Kopie dokumentów tożsamości w procesach bankowych

Wydawałoby się, że to dość prosty i oczywisty temat, a jednak bije rekordy popularności a z pewnością pobił rekord debaty nad wnioskami o zgodę na przetwarzanie danych osobowych przy wymienianiu się wizytówkami.

Dlatego tym razem postanowiliśmy podejść trochę inaczej do zagadnienia…

Zaczniemy więc od tego, że w otaczającym nas świecie mamy do czynienia z dwoma dokumentami: stwierdzającymi tożsamość i potwierdzającymi tożsamość. Te pierwsze to dowód osobisty i paszport, to drugie to np. prawo jazdy, legitymacja szkolna, legitymacja służbowa…

Nie podejmuję się rozstrzygania, dlaczego tak bardzo wszyscy się uwrażliwili w temacie kopii dokumentów tożsamości, niemniej wykonywanie kopii np. prawa jazdy też może budzić wątpliwości, ale po kolei…

Zacznijmy od pytania, które tak wszystkich nurtuje:

Czy można wykonywać kopie dokumentu tożsamość?

Oczywiście, że można. Ba! Mamy to tego prawo.

Prawo bankowe mówi, że banki mogą wykorzystywać dane zawarte w dokumentach tożsamości, a Ustawa o przeciwdziałaniu praniu pieniędzy (…) zezwala na wykonanie kopii przy nawiązywaniu stosunków biznesowych.

Z tego można wysnuć prosty wniosek, że właściwie to: w czym problem?

Tkwi on niestety w różnicy pomiędzy prawem a obowiązkiem.

Czy któraś z wymienionych wyżej ustaw nakazuje wykonanie kopii? Nie. Czy prawo do wykorzystania danych jest równoznaczne z nakazem lub zakazem wykonania kopii? Także nie. A czy może Ustawa o praniu wymusza na nas tą czynność, wskazując ją jako obowiązkową? Też nie.

Nie możemy wiec czynności kopiowania dokumentów tożsamości oprzeć o przesłankę legalizującą, jaką jest wypełnienie obowiązku wynikającego z przepisu prawa (art. 6 ust. 1 lit c) RODO).

Możemy oczywiście zastosować inne przesłanki legalizujące, jak choćby:

• zgodę (art. 6 ust. 1 lit a) RODO) – niemniej należy tu pamiętać o jej dobrowolności
i prawie do wycofania, co w praktyce doprowadzi do tego, że kopie raz będą, a raz nie będą wykonywane, a te wcześniej wykonane, na żądanie klienta trzeba będzie niszczyć. W praktyce przesłanka niepewna i bardzo kłopotliwa, szczególnie w aspekcie procedur z zakresu prania;

• lub prawnie uzasadniony interes banku (art. 6 ust. 1 lit f) RODO) – tyle, że ten interes należy gruntownie i niepodważalnie uzasadnić. Inaczej: należy wykazać niezbędność kopiowania dokumentów tożsamości w obsłudze bankowej i realizacji obowiązków wynikających z przepisów dotyczących prania.

I właśnie w wykazaniu tej niezbędności tkwi problem, bo:

• po pierwsze – w zasadności wykonania takiej kopii,

• po drugie w możliwości uzasadnienia zakresu przetwarzanych danych np. przetwarzania wizerunku dla potrzeb założenia lokaty,

• po trzecie, w zapewnieniu bezpieczeństwa owej kopii,

• no i po czwarte w zapewnieniu rozliczalności dostępu do niej i wykonywanych przy jej użyciu czynności.

Do powyższego zestawu powodów można dorzucić jako odrębny, choć wpisujący się w nie, obowiązek unikania nadmiarowości przetwarzanych danych wynikający z RODO oraz stanowisko PUODO co do konieczności wykonania oceny zasadności wykonania takiej kopii…

Istnieje też cała masa argumentów wskazujących na to, że nie warto korzystać z prawa do wykonania kopii…

Pierwszym z nich jest brak możliwości nadzorowania liczby wykonywanych kopii. Obecny stan organizacyjno-techniczny w większości przypadków nie pozwala pracownikom w prosty sposób stwierdzić, czy została już zrobiona kopia dowodu tożsamości, czy nie – zwłaszcza jeżeli w procedurze ma zapisany obowiązek wykonania kopii a do tego jest pracownikiem innego departamentu.

Kolejny argument to brak możliwości faktycznego nadzorowania tychże kopii (tak kserokopii, jak i skanów) pod kątem dostępności oraz użycia (kto, kiedy, po co) –
w RODO jest to określane jako rozliczalności działań. A skoro nie mamy i nie czarujmy się, nie będziemy mieli możliwości zabezpieczenia ich przed wyciekiem (zwłaszcza
w odniesieniu do kserokopii) to czy warto ryzykować?

W rozmowach, jednym z argumentów jaki padał w obronie wykonywania kopii była kwestia kontroli. Niby OK. Ale skoro pracownik przygotowuje umowę, daje ją do weryfikacji – podpisują zazwyczaj co najmniej dwie osoby, to jak one weryfikują zawarte w umowie dane, skoro uważamy za niezbędne zachowanie kserokopii dokumentu tożsamości dla przyszłych kontroli? Ten argument pasował do dawnych czasów, gdzie kontrola weryfikowała przestrzeganie procedury, w której było napisane: wykonać kopię dowodu osobistego.

No tak, ale obrońcy kopii powiedzą, że jak można udowodnić, że pracownik właściwie zidentyfikował osobę? Że faktycznie miał dowód tożsamości w rękach?

