Źródło: Dziennik Gazeta Prawna
12 lipca 2019 r. wchodzą w życie przepisy zawarte w nowelizacji ustawy o dokumentach publicznych z 22 listopada 2018 r. (Dz.U. poz. 53), które zabraniają firmom kserowania dokumentów tożsamości. Ustawodawca ma tu na myśli m.in. dowody osobiste, prawa jazdy, paszporty, karty [pojazdów, czy legitymacje osób niepełnosprawnych.
Do tej pory praktyka skanowania dokumentów tożsamości była powszechna w różnego rodzaju wypożyczalniach sprzętu, firmach telekomunikacyjnych, czy bankach i firmach ubezpieczeniowych. I to właśnie dotychczasowe praktyki tych dwóch ostatnich instytucji budzą największe wątpliwości.
Już od dłuższego czasu, przeciwne tego typu praktykom były Główny Urząd Ochrony Danych Osobowych i Urząd Danych Osobowych. Do Biura Generalnego Inspektora Ochrony Danych Osobowych (GIODO) kierowane były liczne sygnały, iż w związku z zawieraniem umów o świadczenie usług telekomunikacyjnych przedsiębiorcy kopiują dokumenty potwierdzające tożsamość klientów, pozyskując w ten sposób zbyt wiele danych osobowych. GIODO postanowił więc zająć się sprawą z urzędu i przeprowadzić u wybranych przedsiębiorców telekomunikacyjnych kontrole. Ich celem było ustalenie, czy w związku z potwierdzaniem tożsamości osób zawierających umowy o świadczenie usług telekomunikacyjnych nie dochodzi do pozyskiwania danych osobowych w zakresie wykraczającym poza zakres określony w art. 161 ustawy Prawo telekomunikacyjne, oraz czy operatorzy pozyskują kserokopie, fotokopie lub skany dokumentów potwierdzających tożsamość klientów, np. dowodów osobistych. Przeprowadzone kontrole wykazały, że przedsiębiorcy w większości przypadków uzależniali zawarcie umowy o świadczenie usług telekomunikacyjnych od przekazania kopii dokumentu tożsamości, a w niektórych przypadkach również innych dokumentów, takich jak np. prawo jazdy, książeczka wojskowa czy legitymacja studencka. Ponadto w niektórych przypadkach zawarcie umowy wiązało się z koniecznością wyrażenia zgody na przetwarzanie danych osobowych zawartych w tych dokumentach.
Prawo telekomunikacyjne stanowi, jakich danych można żądać
Powyższa praktyka została zakwestionowana przez Generalnego Inspektora Ochrony Danych Osobowych jako niezgodna z obowiązującym prawem, tj. skutkująca pozyskiwaniem bez podstawy prawnej takich danych, jak m.in.: wizerunek, wzrost, kolor oczu, adres zameldowania, numer prawa jazdy, kategorie prawa jazdy, data wydania oraz data ważności prawa jazdy. Zakres danych użytkownika końcowego będącego osobą fizyczną, do przetwarzania których uprawniony jest dostawca publicznie dostępnych usług telekomunikacyjnych, wyznaczają bowiem przepisy ustawy Prawo telekomunikacyjne. Ich wykładnia wskazuje natomiast, że dla zawarcia umowy o świadczenie usług telekomunikacyjnych przedsiębiorca telekomunikacyjny może – bez uzyskiwania zgody klienta – przetwarzać wyłącznie takie dane osobowe, które zostały ujęte w katalogu określonym art. 161 ust. 2 ustawy Prawo telekomunikacyjne, tj.: nazwiska i imiona; imiona rodziców; miejsce i data urodzenia; adres miejsca zamieszkania i adres korespondencyjny, jeżeli jest on inny niż adres miejsca zamieszkania; numer ewidencyjny PESEL; nazwa, seria i numer dokumentów potwierdzających tożsamość, a w przypadku cudzoziemca, który nie jest obywatelem państwa członkowskiego albo Konfederacji Szwajcarskiej – numer paszportu lub karty pobytu; zawartych w dokumentach potwierdzających możliwość wykonania zobowiązania wobec dostawcy publicznie dostępnych usług telekomunikacyjnych wynikającego z umowy o świadczenie usług telekomunikacyjnych. W katalogu tym nie wymieniono takich danych, jak: wizerunek, wzrost, kolor oczu, adres zameldowania, numer prawa jazdy, kategorie prawa jazdy, data wydania oraz data ważności prawa jazdy.
