Banki kopiują dokumenty tożsamości. Ta praktyka, choć dla nich wygodna, naraża klientów na niepotrzebne ryzyko. GIODO zaczyna kolejną batalię, którą tym razem chce wygrać.
Konsument idzie do instytucji finansowej, chce zaciągnąć pożyczkę. Zostaje poproszony o dowód osobisty. I teraz są dwa warianty: albo dokument zostaje zeskanowany lub skserowany przez pracownika korporacji, albo dane z plastiku są spisywane. Jeśli zostanie wybrana ta druga możliwość – problemu nie ma. Jeżeli jednak pierwsza, rozpoczyna się spór pomiędzy generalnym inspektorem ochrony danych osobowych a przedstawicielami banków.
Kluczowy wyrok...
Większość banków uważa, że ma prawo kserować dokumenty swoich klientów. Twierdzą tak i rzecznicy prasowi największych podmiotów na rynku, i Związek Banków Polskich.
– Kserowanie dowodów osobistych jest dopuszczalne na podstawie przepisów prawa bankowego (art. 112b) oraz potwierdzone dotychczasowym orzecznictwem sądów administracyjnych, w szczególności wyrokiem Naczelnego Sądu Administracyjnego z 19 grudnia 2001 r. (sygn. akt II SA. 2869/2000) – wskazuje dr Tadeusz Białek, dyrektor zespołu prawno-legislacyjnego ZBP.
Dowód na nieprawidłowości / Dziennik Gazeta Prawna
To ugruntowane od lat stanowisko sektora bankowego.
Artykuł 112b ustawy – Prawo bankowe (t.j. Dz.U. z 2015 r. poz. 128 ze zm.) stanowi, że banki mogą przetwarzać dla celów prowadzonej działalności bankowej informacje zawarte w dokumentach tożsamości osób fizycznych.
Doktor Tadeusz Białek podkreśla rolę tego przepisu.
– Bank w odróżnieniu od wypożyczalni samochodów czy hoteli, które niekiedy kserują dowody osobiste, jest instytucją zaufania publicznego, która zgodnie z prawem bankowym i ustawą o przeciwdziałaniu praniu pieniędzy jest obowiązana nie tylko do weryfikowania danych z dokumentów tożsamości, lecz także do udokumentowania tego procesu – tłumaczy. W efekcie każdy skopiowany dokument objęty jest tajemnicą bankową, której złamanie może grozić nawet odpowiedzialnością karną.
...ale bardzo stary
Wszystko jest więc jasne? Otóż okazuje się, że wcale nie. W nadesłanym nam stanowisku GIODO przyznaje bowiem, że NSA uznał, iż gromadzenie danych poprzez wykonanie kopii dokumentu zawierającego dane osobowe jest kwestią techniczną (co oznacza, że technika utrwalenia danych jest bez znaczenia). Tyle że od tego wyroku upłynęło już niemal 15 lat i wręcz mechaniczne powoływanie się na niego przez sektor finansowy jest niewłaściwe.
– Na kserowanie takich dokumentów jak dowód osobisty czy paszport należy obecnie patrzeć przez pryzmat kradzieży tożsamości, która wywołuje ogromne negatywne konsekwencje – mówi DGP dr Edyta Bielak-Jomaa, GIODO. Zjawisko to zaś od kilku lat w zastraszającym tempie przybiera na znaczeniu (patrz: grafika).
W efekcie Bielak-Jomaa, mimo że szanuje orzecznictwo NSA, uważa, że wyroki należy interpretować, biorąc jednocześnie pod uwagę realia występujące w gospodarce. W przeciwnym razie równie dobrze moglibyśmy cały czas odwoływać się do orzecznictwa dotyczącego internetu z lat 90.
– Dowód osobisty powinien służyć jedynie potwierdzaniu tożsamości danej osoby. Oczywiście bank ma prawo zażądać wglądu do niego, aby potwierdzić dane osoby zawierającej umowę, ale kompletnie nie rozumiem, czemu ma służyć jego skserowanie – twierdzi minister Bielak-Jomaa. I dodaje, że wierzy, iż sądy będą brały pod uwagę to stanowisko. A jeśli nie – najwyższy czas na zmianę ustawy, by jednoznacznie przesądzić, iż możliwość przetwarzania danych nie równa się prawu do wykonania kopii dokumentu.
GIODO zaznacza też, że nie przekonuje jej argumentacja opierająca się na odwoływaniu się do postrzegania banku jako instytucji publicznej. Powód? Najsłabszym ogniwem przy ochronie danych osobowych zawsze jest człowiek. Wystarczy więc, że w banku znajdzie się jedna nieuczciwa osoba, mająca dostęp do kserokopii dokumentów, a wielu klientów może obudzić się z kredytem wziętym na ich nazwiska. I niewielkim pocieszeniem dla nich będzie to, że być może po kilkunastu miesiącach sprawca przestępstwa zostanie ukarany.
Potrzeba zmian
Kto ma rację w tym sporze? Adwokat Aleksandra Piotrowska, ekspert ds. ochrony danych ODO 24, podkreśla, że bez wątpienia spostrzeżenia GIODO są słuszne.
– Daleko posunięty rozwój technologiczny rzeczywiście prowadzi do stałego poszerzania spektrum możliwości wykorzystania naszych danych w sposób bezprawny – zaznacza.
Tyle że prawniczka podkreśla też, iż art. 112b prawa bankowego przyznaje przedsiębiorcom szerokie uprawnienia.
– Przepis ten nie zawęża czynności dokonywanej przez bank jedynie do potwierdzenia tożsamości, bowiem mowa jest o przetwarzaniu dla celów prowadzonej działalności bankowej, co stanowi pojęcie zdecydowanie szersze – tłumaczy prawniczka. I uzupełnia, że to, czy dokument jest kserowany, czy też dane są jedynie spisywane, jest obecnie pod względem prawnym bez znaczenia.
GIODO jednak nie zamierza składać broni. Jak na razie nie mówi o ewentualnych sankcjach, lecz proponuje pogłębioną dyskusję w środowisku prawniczym, ze szczególnym uwzględnieniem podmiotów stosujących kontrowersyjną praktykę. Z naszych rozmów z kilkoma politykami Prawa i Sprawiedliwości wynika, że ci czekają na efekty tych rozmów. Jeśli państwowe organy dojdą do wniosku, że obecnie obowiązujące prawo nie chroni w wystarczającym stopniu klientów sektora bankowego – zostanie zmienione.