Otóż, systemy bankowe tak działają, że weryfikują poprawność numerów PESEL oraz numerów dowodów osobistych – można to sprawdzić wpisując numer z głowy lub wpisując faktyczny numer, ale zamieniając miejscami któreś ze znaków lub zmieniając znak. Owszem jak ktoś ma nieziemskie szczęście i wpisze poprawny numer, to jest to dopiero połowa sukcesu. Proszę jeszcze spróbować wpisać numer np. Beni albo mojego sąsiada, aby numer był w pełni „spasowany” z konkretnymi danymi, faktycznej osoby.

Nie ma praktycznie możliwości, aby zaistniała sytuacja, w której pracownik wprowadzając pierwszy raz dane klienta do systemu, nie był w posiadaniu danego dokumentu tożsamości bądź w oryginale, bądź właśnie w postaci kopii (np. z innego banku) albo przynajmniej podejrzał te dane u kogoś. Zatem – albo pracownik jest uczciwym pracownikiem, albo jest uwikłany w przestępstwo.

Pikanterii dziurom proceduralnym dodaje fakt, iż w niewielu przypadkach podczas sprawdzeń weryfikowano nasze dowody w bazie dokumentów zastrzeżonych, nie mówiąc już o weryfikacji ultrafioletem, której nie zrobił nikt. Ale wykonano kopię, tylko tak naprawdę czego i po co?

Każdy Administrator musi sobie odpowiedzieć na jedno zasadnicze pytanie (złożone
z kilku ale zmierzające do jednego):

• po co mi np. wizerunek przy lokacie, skoro podczas zawierania umowy informuję, że niezbędny do wypłaty środków będzie dokument tożsamości i karta wzoru podpisu?

• czy mam to ujęte w obowiązku informacyjnym? A jeżeli mam, to: jaki cel przetwarzania wizerunku wskazałem potencjalnemu klientowi, skoro już z pierwszego pytania wynika, że nie jest mi potrzebny?

• skoro dopuszczam przypadki niewykonywania kopii w przypadku asertywnych klientów, to dlaczego robię to tym mniej wojowniczym? Bo mi wolno?

Rzućmy okiem na jeden z wielu super przykładów. Kiedy podczas sprawdzenia zabroniłem wykonywania kopii, pan podał mi kartkę, długopis i poprosił o ręczne spisanie danych, następnie sprawdził zawartość kartki, po czym wpisał te dane do systemu – można? Można. To skoro tak można – to po co było w ogóle pytania o ksero?

Ale mam też inny przykład z bardzo ciemnej strony mocy. Kiedy odmówiłem (jak
w przykładzie powyżej) usłyszałem, że musimy anulować cały proces i lokaty nie będzie… Ojojoj…

Proszę Państwa, RODO zabrania używania szantażu: ty nam dane, my ci produkt (mówiąc w uproszczeniu)… Skoro nie ma obowiązku wykonania kopii, nie ma też uzasadnienia, o którym wspomina PUODO w swoim stanowisku, to trudno doszukać się tu faktycznego powodu odmowy przyjęcia lokaty. Tej historii smaku dodaje fakt, że odmawiając, jako Państwa Inspektorzy, to my mamy podstawę do odmowy wykonania kopii, ale Państwo nie macie podstaw do warunkowania zawarcia umowy. Jakim to argumentem okrasimy konieczność wykonania kopii dokumentu tożsamości własnego pracownika, sąsiada i wielu innych, dobrze znanych, nam osób?

Ale wróćmy jeszcze na chwilę do pytania o lokatę…

Cześć banków wykonuje też kopie dokumentów tożsamości wymienionych, nowych. Nie znajdziemy nigdzie w prawie choćby źdźbła artykułu czy paragrafu, który by na to pozwalał. Za to wszyscy Państwo dobrze wiecie, że ustawa o praniu pozwala na wykonanie kopii przy nawiązywaniu stosunków. A niestety, rozwiązanie lokaty, czy dodanie rachunku do multiumowy nie jest nawiązaniem, lecz kontynuacją współpracy i mamy prawo tylko do aktualizacji danych w systemie.

Proszę Państwa, moglibyśmy jeszcze długo wymieniać przykłady mówiące o tym, że „tak”, można kopiować dokumenty tożsamości, ale… nie warto, nawet
w zakresie prania. Obawiam się, że zabrakłoby nam czasu do końca roku, aby te przykłady spisać.

Podsumowując, podtrzymujemy nasze stanowisko, że w walce tradycji z obowiązkami, jakie wynikają z konieczności nadzorowania nawet tej jednej kopii, do której macie Państwo prawo, niestety tradycja przegrywa. Bo Ci z Państwa, którzy kopii nie robią mogą spać spokojnie, a Ci którzy kopie robią będą mogli spać, ale dopiero po kontroli PUODO a warto mieć na uwadze, że za poprawność przetwarzania odpowiada administrator.

W naszej ocenie, łatwiej jest zrezygnować z kopii dowodów (bez uszczerbku dla bezpieczeństwa procedur bankowych) niż spełnić wymogi bezpieczeństwa, warunek przywołany w stanowisku PUODO oraz wyedukować pracowników w zakresie wykonywania oceny zasadności wykonywania takich kopii. A to i tak nie zamyka prawa do ich wykonania, w faktycznie uzasadnionych przypadkach

Bernadeta Gronowska, Jacek Rembikowski, E-QSM Consulting Sp. z o.o.