiązku prawnym lub przepisach prawa Unii lub prawa państwa członkowskiego, które w określonych okolicznościach mogą stanowić podstawę prawną przetwarzania. W porządku prawnym Rzeczypospolitej Polskiej katalog źródeł prawa określa art. 87 Konstytucji RP[8] zgodnie z którym źródłami powszechnie obowiązującego prawa Rzeczypospolitej Polskiej są: Konstytucja, ustawy, ratyfikowane umowy międzynarodowe oraz rozporządzenia (ust. 1), a także akty prawa miejscowego na obszarze działania organów, które je ustanowiły (ust. 2).

Wydaje się, że przynajmniej teoretycznie akt każdego z wymienionych rodzajów (a nie tylko ustawa) mógłby określać zasady dotyczące przetwarzania danych znajdujących się w dokumentach tożsamości.

Kopia dowodu osobistego nie zawiera danych wrażliwych w rozumieniu art. 9 ust. 2 RODO, a jedynie dane zwykłe (w zależności od wersji dokumentu tożsamości danych tych może być mniej lub więcej). Nie ma przy tym żadnych uzasadnionych podstaw do tego, by kopię dokumentu tożsamości należało traktować jako swoiste dane szczególnej kategorii, które można przetwarzać wyłącznie na podstawie przepisów ustawowych. Wystarczające gwarancje w tej mierze zapewniają zasady ujęte w art. 5 RODO (w szczególności zasada minimalizacji danych – art. 5 ust. 1 lit. c) RODO).

Administrator danych musi oczywiście posiadać podstawę prawną do zebrania danych osobowych, natomiast sposób, w jaki to zebranie nastąpi (spisanie lub skopiowanie danych), jest kwestią absolutnie wtórną.

Prezes UODO trafnie przytoczył przepisy ustawy AML, w szczególności jej art. 34 i 35. Przepisy te pozwalają przyjąć, że instytucje obowiązane (w tym banki) mogą przetwarzać dane znajdujące się w dokumentach tożsamości na podstawie art. 6 ust. 1 lit. c) RODO.

Kluczowy wydaje się tutaj art. 34 ust. 4 ustawy AML, który przesądza, że instytucje obowiązane na potrzeby stosowania środków bezpieczeństwa finansowego mogą przetwarzać informacje zawarte w dokumentach tożsamości klienta i osoby upoważnionej do działania w jego imieniu oraz sporządzać ich kopie. W przypadku banków można ponadto powoływać się zasadnie na art. 112b p.b., zgodnie z którym banki mogą przetwarzać dla celów prowadzonej działalności bankowej informacje zawarte w dokumentach tożsamości osób fizycznych. Warto jednak pamiętać, że instytucjami zobowiązanymi w rozumieniu ustawy AML mogą być również inne zobowiązane do stosowania tych przepisów podmioty (nie tylko banki!), które mogą mieć jeszcze większe wątpliwości w konsekwencji stanowiska zaprezentowanego przez organ nadzorczy. Jako przykład można podać krajowe instytucje płatnicze, które w ustawie o usługach płatniczych[9] nie znajdują przepisu analogicznego do tego, który obowiązuje banki. Pewne wątpliwości na gruncie p.b. mogą dotyczyć tego, czy dokument tożsamości powinien być rozumiany wąsko (jedynie jako dokument stwierdzający tożsamość), czy raczej powinien obejmować także innego rodzaju dokumenty, co było już przedmiotem rozważań doktryny: „Istnieją wątpliwości odnośnie do zakresu pojęcia «dokument tożsamości». Z pewnością do dokumentów tożsamości można zaliczyć dowód osobisty, paszport, karty stałego pobytu wydawane cudzoziemcom. Nie jest jednak jasne, czy dokumentem tożsamości w rozumieniu komentowanego przepisu mogłoby być także np. prawo jazdy, legitymacja szkolna (za szerokim rozumieniem dokumentu tożsamości opowiada się M. Bączyk, w: Prawo…, s. 603). Z punktu widzenia celu, dla którego banki mogą przetwarzać dane zawarte w dokumentach tożsamości, szerokie rozumienie tego pojęcia byłoby jak najbardziej uzasadnione”[10]. Podobne wątpliwości mogą się pojawiać na gruncie ustawy AML, lecz do tej kwestii organ nadzorczy w ogóle się nie odniósł.

W odpowiedzi Prezesa UODO zabrakło jednoznacznego wskazania, że dane zawarte w dokumentach tożsamości to takie same dane jak dane innego rodzaju – jego stanowisko jest w tym względzie niejasne.

