Copying a public document in the context of the security systems of public documents and personal data protection
The protection of personal data is currently one of the key elements of the security of natural persons. The awareness of the above has led the legislator to introduce, on July 12, 2019, new provisions on the copying of personal data contained in public documents, e.g. identity cards and passports. The new legal regulations are a part of a broader set of provisions that can be defined as personal data protection regulations. This means that the existing EU and national legislation should always be taken into account when applying new regulations. The subject of this article is the analysis of the problem of admissibility and the principle of replicating public documents as personal data carriers, with particular emphasis on the rights of banks in the scope of the subject matter.
Keywords: personal data, copying, replication, public document, bank
Słowa kluczowe: dane osobowe, kopiowanie, replika, dokument publiczny, bank
I. Wstęp
12 lipca 2019 r. weszła w życie ustawa z 22 listopada 2018 r. o dokumentach publicznych[1], zwana dalej „u.d.p.”. Ustawa ta wprowadza system bezpieczeństwa dokumentów publicznych, który zgodnie z art. 1 ust. 2 u.d.p. obejmuje projektowanie, wytwarzanie, przechowywanie oraz weryfikację autentyczności dokumentów publicznych, a także inicjowanie zmian zabezpieczeń dokumentów publicznych przed fałszerstwem w oparciu o analizę przypadków fałszerstw tych dokumentów, podnoszenie poziomu edukacji w zakresie wiedzy o bezpieczeństwie dokumentów publicznych oraz współpracę z międzynarodowymi instytucjami i organizacjami zajmującymi się bezpieczeństwem dokumentów publicznych. Ustawa określa także zasady funkcjonowania tego systemu, w tym wprowadza szereg definicji ustawowych, dokonuje podziału dokumentów publicznych na trzy kategorie uzależnione od kryterium znaczenia dokumentu publicznego dla bezpieczeństwa państwa, reguluje wytwarzanie blankietów dokumentów publicznych oraz kontrolę ich wytwórców. Kształtowanie polityki bezpieczeństwa dokumentów publicznych oraz zapewnienie funkcjonowania systemu bezpieczeństwa dokumentów publicznych u.d.p. powierza ministrowi właściwemu do spraw wewnętrznych. Niewątpliwie ratio legisu.d.p. jest zwiększenie ochrony zarówno dokumentów publicznych, jak i danych osobowych, których są one nośnikami, dzięki czemu ustawa ta doskonale wpisuje się we wprowadzony w zeszłym roku zarówno w Polsce, jak i w całej Unii Europejskiej system ochrony danych osobowych. Warto zatem przyjrzeć się bliżej rozwiązaniom funkcjonującym w ramach u.d.p. i przeanalizować ich znaczenie dla ochrony danych osobowych.
II. Kopiowanie danych osobowych zawartych
w dokumentach publicznych
Artykuł 2 ust. 1 u.d.p. zawiera wiele definicji ustawowych stanowiących podstawę dalszych rozwiązań legislacyjnych wprowadzonych w ustawie. Na szczególną uwagę w ramach niniejszego opracowania z racji jego ram przedmiotowych zasługują pojęcia: dokument publiczny i replika dokumentu publicznego.
Zgodnie z art. 2 ust. 1 pkt 2 u.d.p. dokumentem publicznym jest dokument, który służy do identyfikacji osób, rzeczy lub potwierdza stan prawny lub prawa osób posługujących się takim dokumentem, zabezpieczony przed fałszerstwem: a) wytwarzany według wzoru określonego w przepisach prawa powszechnie obowiązującego albo b) którego wzór graficzny i forma zostały zatwierdzone przez podmiot realizujący zadania publiczne, uprawniony na podstawie odrębnych przepisów, i który jest zgodny z wymogami dla blankietu tego dokumentu określonymi w przepisach prawa powszechnie obowiązującego. Jak wynika z powyższej definicji, pojęciu dokumentu publicznego ustawodawca nadał bardzo szerokie ramy przedmiotowe, wskazując, że dokument ten może służyć do identyfikacji osób, rzeczy lub potwierdzenia stanu prawnego lub prawa osób posługujących się takim dokumentem. Rozwiązanie to należy ocenić pozytywnie, gdyż pozwala ono objąć systemem bezpieczeństwa dokumentów publicznych szerokie spektrum tych dokumentów. Doprecyzowanie przytoczonej definicji zostało ujęte w art. 5 ust. 2–4 u.d.p., gdzie zawarto opis każdej z trzech kategorii dokumentów publicznych, które ustawodawca