Od Prezesów Od Prezesów

Nie pozwólmy kopiować naszych dokumentów tożsamości

czerwiec 2013 roku

[04.06.2013]

[To jest wersja skrócona - pełna wersja w załączniku] 

 Kopiowanie dokumentów tożsamości
Dokumentem tożsamości w Polsce jest:

  • dowód osobisty
  • paszport
  • karta pobytu książeczka żeglarska w określonych warunkach

W internecie trwa dyskusja, również pomiędzy prawnikami, czy na przykład dokument prawa jazdy oraz inne dokumenty zawierające zdjęcie oraz podstawowe dane osobowe mogą również służyć do skutecznej identyfikacji obywatela. Zostawmy na razie tę kwestię i skupmy się tylko na dowodzie osobistym oraz paszporcie.

Oba te dokumenty służące identyfikacji obywatela są równocześnie często kopiowane poprzez skanowanie lub kserowanie w urzędach, uczelniach, bankowości (o tym podyskutujemy dalej) oraz przez podmioty gospodarcze w przy zawieraniu większości umów na usługi. Proces ten odbywa się z reguły na zapleczu poza oczami właściciela dokumentu.

W kserografie jest najpierw kopiowana jedna strona dowodu osobistego, a potem korzystając z tej pierwszej strony również jego druga strona. Otrzymujemy wtedy kopie obu stron dowodu na jednej stronie kartki. Zasadnym jest pytanie, co dzieje się z tą pierwszą kartką - zawierającą praktycznie wszystkie istotne dane właściciela dowodu oraz ile rzeczywiście kopii wykonano. Następnie ta (oby tylko pojedyncza) kopia dokumentu tożsamości jest składowana, wielokrotnie przekładana, przenaszana, przesyłana i wreszcie gromadzona w teczce i w szafie - i raczej nikt nie przejmuje się jej ochroną przed nieuprawnionym wykorzystaniem obecnie i w przyszłości. Tak zgromadzone dane osobowe są bardzo słabo, jeżeli w ogóle chronione. A warto zauważyć, że na kopii są widoczne również dane, które nie są wymagane do zawarcia umowy czy też potwierdzenia tożsamości.

Dlaczego kopiowane dokumentów jest problemem?

Dla większości, taka sytuacja jest normalna i mało niepokojąca. Ale też jest wiele osób, szczególnie tych już doświadczonych różnymi kłopotami z powodu niekontrolowanego wykorzystania ich danych osobowych, którzy nie zgadzają się na kopiowanie ich dokumentów. Z reguły prowadzi to do słownych konfliktów z usługodawcą i przeważnie rezygnacją z danej usługi. Niektórzy próbują wymóc na kopiującym ich dokument, dopisanie na kopii niebieskim flamastrem daty wykonania kopii oraz nazwy firmy czy instytucji, aby w przyszłości było wiadomym skąd ewentualnie nastąpił wyciek danych. Jest to jednak dość iluzoryczne zabezpieczenie.

Czy wolno kopiować dokument tożsamości?

W polskich przepisach takiego zakazu nie ma. W ustawie o dowodach osobistych znajdujemy jedynie Art.79 - Kto (...) 2) zatrzymuje bez podstawy prawnej cudzy dowód osobisty,(...) podlega karze ograniczenia wolności do 1 miesiąca albo karze grzywny. Na podstawie tego przepisu nie wolno zatrzymywać dowodu osobistego w wypożyczalniach, recepcjach biur i hoteli i można też domniemywać, że również nie należy go zabierać na zaplecze do kopiowania.

Obecnie publicznie jest znany jeden przypadek oskarżenia starego kibica o przechowywanie w domu cudzego - podobno znalezionego - dowodu osobistego. Mało kto się więc przejmuje tym przepisem i trudno go wyegzekwować nawet przy wypożyczeniu wózka dla dziecka w supermarkecie.

