Przedsiębiorco, nie kseruj dowodów osobistych!
Kserowanie dowodów osobistych to częsta praktyka wielu firm. Niejednokrotnie mój dowód osobisty był kserowany – a to w banku, a to u operatora telefonii komórkowej, a rozpoczynając korzystanie z usług jednego z serwisów internetowych, musiałem przesłać skan dokumentu tożsamości. Takie działanie przedsiębiorców zazwyczaj nie jest jednak zgodne z ustawą o ochronie danych osobowych. W dzisiejszym artykule wyjaśniam dlaczego.
Adekwatność danych w stosunku do celu przetwarzania
Każdy administrator danych osobowych (ADO) zbiera dane osobowe w konkretnym, ściśle określonym celu (zobowiązuje go do tego art. 26 ust. 1 pkt 2 ustawy o ochronie danych osobowych, który stanowi, że „Administrator danych jest zobowiązany zapewnić, aby dane osobowe były zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane przetwarzaniu niezgodnemu z tymi celami”). W przypadku – wspomnianych na wstępie – banku i operatora telefonii komórkowej celem przetwarzania danych jest realizacja umowy, której stroną jest osoba, której dane dotyczą. Oczywiście mogą to być także inne cele, jak np. marketing produktów lub usług ADO. Bez przetwarzania danych osobowych realizacja tych celów byłaby niemożliwa. Jednak zakres przetwarzanych danych musi być zgodny z celem przetwarzania. Stosownie do art. 26 ust. 1 pkt 2 ustawy, ADO jest obowiązany zapewnić aby dane osobowe były „adekwatne do celów, w jakich są przetwarzane”. Uproszczając – nie można przetwarzać więcej danych osobowych niż dane konieczne do realizacji celu, w jakim dane zostały zebrane. Jeżeli przedsiębiorca zbiera dane klientów w celu świadczenia usług, potrzebuje w tym celu następujących danych (katalog przykładowy – konieczne dane będą inne w zależności od sytuacji):
- imię i nazwisko,
- adres zamieszkania,
- PESEL,
- numer dowodu osobistego,
- numer telefonu.
Wszelkie inne dane osobowe nie są niezbędne (adekwatne) do celu przetwarzania, jakim jest – w tym przypadku – świadczenie usług. Nie można więc, na potrzeby świadczenia usług, zbierać innych danych osobowych niż wymienione powyżej.
Zasada adekwatności danych w stosunku do celów, w jakich dane osobowe są przetwarzane jest pojęciem nieostrym. Jej granice są bardzo płynne. Wskazana powyżej sytuacja przetwarzania danych osobowych klientów w celu świadczenia usług stanowi jedynie przykład, mający na celu przedstawienie istoty tej zasady. Nie zawsze jednak w tak prosty sposób będzie można określić które dane są niezbędne do osiągnięcia celu, w jakim dane zostały zebrane. Możliwe są dużo bardziej skomplikowane sytuacje, w których uzasadnione będzie zbieranie większej ilości danych osobowych.
W niektórych dziedzinach obrotu gospodarczego, ustawodawca sam postanowił określić, jakie dane mogą być przez przedsiębiorców zbierane. Można tutaj wskazać chociażby art. 161 ust. 2 ustawy Prawo telekomunikacyjne, wskazujący konkretne dane osobowe użytkownika będącego osobą fizyczną, które mogą być przetwarzane przez dostawcę usług telekomunikacyjnych.
Tego typu przepisy dają firmom wskazówki, jak dużo danych osobowych mogą zbierać od swoich klientów. W pozostałych przypadkach każdy przedsiębiorca musi samodzielnie odpowiedzieć sobie na pytanie czy dane, które przetwarza są adekwatne do celu, w jakim je pozyskał. Drobną podpowiedzią może być zasada, że w przypadku umów o dużym znaczeniu gospodarczym (np. wielomilionowa umowa kredytowa) można przetwarzać więcej danych osobowych niż w przypadku umów zawieranych w drobnych bieżących sprawach życia codziennego (zobacz wyroki w pkt 1 i 2 poniżej). Aby ułatwić zrozumienie istoty tego problemu, prezentuję kilka orzeczeń sądów i decyzji Generalnego Inspektora Ochrony Danych Osobowych (GIODO) oraz jedno rozstrzygnięcie nadzorcze wojewody:
-
Wyrok Naczelnego Sądu Administracyjnego w Warszawie z dnia 7 listopada 2003 r. (sygn. II SA 1432/02)
Sąd uznał, że zasady przetwarzania danych osobowych w sposób adekwatny w stosunku do realizowanych celów nie można stosować jednolicie do wszystkich umów kredytowych. Każdą umowę należy oceniać odrębnie, a wynik oceny będzie inny dla umowy kredytowej na wielomilionową kwotę, a inny kredytu udzielonego na zakup niedrogiego przedmiotu.
