Pytanie o to, czy kopiowanie dowodów osobistych klientów przez instytucje obowiązane i przechowywanie ich kopii na potrzeby związane z realizacją obowiązków wynikających z Ustawy AML jest dopuszczalne również w świetle przepisów o ochronie danych osobowych, powraca w debacie publicznej co jakiś czas, a rozstrzygnięcie tej kwestii nastręczało i nadal nastręcza pewnych trudności. Pomocnych wskazówek w tym zakresie – również dla dealerów – dostarcza niedawna decyzja Prezesa Urzędu Ochrony Danych Osobowych.
Prawidłowa odpowiedź musi bowiem ważyć interesy dwóch bardzo istotnych grup podmiotów. Z jednej strony chodzi o ochronę danych osobowych osób fizycznych (na gruncie Rozporządzenia Ogólnego o Ochronie Danych Osobowych – RODO), a z drugiej – zapewnienie instytucjom obowiązanym sprawnych narzędzi do realizacji ich obowiązków wynikających z ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu (Ustawa AML).
Powyższym tematem zajmował się niedawno ponownie Prezes Urzędu Ochrony Danych Osobowych (UODO), który wydając decyzję administracyjną z 10 czerwca 2022 r. (sygn. ZSPR.440.1701.2018.FT.AJ), stwierdził, że na podstawie przepisów Ustawy AML banki w pewnych okolicznościach są uprawnione do wykonywania i zbierania kopii dokumentów tożsamości swoich klientów, np. przy zawieraniu umowy rachunku bankowego.
Uprawnienie do skopiowania dowodu – Ustawa AML
Samo uprawnienie do kopiowania przez instytucje obowiązane dowodów osobistych wynika z art. 34 ust 4 Ustawy AML, który stanowi, że przy zastosowaniu środków bezpieczeństwa finansowego (tj. identyfikacji i weryfikacji klienta), instytucja obowiązana może przetwarzać informacje zawarte w dokumentach tożsamości klienta i osoby upoważnionej do działania w jego imieniu oraz sporządzać ich kopie.
Niemniej, pojawia się zasadnicze pytanie: czy bank, firma leasingowa, dealer lub inna instytucja obowiązana może z tego uprawnienia korzystać w każdym przypadku zastosowania środków bezpieczeństwa finansowego?
Obowiązek identyfikacji i weryfikacji klienta
Instytucja obowiązana ma obowiązek stosowania wobec swoich klientów środków bezpieczeństwa finansowego, w tym identyfikacji i weryfikacji.
W przypadku osoby fizycznej identyfikacja polega na ustaleniu danych, takich jak m.in. imię i nazwisko, obywatelstwo, numer PESEL, adres zamieszkania, nazwa działalności i NIP (jeśli jest przedsiębiorcą), jak również serii i numeru dowodu osobistego. Pozyskane informacje trzeba dodatkowo zweryfikować, co można uczynić w ramach np. okazania pracownikowi instytucji obowiązanej przez klienta jego dowodu osobistego. Czy potrzebna jest też kopia tego dowodu?
Obowiązek przechowywania kopii dokumentacji
Należy dodać, że Ustawa AML nakłada na instytucje obowiązane (w tym na dealerów, którzy m.in. przeprowadzają transakcje gotówkowe w kwocie stanowiącej równowartość lub przekraczającej równowartość 10 000 euro) nie tylko obowiązek identyfikacji i weryfikacji klienta, ale także – stosownie do art. 49 Ustawy AML – obowiązek przechowywania uzyskanych w wyniku stosowania środków bezpieczeństwa finansowego kopii dokumentów i informacji. Obowiązek ten trwa przez 5 lat, licząc od dnia zakończenia stosunków gospodarczych z klientem lub od dnia przeprowadzenia transakcji okazjonalnej.