podzielił w oparciu o kryterium, jak wspomniano powyżej, znaczenia dla bezpieczeństwa państwa. W oparciu o art. 5 ust. 2 u.d.p. jako przykłady dokumentów publicznych można wskazać m.in. dowód osobisty, dokumenty paszportowe, prawo jazdy, a także tytuły wykonawcze wydawane przez sądy lub referendarzy sądowych, odpisy prawomocnych orzeczeń sądów, z których wynika nabycie, istnienie lub wygaśnięcie prawa – albo które odnoszą się do stanu cywilnego – odpisy orzeczeń lub zaświadczenia stwierdzające uprawnienie do: reprezentacji danej osoby, dokonania czynności prawnej bądź zarządu określonym majątkiem, wydawane przez sądy. Na marginesie warto odnotować, że dokumenty potwierdzające kwalifikacje zawodowe, w tym do wykonywania zawodu radcy prawnego, zostały zgodnie z art. 5 ust. 4 u.d.p. zakwalifikowane do kategorii trzeciej dokumentów publicznych. Wyjątek w omawianym zakresie stanowią: prawo wykonywania zawodu lekarza, prawo wykonywania zawodu lekarza dentysty oraz legitymacje służbowe, o których mowa w art. 5 ust. 2 pkt 32 u.d.p., które to dokumenty należą do pierwszej kategorii. Warto odnotować, że choć art. 5 ust. 4 u.d.p. nie posługuje się pojęciem legitymacji (np. radcy prawnego), wydaje się, że wyniki wykładni celowościowej tego przepisu pozwalają uznać, że w zakresie, w jakim przepis ten dotyczy dokumentów potwierdzających kwalifikacje zawodowe, obejmuje on także dokument w postaci legitymacji zawodowej.
Z kolei art. 2 ust. 1 pkt 6 u.d.p. wskazuje, że repliką dokumentu publicznego jest odwzorowanie lub kopia wielkości od 75% do 120% oryginału o cechach autentyczności dokumentu publicznego lub blankietu dokumentu publicznego, z wyłączeniem kserokopii lub wydruku komputerowego dokumentu publicznego wykonanych do celów urzędowych, służbowych lub zawodowych określonych na podstawie odrębnych przepisów lub na użytek osoby, dla której dokument publiczny został wydany. Przepis ten bezpośrednio swoją dyspozycją nawiązuje do materii ochrony danych osobowych, określając sytuację, kiedy dopuszczalne jest wykonanie repliki dokumentu publicznego, jego kserokopii lub wydruku komputerowego. Ustawodawca zawęził pojęcie repliki dokumentu publicznego, wyłączając z jego zakresu kserokopie i wydruki komputerowe dokumentu publicznego pod warunkiem łącznego spełnienia dwóch przesłanek:
a)kserokopie lub wydruki zostały wykonane w celu urzędowym, służbowym, zawodowym lub na użytek osoby, dla której dokument publiczny został wydany,
b)cele wskazane w pkt a, poza użytkiem osoby, dla której dokument publiczny został wydany, zostały określone na podstawie odrębnych przepisów.
Rozróżnienie repliki dokumentu publicznego i jego kserokopii lub wydruku komputerowego jest istotne, gdyż zgodnie z art. 58 u.d.p. kto wytwarza, oferuje, zbywa lub przechowuje w celu zbycia replikę dokumentu publicznego, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch. Wykonanie kserokopii dokumentu publicznego, co jest sytuacją nierzadko występującą w praktyce, w szczególności odnośnie do dowodów osobistych, może zatem stanowić przestępstwo. Trzeba jednak zwrócić uwagę, że wykonana kopia, aby stanowić replikę dokumentu publicznego w rozumieniu art. 2 ust. 1 pkt 6 u.d.p., a zatem, aby być objęta dyspozycją art. 58 u.d.p., musi mieć cechy autentyczności dokumentu publicznego lub blankietu dokumentu publicznego. Ustawodawca, regulując przedmiotową materię, powinien był doprecyzować tę kwestię, gdyż obecne rozwiązania prawne zawarte w u.d.p. prowadzą do wniosku, że możliwe jest niestety zaistnienie sytuacji, w której wykonanie kserokopii dokumentu publicznego, pomimo niespełnienia ww. przesłanek ustawowych, nie będzie podlegać penalizacji z uwagi na wykazanie przez sprawcę braku cech autentyczności kserokopii. Problem ten został odnotowany przez Urząd Ochrony Danych Osobowych, zwany dalej „UODO”, czego efektem było zwrócenie się przez UODO w kwietniu 2019 r. na piśmie do Ministerstwa Spraw Wewnętrznych i Administracji z uwagami dotyczącymi wprowadzenia szerszej regulacji odnośnie do kopiowania dokumentów publicznych. W odpowiedzi MSWiA oświadczyło, że nie wyklucza ewentualności nowelizacji przepisów u.d.p., jednak na razie będzie obserwować skutki nowych przepisów i praktykę ich stosowania[2].