Ciekawe, że nie ma podobnego przepisu dotyczącego paszportu - można go więc zatrzymywać w recepcjach hoteli?

Z ustawy o ochronie danych osobowych nie wynika więc, czy wolno kopiować (kserować) dokument tożsamości. Generalny Inspektor Ochrony Danych Osobowych (jeszcze poprzedni w 2000 roku), który próbował kwestionować sądownie prawo do kserowania dowodu osobistego, niestety przegrał w NSA. Zgodnie z sentencją wyroku twierdzi więc, że o ile spełniona zostaje przesłanka legalnego przetwarzania danych osobowych, to samo kserowanie dokumentu jest czynnością tylko techniczną. Najważniejszy jest bowiem zakres danych, jakie się pozyskuje, który często określony jest w innych, niż ustawa o ochronie danych osobowych, przepisach prawa. Przypomina też, że zgoda osoby na przetwarzanie jej danych osobowych nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści oraz, że zgoda może być odwołana w każdym czasie.

A więc najpierw musimy się jednoznacznie zgodzić na kserowanie naszego dokumentu i to na piśmie w osobnym oświadczeniu. Możemy się też rozmyśleć, ale wtedy pewnie musimy zrezygnować z danej usługi. Warto jednak najpierw zapoznać się z regulaminem czy też umową jaką chcemy zawrzeć i sprawdzić jakie nasze dane będziemy musieli podać przy zawarciu danej umowy. W wielu przypadkach jest wymaganie okazanie dokumentu tożsamości, co polega na udostępnieniu danych do wpisania ich lub do sprawdzenia z danymi wpisanymi w formularzu umowy. Z reguły są to tylko podstawowe dane osobowe z adresem zameldowania oraz numerem dokumentu. Często jednak potem pada wymaganie na zgodę o skserowanie tego dokumentu. I albo zrezygnowani na to się zgadzamy, albo rozpoczyna się długa dyskusja.

Po co firmy kserują dokumenty?

Warto zadać to pytanie, gdyż przecież musi być uzasadnienie kserowania i przechowywania tylu dodatkowych kopii dokumentów. Konieczne jest też zbieranie i przechowywanie oświadczeń o zgodzie posiadacza dokumentu na jego skserowanie.

Firmy tłumaczą to dobrem klienta, podobnie jak nagrywanie rozmów z telefonicznymi centrami obsługi. Twierdzą przy tym, że tym samym zapobiegają przed podszywaniem się pod inne osoby przy zawieraniu umowy. Przy obowiązku okazania rzeczywistego dowodu jest to słabe uzasadnienie i jest chyba prostsze wytłumaczenie.

Firmy po prostu nie wierzą swoim ajentom i pracownikom podpisującym w ich imieniu umowy z klientami. Obawiają się, że ci w pogoni za premią od liczby nowo pozyskanych klientów, będą „generować" samodzielnie nowych klientów, korzystając z kupionych lub fałszywych danych osobowych. I tylko kserokopia dowodu osobistego ma uwiarygadniać, że ajent czy pracownik rzeczywiście widział tego klienta.

Oczywiście jest to też słabe zabezpieczenie, bo przy tak powszechnym kopiowaniu dokumentów nie jest problemem pozyskanej pliku kopii takich kopii.

A więc trudno być tutaj przekonanym do uzasadnienia ze strony firm, że czynią to dla dobra klienta. Czy ktoś może zna inne lepsze uzasadnienie?

Kopiowanie dokumentów tożsamości w bankach

W bankach kserowanie dokumentów tożsamości jest znacznie częstsze oraz podobnież jest silniej prawnie umotywowane.

Na pytanie „Czy bank może kserować dowód osobisty klienta w celu zbadania jego zdolności kredytowej?" Generalny Inspektor Danych Osobowych odpowiada, że „Bank ma prawo kserować dowód osobisty klienta, gdyż wprost uprawnia go do tego art. 112 b ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe."