Skoro zatem konieczne jest przechowywanie dokumentacji, dotyczącej środków bezpieczeństwa finansowego, to czy instytucja obowiązana, która je stosuje, zawsze może skopiować dowód osobisty klienta i przechowywać jego kopię? Zdaniem Prezesa UODO nie w każdej sytuacji.
Decyzja UODO
Choć komentowana decyzja UODO jest korzystna dla banku (instytucji obowiązanej), a więc przyznaje mu uprawnienie w postaci możliwości wykonywania i zbierania kopii dokumentów tożsamości klientów, to jednak z uzasadnienia wynika, że prawo do korzystania z tego uprawnienia przez banki (i jak należy zakładać – inne instytucje obowiązane, w tym np. dealerów) nie może być zupełnie dowolne i nie wystarczy powołać się na sam fakt posiadania statusu instytucji finansowej (czy szerzej: instytucji obowiązanej) i stosowania środków bezpieczeństwa finansowego, by automatycznie móc z niego zawsze korzystać.
W warunkach omawianej sprawy bank skopiował i przechowywał kopię dowodu osobistego klienta w związku z nawiązaniem stosunków gospodarczych – przy zawieraniu umowy konta oraz umowy bankowości elektronicznej.
Prezes UODO wskazał zaś, że w tym przypadku skopiowanie i przechowywanie kopii dowodu osobistego klienta nie stanowiło naruszenia przepisów o ochronie danych osobowych (RODO), wskazując że:
- bank kopiował i archiwizował kopie dowodów osobistych zgodnie z art. 35 Ustawy AML – w ramach stosowania środków bezpieczeństwa finansowego przy nawiązywaniu stosunków gospodarczych;
- przed wykonaniem kopii dowodu osobistego klienta bank przeprowadził ocenę ryzyka prania pieniędzy i finansowania terroryzmu dla klienta – i choć dla samego klienta bank ustalił standardowe ryzyko prania pieniędzy, to niezależnie od tego, w ramach dokonywanej oceny ryzyka prania pieniędzy lub finansowania terroryzmu z wykorzystaniem poszczególnych produktów, bank ustalił, że rachunek bankowy jest produktem rodzącym największe ryzyko;
- przy zawieraniu umowy rachunku bankowego bank wymagał sporządzenia kopii dokumentu tożsamości jako potwierdzenia wykonania środków bezpieczeństwa finansowego oraz miał obowiązek przechowywania kopii dokumentów uzyskanych w wyniku stosowania tych środków;
- bank ustalił, że przetwarzanie danych osobowych klienta, zawartych w kopii dowodu osobistego, było niezbędne w celu zastosowania środków bezpieczeństwa finansowego, zgodnie z art. 35 Ustawy AML z zasadami celowości i minimalizacji, o których mowa w art. 5 ust. 1 lit b) i c) RODO i ww. dane są zbierane w konkretnych, wyraźnie i prawnie uzasadnionych celach, a także adekwatnie do konieczności ich osiągnięcia.
W konsekwencji Prezes UODO podkreślił, że przetwarzanie danych osobowych utrwalonych poprzez sporządzenie kopii dowodu osobistego klienta, w tym przechowywanie tych danych osobowych w utrwalonej formie było działaniem niezbędnym do wypełnienia obowiązku prawnego ciążącego na administratorze (znajdującym oparcie w przesłance z art. 6 ust. 1 lit. c RODO) oraz zgodnym z zasadami ograniczenia celu i minimalizacji danych (tj. dane osobowe mogą być zbierane jedynie w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami, a proces przetwarzania danych osobowych musi być adekwatny, stosowny oraz ograniczony do tego, co niezbędne do celów, w których są przetwarzane).
W ocenie Prezesa UODO bank wykazał w toku postępowania, iż podczas nawiązywania stosunków gospodarczych z klientem zaistniała konieczność zastosowania środków wiążących się z pozyskaniem jego danych osobowych utrwalonych poprzez sporządzenie kopii dowodu osobistego (np. konieczność przetwarzania wizerunku w trakcie trwania stosunków gospodarczych – m.in. dla weryfikacji list sankcyjnych czy statusu PEP).