-
Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 27 lutego 2004 r. (sygn. II SA 291/03)
W pierwszej kolejności sąd orzekł, że zachowanie anonimowości w przypadku umów o znacznym ciężarze gospodarczym, finansowym lub społecznym jest niedopuszczalne – bezpieczeństwo obrotu prawnego wymaga wtedy dokładnej identyfikacji stron zawierających umowę, co w konsekwencji może uzasadniać gromadzenie przez nie danych osobowych w zakresie gwarantującym należyte wywiązanie się ze zobowiązań.
Dalej sąd uznał, że dane w postaci wizerunku czy rysopisu są niezbędne do identyfikacji osoby będącej kredytobiorcą w wielu sytuacjach. Jako przykład wskazał przypadek, kiedy realizacja umowy kredytowej następuje w kilku transzach – bank musi mieć możliwość sprawdzenia, czy osoba zgłaszająca się po odbiór kolejnej transzy kredytu jest tą osobą, która kredyt uzyskała.
-
Decyzja GIODO z dnia 27 lipca 2004 r. (sygn. GI-DEC-DIS-147/04/315)
GIODO stwierdził, że dla ochrony interesów ubezpieczyciela, tj. prawidłowego ustalania tożsamości osób zgłaszających roszczenia o realizację świadczeń z umowy ubezpieczenia, a co za tym idzie – uprawnień tych osób do odszkodowania, za wystarczające należy uznać dane pozwalające na niebudzące wątpliwości zidentyfikowanie takiej osoby, a więc obejmujące: cechy dokumentu osobistego klienta, imię (imiona), nazwisko, w tym także nazwisko rodowe, adres zamieszkania danej osoby, numer PESEL (lub – w razie braku tego numeru – datę urodzenia), a także porównanie wyglądu osoby przedstawiającej dokument tożsamości z wizerunkiem w tym dokumencie przez osobę reprezentującą ubezpieczyciela w chwili przedstawiania dokumentu tożsamości.
-
Rozstrzygnięcie nadzorcze Wojewody Dolnośląskiego z dnia 2 grudnia 2013 r. (sygn. NK-N.4131.67.6.2013.MS1)
Rada Miasta Lubań zmieniła statut miasta. Zmienione zostały zasady przyznawania medalu „Za zasługi dla miasta Lubania” oraz nadawania honorowego obywatelstwa miasta. Zmiany polegały m.in. na wprowadzeniu obowiązku podania numeru PESEL przez osoby popierające kandydaturę do przyznania medalu i nadania honorowego obywatelstwa. Wojewoda uznał, że została naruszona zasada adekwatności danych w stosunku do celów, dla jakich są one przetwarzane. W uzasadnieniu wojewoda sformułował dość jasną i logiczną definicję tej zasady: „Wskazaną adekwatność należy rozumieć jako równowagę pomiędzy dobrem osoby, której dane dotyczą a interesem administratora danych. Oznacza to, że administrator danych nie może przetwarzać danych w zakresie szerszym, niż niezbędny dal osiągnięcia zamierzonego celu, jak również danych o większym, niż uzasadniony tym celem stopniu szczegółowości. Równowaga będzie zachowana w przypadku gdy administrator zażąda danych tylko w takim zakresie, w jakim jest to niezbędne do wypełnienia celu, w jakim są przez niego przetwarzane”. W ocenie wojewody równowaga ta nie została zachowana i stwierdził nieważność uchwały zmieniającej statut miasta.
Z tej części artykułu zapamiętaj przede wszystkim: Możesz zbierać (a następnie przetwarzać) jedynie te dane osobowe, które są konieczne do realizacji celu, w jakim dane zostały zebrane.
Kserowanie dowodu osobistego to przetwarzanie danych
Dowód osobisty zawiera dane osobowe. To nie podlega żadnej dyskusji. Kserowanie dowodu powoduje, że dane osobowe zawarte w dokumencie zostają zebrane przez przedsiębiorcę. Stanowi to więc przetwarzanie danych osobowych i niczym nie różni się od zbierania danych osobowych klientów w innych sposób, np. podczas spotkania lub poprzez wypełnienie formularza w internecie.
Z tej części artykułu zapamiętaj przede wszystkim: Jeżeli skserujesz dowód osobisty, przetwarzasz wszystkie dane w nim zawarte.