W uzasadnieniu pisze: ....W przypadku banków przepisem uprawniającym je do pozyskiwania od klientów danych osobowych zawartych w dowodzie osobistym jest art. 112 b ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe, zgodnie z którym, banki mogą przetwarzać dla celów prowadzonej działalności bankowej informacje zawarte w dokumentach tożsamości osób fizycznych. Przepis ten legalizuje zatem pozyskiwanie przez banki danych osobowych zawartych w dowodach osobistych klientów. Samo kserowanie dowodów jest zaś, w opinii Generalnego Inspektora Ochrony Danych Osobowych, czynnością stricte techniczną....

Niestety takie stanowisko Generalnego Inspektora (tego z 2000 i 2004 roku) jest podyktowane przegraną przed NSA dotyczącym skargi kasacyjnej GIODO od wyroku NSA w Warszawie w sprawie decyzji GIODO nakazującej Bankowi zaprzestanie gromadzenia danych osobowych pozyskiwanych przez kopiowanie dowodów tożsamości w zakresie: rysopisu, imion rodziców, wizerunku, nieaktualnych adresów zameldowania, informacji o dzieciach lub innych osobach pozostających pod opieką oraz usunięcie już zgromadzonych danych osobowych, ze zbioru danych kredytobiorców.

Wydaje się jednak, że chyba ówcześni Generalni Inspektorzy Ochrony danych Osobowych mieli zbyt słabych prawników do przekonania NSA, jakie powinno być działanie banków w tym przypadku.


Polemika ze stanowiskiem NSA

Rzeczywiście istnieje art. 112b ustawy prawo bankowe, który mówi, że „banki mogą przetwarzać dla celów prowadzonej działalności bankowej informacje zawarte w dokumentach tożsamości osób fizycznych". Ale też ten przepis mówi, że mogą (ale nie muszą) i nie nakazuje kserować w tym celu dokumentów tożsamości. W innych uzasadnieniach czytamy, że Bank może kopiować dokument tożsamości ze względu na ustawę o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, według której muszą być stosowane środki bezpieczeństwa finansowego w określonych przypadkach (np. przy transakcjach powyżej 15000 euro) i w tym celu zgodnie z Art. 9 „Identyfikacja [osoby] obejmuje: 1) w przypadku osób fizycznych i ich przedstawicieli - ustalenie i zapisanie cech dokumentu stwierdzającego na podstawie odrębnych przepisów tożsamość osoby, a także imienia, nazwiska, obywatelstwa oraz adresu osoby dokonującej transakcji, a ponadto numeru PESEL lub daty urodzenia w przypadku osoby nieposiadającej numeru PESEL, lub numeru dokumentu stwierdzającego tożsamość cudzoziemca, lub kodu kraju w przypadku przedstawienia paszportu;"
W tym zapisie (ani gdziekolwiek indziej w ustawie) nie ma jednak ani słowa o konieczności wykonania kopii przedłożonych dokumentów tożsamości, co wystarcza Generalnemu Inspektorowi Danych Finansowych.

Po co o tym piszę?

Zapewne wielu z Czytelników tego tekstu zastanawia się jaki mam cel „walcząc" z kserowaniem dokumentów tożsamości.

Celem ogólnym jest zwrócenie uwagi na iluzoryczność ochrony podstawowych danych osobowych, gdy można je gromadzić w szafach na kartkach z kserografu. Również za granicą nawet w Brukseli jest to częste zjawisko - na przykład mnie tam też próbowano skserować dowód (100m od głównego budynku Komisji) w hotelu należącym do firmy z kraju arabskiego. Masowość tego procederu jest wyraźnie w konflikcie do starań Komisji Europejskiej o większą ochronę danych osobowych.