Jak podkreślił jednak Prezes UODO, okolicznością przesądzającą o niezbędności wykonania kopii dowodu osobistego klienta na potrzeby udokumentowania zastosowanych przez bank środków bezpieczeństwa było to, że umowa zawarta przez klienta z bankiem dotyczyła produktu, który rodził największe ryzyko prania pieniędzy lub finansowania terroryzmu, tj. rachunku bankowego, oraz produktu z nim związanego, czyli umowy bankowości elektronicznej.
Istotne z perspektywy Prezesa UODO było również to, że bank wykazał, że decyzja o zastosowaniu tego rodzaju środków została poprzedzona indywidualną analizą w zakresie zgodności z przepisami o ochronie danych osobowych.
Konkluzje wynikające z decyzji Prezesa UODO
Omawiana decyzja jest dobrym sygnałem dla instytucji obowiązanych. Bo choć decyzja Prezesa UODO nie potwierdza, że mogą one zawsze, w przypadku stosowania środków bezpieczeństwa finansowego, zupełnie swobodnie kopiować dowody osobiste i przechowywać ich kopie, to jednak Prezes UODO wskazuje, że dla skorzystania z tej możliwości, nie jest konieczna zawsze indywidualna ocena ryzyka dokonywana w odniesieniu do konkretnego klienta (czyli zasadniczo dokonywana przed pracownika instytucji obowiązanej odpowiedzialnego za sprzedaż, np. handlowca), ale w pewnych okolicznościach wystarczy, że dany produkt, znajdujący się w ofercie instytucji obowiązanej, generuje podwyższony poziom ryzyka.
Można więc pokusić się o tezę, że w światle najnowszego stanowiska Prezesa UODO możliwe jest wprowadzenie określonych standardów kompletowania dokumentacji w odniesienia do danego produktu oferowanego klientom – bez rozstrzygania za każdym razem, na poziomie indywidualnej transakcji, czy można skopiować dowód osobisty klienta. Oczywiście wprowadzenie takich reguł powinno odbyć się przy poszanowaniu zasad ograniczenia celu i minimalizacji danych wynikających z RODO (o których mowa powyżej), a więc przy założeniu, że w warunkach uzasadnionego ryzyka posiadanie kopii dowodu osobistego jest niezbędne.
W przypadku działalności prowadzonej przez dealerów – na podstawie omawianej decyzji UODO – można założyć, że wykonanie i przechowywanie kopii dowodu osobistego np. w przypadku transakcji opiewających na wysokie kwoty lub rodzących podwyższone ryzyko z innych powodów, na potrzeby udokumentowania stosowanych środków bezpieczeństwa będzie elementem procedury sprzedaży samochodów, czyli produktów, które – analogicznie jak w przypadku otwierania rachunków przez banki – wiążą się z największym ryzykiem prania pieniędzy lub finansowania terroryzmu.
Autor: Anna Ziemnicka-Milej
Adwokat w Gekko Taxens M. Sobońska-Szylińska i Wspólnicy Kancelaria Adwokatów i Radców Prawnych. Absolwentka Wydziału Prawa i Administracji Uniwersytetu Gdańskiego.
Posiada doświadczenie w prowadzeniu sporów z zakresu prawa administracyjnego, w szczególności dotyczące zagadnień związanych z ochroną środowiska, w tym w odniesieniu do ustawy o recyklingu pojazdów wycofanych z eksploatacji. W obszarze jej zainteresowań pozostają również postępowania przed Europejskim Trybunałem Praw Człowieka, w szczególności dotyczące bezprawnej ingerencji w prawo własności osób prawnych. Przed kilku laty, w związku z tym zagadnieniem koordynowała projekt polegający na sporządzeniu i wniesieniu kilkuset skarg do ETPC.