A co z bankami?
W przypadku banków przepisem uprawniającym je do pozyskiwania od klientów danych osobowych zawartych w dowodzie osobistym jest art. 112 b ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe, zgodnie z którym, banki mogą przetwarzać dla celów prowadzonej działalności bankowej informacje zawarte w dokumentach tożsamości osób fizycznych. Przepis ten legalizuje zatem pozyskiwanie przez banki danych osobowych zawartych w dowodach osobistych klientów.
Samo kserowanie dowodów jest zaś, w opinii Generalnego Inspektora Ochrony Danych Osobowych, czynnością stricte techniczną. Taki pogląd wyrażony został również w wyroku Naczelnego Sądu Administracyjnego z 19 grudnia 2001 r. (sygn. akt II SA 2869/2000), zgodnie z którym gromadzenie danych poprzez wykonanie kopii dokumentu zawierającego dane osobowe jest kwestią techniczną; posługiwanie się taką, czy inną techniką utrwalania tych danych (kopiowanie lub przepisywanie) nie przesądza samo przez się o legalności albo nielegalności tego utrwalania (przetwarzania).
Zagrożenia wynikające z powielania dokumentów
W opinii dr Edyty Bielak-Jomaa, Generalnego Inspektora Ochrony danych Osobowych, nadszedł czas na podjęcie dyskusji na temat celowości kserowania czy skanowania dowodów osobistych oraz innych dokumentów poświadczających naszą tożsamość. Mimo iż Naczelny Sąd Administracyjny uznał, że jest to wyłącznie czynność techniczna, nieprzesądzająca o legalności bądź nielegalności tego typu praktyk, to jednak należy zauważyć, że wyrok ten był wydany w 2001 r. Od tego czasu wiele się zmieniło, a postęp technologiczny spowodował nowe zagrożenia dla bezpieczeństwa naszych danych osobowych.
– Na kserowanie takich dokumentów, jak dowód osobisty czy paszport, należy obecnie patrzeć przez pryzmat kradzieży tożsamości, która wywołuje ogromne negatywne konsekwencje – mówiła w 2015 roku dr Edyta Bielak-Jomaa w rozmowie z redaktor Karoliną Olszewską z Radia Eska. – Według mnie nie ma konieczności, by na potrzeby zawarcia i realizacji umowy wykonywać kopie takich dokumentów – dodała.
Podkreślała, że w dyskusję na temat zmiany tej upowszechniającej się coraz bardziej praktyki powinno być włączonych wiele stosujących ją podmiotów i środowisk. Jednym z nich jest sektor bankowy, który na podstawie przepisów Prawa bankowego jest wprost uprawniony do przetwarzania – dla celów prowadzonej działalności – informacji zawartych w dokumentach tożsamości osób fizycznych. Niemniej w opinii GIODO, prawo zbierania i wykorzystywania wszystkich danych zawartych np. w dowodzie osobistym nie jest równoznaczne z prawem do kopiowania tego dokumentu. – Bezpieczniejszym rozwiązaniem, ku któremu osobiście się skłaniam, byłoby zastosowanie innej techniki gromadzenia danych, jak chociażby sporządzanie poświadczonego przez klienta wypisu z dowodu osobistego. W grę wchodzi bowiem nasze bezpieczeństwo, gdyż ksero dowodu może zostać wykorzystane przez oszustów, np. w celu zawarcia umowy kredytowej przez Internet, bez wiedzy właściciela tego dokumentu. Dostrzegamy ten problem i chcemy mu przeciwdziałać – powiedziała dr Edyta Bielak-Jomaa.
Sygnały GIODO zostały wysłuchane
Od 12 lipca skanowanie dokumentów będzie surowo zabronione, a łamanie przepisów będzie zagrożone karą pozbawienia wolności do lat dwóch. Przedsiębiorcy będą mogli jedynie spisywać dane z dokumentów w celu realizacji usług.