Już od lat twierdzę, że zasady ochrony podstawowych danych osobowych wpisywane w kolejne wersje dyrektywy, a obecnie również (jeszcze projektu) rozporządzenia są praktycznie niewykonalne. I żadne starania GIODO nie pomogą w ich zrealizowaniu. Jedynym rozwiązaniem jest dać sobie z tym spokój, wprowadzając znacznie ostrzejsze przepisy karne za posługiwanie się cudzymi danymi osobowymi. I oczywiście należy wzmocnić ochronę wrażliwych danych osobowych, bo jak one choć raz znajdą się w internecie to już się ich stamtąd nie da usunąć. Internet nie zapomina.

Drugim celem jest zwrócenie uwagi na fakt tworzenia papierowych zbiorów informacji, które są trudne do ochrony oraz kontroli kto z nich korzysta. W okresie rozwoju cyfryzacji należałoby skończyć z tworzeniem zbiorów papierowych i jeżeli rzeczywiście jest to konieczne wprowadzić tylko skanowanie dokumentów tożsamości bezpośrednio do systemu informatycznego. Wtedy kontrola nad tym kto i kiedy korzysta z tych danych może być zapisana w logu systemu. Równocześnie warto otworzyć system PESEL na możliwość sprawdzania wiarygodności danej tożsamości poprzez możliwość odpytania czy określone dane osobowe są poprawne czy też nie. Chwała dla Związku Banków Polskich w uruchomieniu bazy dokumentów zastrzeżonych, czyli zagubionych lub skradzionych również osób nie mających konta w żadnym banku. Ale też wydaje się uzasadnionym postulatem, że taka baza powinna być w gestii administracji publicznej i być udostępniona wszystkim podmiotom mającym uzasadnioną potrzebę weryfikacji dokumentów tożsamości.

I wreszcie trzecim celem podjęcia tego tematu jest wskazanie konieczności przygotowania się podmiotów i banków do wprowadzenia warstwy elektronicznej do dowodu osobistego ePL.ID (w nowych paszportach już taka warstwa istnieje), gdy wreszcie Rząd zrozumie, że jest to krytyczny element rozwoju elektronicznej administracji. Obawiam się bowiem, że w chwili wprowadzenia ePL.ID, podmioty dotychczas kopiujące dokumenty tożsamości będą starały się dalej kserować dokument, zamiast go sczytać elektronicznie bezpośrednio do systemu, tłumacząc to brakiem odpowiedniej infrastruktury oraz koniecznością zmiany wewnętrznych procedur. Na dowód wystarczy poczytać argumentacje z wyroków NSA.

Apel do Czytelników

Nie nawołuję tutaj do walki z kserowaniem dokumentów tożsamości. Pozostawiam waszej decyzji, czy będziecie się zgadzać na kserowanie waszych dokumentów i jak ewentualnie będziecie przeciwko temu protestować. Chętnie za to bym się dowiedział waszych doświadczeń w tej materii.

Do Prezesów (bo tylko Prezesi są w stanie coś zmienić radykalnie) podmiotów mających w swoich niejawnych wewnętrznych procedurach kopiowanie dokumentów tożsamości klientów przy zawieraniu umów, wysyłam apel o poszukanie innych metod kontroli swoich pracowników czy partnerów. Jest kilka dobrych metod z zastosowaniem systemów teleinformatycznych. To się na pewno opłaci w najbliższych miesiącach, gdy trzeba będzie walczyć o klienta.

Do Prezesa Związku Banków Polskich oraz Prezesów banków mam podobny apel. Przekonajcie banki, które żądają od swoich klientów zgody na kserowanie dokumentów (jak ten bank z mojej opowieści), aby zmieniły lub przynajmniej ujawniły w regulaminach czy umowach stosowanie takich procedur.

Dr inż. Wacław Iszkowski
Jest to prywatna opinia nie będąca stanowiskiem Polskiej Izby

Do pobrania
Nie_pozwolmy_kopiowac_naszych_dokumentow_(WBI).pdf