Czy na pewno wszystkie dane z dowodu osobistego są niezbędne?
Dowód osobisty zawiera cały szereg danych osobowych poczynając od imienia i nazwiska, a na wizerunku utrwalonego na zdjęciu kończąc. Zastanawiając się, czy możesz – zgodnie z przepisami ustawy o ochronie danych osobowych – skserować dowód swojego klienta i dołączyć go do dokumentacji, musisz zadać sobie jedno zasadnicze pytanie: Czy na pewno wszystkie dane z dowodu osobistego są ci niezbędne w celu wykonania umowy? Analogiczne pytanie należy zadać w przypadku każdego innego celu przetwarzania danych niż wykonanie umowy.
Jeżeli jeszcze nie wiesz jaka powinna być odpowiedź na powyższe pytanie, podpowiadam:
- Czy na pewno musisz wiedzieć jakie są imiona rodziców Twojego klienta?
- Czy koniecznie musisz znać jego miejsce urodzenia?
- Czy wiedza o kolorze oczu lub wzroście jest niezbędna do wykonania przez Twoją firmę umowy?
- Czy musisz mieć w dokumentacji zdjęcie swojego klienta?
- Czy musisz znać nazwisko panieńskie kobiety, która wyszła za mąż i zmieniła nazwisko?
Wszystkie wymienione powyżej dane znajdują się na dowodzie osobistym. W większości przypadków nie będą one konieczne do zrealizowania celu, w związku z którym dane są zbierane. A w konsekwencji przesłanka adekwatności danych do celów przetwarzania wyrażona w 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych, nie będzie spełniona. Podstawowe dane identyfikacyjne zazwyczaj w zupełności wystarczą. Oczywiście możliwe są sytuacje, w których zakres przetwarzanych danych będzie większy, jednak każdorazowo należy przeprowadzić analizę przedstawioną w niniejszym artykule.
Przedsiębiorco, nie kseruj dowodu osobistego!
Do tej pory postawiłem trzy tezy:
- Jako administrator danych osobowych możesz zbierać jedynie dane osobowe, które są konieczne do realizacji konkretnego celu.
- Skserowanie dowodu sprawia, że przetwarzasz wszystkie dane osobowe w nim zawarte.
- Nie wszystkie dane osobowe z dowodu osobistego są ci niezbędne do zrealizowania celu, w którym przetwarzasz dane (np. cel wykonania umowy).
Wniosek może być tylko jeden: Nie kseruj dowodów osobistych swoich klientów!
A co z nowymi dowodami osobistymi?
Od 1 marca 2015 r. obowiązuje nowy wzór dowodu osobistego. Czym różni się od starego? Przede wszystkim zawiera mniej danych – usunięto adres zameldowania, informację o wzroście i kolorze oczu, a także podpis posiadacza. Pomimo tego, że w przypadku skserowania nowego dowodu osobistego, przedsiębiorca będzie przetwarzał mniej danych osobowych, wszystkie powyższe uwagi pozostają aktualne. Nadal powinieneś odpowiedzieć sobie na pytanie: Czy wszystkie dane z dowodu osobistego (nowego) są Ci niezbędne?
W jaki sposób poradzić sobie z zakazem kserowania dowodów?
Odpowiedź jest prosta – nie kserować. Zdecydowanie lepiej po prostu poprosić klienta o podanie tylko tych danych, które są rzeczywiście niezbędne. A jeżeli już koniecznie chcesz skserować dowód osobisty – zasłoń dane osobowe, które nie są ci potrzebne.
Nie tylko dowody osobiste
Zasady opisane w niniejszym artykule dotyczą nie tylko dowodów osobistych. Należy je stosować także w przypadku innych dokumentów tożsamości, takich jak paszport, prawo jazdy czy nawet legitymacja członkowska. Zanim skserujesz jakikolwiek z takich dokumentów, upewnij się czy nie ma na nim danych, których posiadanie nie będzie Ci niezbędne do realizacji celu, w jakim zbierasz dane osobowe. Jeżeli takie dane są na dokumencie – zasłoń je, albo spisz tylko te potrzebne.
Podsumujmy – 3 rzeczy o których powinieneś pamiętać, zanim skserujesz dowód
- Pomyśl które dane z dowodu osobistego naprawdę potrzebujesz (zasada adekwatności).
- Zastanów się czy możesz uniknąć kserowania dowodu, spisując wybrane dane.
- Jeśli koniecznie chcesz kserować dowód osobisty – zasłoń dane osobowe, które nie są ci potrzebne.