Czytelnik robił zakupy w sklepie internetowym, za które chciał zapłacić kartą płatniczą. Został poproszony o podanie numeru PESEL dla uwierzytelnienia transakcji. Czy taka praktyka jest legalna?
Generalny inspektor ochrony danych osobowych (GIODO) wyjaśnia, że takie działanie jest zgodne z prawem.
Reguluje to ustawa z 16 listopada 2000 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz.U. z 2010 r. nr 46, poz. 276 z późn. zm.), a także ustawa z 12 września 2002 r. o elektronicznych instrumentach płatniczych (Dz.U. nr 169, poz. 1385 z późn. zm.).
Zgodnie z art. 2 pkt 1 lit. e pierwszej ustawy instytucjami obowiązanymi są instytucje pieniądza elektronicznego, oddziały zagranicznych instytucji pieniądza elektronicznego oraz agentów rozliczeniowych, prowadzących działalność na podstawie ustawy o elektronicznych instrumentach płatniczych.
Natomiast zgodnie z art. 8b ust. 1 i 3 pkt 1 ustawy o przeciwdziałaniu praniu pieniędzy instytucje te stosują wobec klientów środki bezpieczeństwa finansowego. Ich zakres jest określany na podstawie oceny ryzyka prania pieniędzy i finansowania terroryzmu.
Środki bezpieczeństwa finansowego polegają na identyfikacji klienta i weryfikacji jego tożsamości na podstawie dokumentów lub informacji publicznie dostępnych, o czym mówi art. 8b ust. 3 pkt 1 ustawy.
GIODO wskazuje, że zakres tych danych może objąć: imię, nazwisko, obywatelstwo oraz adres osoby dokonującej transakcji, numer PESEL lub datę urodzenia w przypadku osoby nieposiadającej numeru PESEL, lub numer dokumentu stwierdzającego tożsamość cudzoziemca, lub kod kraju w przypadku paszportu.
W ustawie o elektronicznych instrumentach płatniczych jest mowa o agentach rozliczeniowych, którzy są obowiązani wymieniać pomiędzy sobą informacje o akceptantach (przedsiębiorcach, którzy zawarli z agentem rozliczeniowym umowę o przyjmowanie zapłaty przy użyciu kart płatniczych) nienależycie wykonujących umowy.
W przypadku osób fizycznych mogą być wymieniane takie dane, jak imię i nazwisko, PESEL, adres zamieszkania, opis sposobu nienależytego wykonywania umowy.
Jak zaznacza GIODO, stosowana przez serwisy internetowe praktyka żądania podania numeru PESEL dla celów uwierzytelnienia internetowych kartowych transakcji płatniczych jest zgodna z przytoczonymi wyżej przepisami.