W świetle dotychczasowej praktyki oraz orzecznictwa, których słuszność nie budzi wątpliwości, kopiowanie (np. dokumentu tożsamości) jest czynnością techniczną i jednym ze sposobów zbierania danych osobowych. Żaden z przepisów RODO nie zabrania konkretnego sposobu zbierania danych. Ponownie należy podkreślić, że kluczowy jest zakres zbieranych danych, który powinien być oceniany pod kątem legalności i adekwatności przetwarzania, sposób zbierania danych jest natomiast kwestią wtórną.

Błędne wydaje się przyjęcie, że nowe zagrożenia mogą skutkować kwestionowaniem legalności przetwarzania danych. Takie podejście – co widać na przykładzie odpowiedzi Prezesa UODO – może prowadzić do nieuzasadnionego tworzenia szczególnych podstaw prawnych (nieprzewidzianych w przepisach!) w celu zapewnienia legalności określonych operacji przetwarzania konkretnych rodzajów danych.

Przyjęcie takich rozwiązań prowadzić będzie jedynie do kolejnych absurdów. Idąc tym tropem rozumowania, można by dojść do wniosku, że w kolejnej odpowiedzi organ nadzorczy uzna, iż możliwość przetwarzania wizerunku utrwalonego na zdjęciu wymaga szczególnej podstawy prawnej (np. osobnej zgody podmiotu danych), ponieważ pojawiły się nowe zagrożenia związane np. ze zjawiskiem deepfake[11]. Jeśli określony rodzaj danych (czy dokumentów) może wiązać się z dodatkowymi zagrożeniami, racjonalne wydaje się przyjęcie dodatkowych środków zabezpieczających dane (np. ograniczenie dostępu do danych w ramach organizacji bądź specjalne oznaczenie takich danych lub kopii dokumentów), a nie kwestionowanie podstawy prawnej przetwarzania danych, która w określonych okolicznościach w ogóle nie powinna budzić wątpliwości.

Wracając do działalności bankowej i obowiązków związanych z realizacją wymogów określonych w ustawie AML, należałoby uznać, że kopiowanie dokumentów tożsamości przez banki powinno być zasadą, od której ewentualne wyjątki mogłyby być uregulowane wewnętrznymi procedurami.

Przede wszystkim trzeba mieć na uwadze, że zgodnie z art. 35 ust. 1 pkt 1 ustawy AML instytucje zobowiązane stosują środki bezpieczeństwa finansowego w przypadku nawiązywania stosunków gospodarczych. Wydaje się zatem, że w każdym przypadku, w którym osoba zamierza założyć konto (w oddziale banku czy online), procedura bankowa powinna w zasadzie nakazywać sporządzenie kopii bądź skanu dokumentu tożsamości w celu realizacji wymogów ustawy AML. W świetle wyjaśnień Prezesa UODO wcale nie jest to oczywiste – wręcz można uznać, że pracownik banku powinien, zgodnie z zasadami celowości i minimalizacji, o których mowa w RODO, ocenić, czy czynność skopiowania dokumentu jest niezbędna, skoro art. 34 ust. 4 ustawy AML przewiduje taką możliwość, a nie obowiązek.

Być może w ocenie organu nadzorczego byłoby najlepiej (w celu uniknięcia zarzutu naruszenia zasady adekwatności), gdyby bank zwrócił się do klienta o przekazanie kopii dokumentu tożsamości dopiero w momencie zlecenia przeprowadzenia transakcji okazjonalnej na 15 000 euro lub większej. W rzeczywistości trudno sobie wyobrazić, jak w praktyce miałaby wyglądać realizacja wymogów wynikających z ustawy AML w świetle rozważań Prezesa UODO.

Szkoda, że organ nadzorczy nie zajmuje się działaniami, do których jest wprost uprawniony zgodnie z art. 58 ust. 3 RODO (np. przyjmowaniem standardowych klauzul ochrony danych, o których mowa w art. 28 ust. 8 RODO, czy sprawnym opiniowaniem i zatwierdzaniem projektów kodeksów postępowania zgodnie z art. 40 ust. 5 RODO), ani też nie korzysta z dodatkowych uprawnień przewidzianych w przepisach u.o.d.o. Przykładowo: art. 53 ust. 1 pkt 4 u.o.d.o. przewiduje, że Prezes UODO udostępnia na swojej stronie internetowej w Biuletynie Informacji Publicznej rekomendacje określające środki techniczne i organizacyjne stosowane w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych. Tego typu zalecenia, jakkolwiek nie posiadają charakteru wiążącego, mogłyby jednak w przypadku konkretnej działalności stanowić istotne wsparcie dla administratorów danych (w tym instytucji zobowiązanych w rozumieniu ustawy AML).

Niestety, zamiast przedstawiać rekomendacje dotyczące ewentualnych środków technicznych i organizacyjnych, które powinny zostać skonsultowane z zainteresowanymi podmiotami, organ nadzorczy zajął kolejne kontrowersyjne stanowisko.