Jak wspomniano powyżej, cele wykonania kserokopii lub wydruku komputerowego muszą mieć charakter urzędowy, służbowy lub zawodowy i muszą być określone na podstawie odrębnych przepisów prawa. Konieczne zatem przy wykonywaniu kserokopii dokumentu publicznego jest przeprowadzenie analizy w celu ustalenia, czy podmiot wykonujący kserokopię dokumentu ma do tego uprawnienie na podstawie przepisu prawa powszechnie obowiązującego. Jednak pozytywny wynik tej analizy nie jest wystarczający, aby w pełni zrealizować cele regulacji prawnych dotyczących ochrony danych osobowych. Konieczne bowiem jest dokonanie oceny, w jakim celu, a w konsekwencji w jakim zakresie, tj. odnośnie do jakich danych, podmiot kopiujący dokument publiczny może to robić. Wymaga to przeanalizowania danego stanu faktycznego w świetle zasad: ograniczenia celu i minimalizacji danych uregulowanych odpowiednio w art. 5 ust. 1 lit. b i c rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)[3], zwane dalej „RODO”.
Zgodnie z zasadą ograniczenia celu dane muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami. Dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych, lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami. Natomiast w myśl zasady minimalizacji danych dane muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. W kontekście obu przytoczonych zasad ochrony danych osobowych warto przywołać treść motywu 39 RODO, gdzie unijny prawodawca wyraził następujące stanowisko: „osobom fizycznym należy uświadomić ryzyka, zasady, zabezpieczenia i prawa związane z przetwarzaniem danych osobowych oraz sposoby wykonywania praw przysługujących im w związku z takim przetwarzaniem. W szczególności konkretne cele przetwarzania danych osobowych powinny być wyraźne, uzasadnione i określone w momencie ich zbierania. Dane osobowe powinny być adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, dla których są one przetwarzane. Wymaga to w szczególności zapewnienia ograniczenia okresu przechowywania danych do ścisłego minimum. Dane osobowe powinny być przetwarzane tylko w przypadkach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami”.
Co do zasady, o celach, dla których następuje zbieranie danych osobowych, decyduje administrator. Trzeba pamiętać, że elementem składowym definicji administratora jest bowiem między innymi decydowanie o celach przetwarzania danych. W doktrynie prawa[4]zaznacza się jednak, że w sytuacji, gdy administrator danych jest podmiotem publicznym, wówczas cele przetwarzania danych osobowych wyznaczane są każdorazowo przepisami przyznającymi kompetencje do przetwarzania danych. Obowiązek administratora sformułowania jednoznacznego i określonego celu zostaje spełniony wówczas, gdy zostanie on określony w jakimkolwiek stopniu[5], jednak na tyle precyzyjnym, że pozwala uniknąć uznania go za nieograniczony lub niejasny[6].
Problematycznym zagadnieniem jest ustalenie stopnia szczegółowości określenia celu, zwłaszcza wyznaczenie pewnego standardu minimalnego, którego spełnienie czyniłoby zadość wymaganiom prawa. Czynnikiem, który decyduje o niezbędnym poziomie określenia celu, jest kontekst gromadzenia danych osobowych przez administratora. Z tego powodu stworzenie minimalnego standardu określenia celu przetwarzania danych osobowych jest trudnym zadaniem. Trzeba mieć bowiem na uwadze to, że dane osobowe mogą być gromadzone zarówno w jednym, jak i wielu celach. W konsekwencji tego na sposób określenia celu będzie wpływało ustalenie, czy cele są zbieżne lub choćby ze sobą powiązane.
W przypadku celów powiązanych wydaje się, że możliwe byłoby wskazanie celu głównego obejmującego wszystkie poszczególne cele. Nie może to jednak skutkować przetwarzaniem danych w zupełnie innych celach, które nie pozostają w związku z celem pierwotnym. Konieczne zatem jest zachowanie w tym zakresie daleko idącej ostrożności i rozwagi.
Zasada ograniczenia celu wskazuje, że dane nie mogą być przetwarzane dalej w sposób niezgodny z celami, dla których zostały zebrane[7]. Do tej kwestii odnosi się motyw 50 RODO, gdzie unijny prawodawca wyjaśnił, że przetwarzanie danych osobowych do celów innych niż cele, w których dane te zostały pierwotnie zebrane, powinno być dozwolone wyłącznie w przypadkach, gdy jest zgodne z celami, w których dane osobowe zostały pierwotnie zebrane. W takim przypadku nie jest wymagana odrębna podstawa prawna inna niż podstawa prawna, która umożliwiła zbieranie danych osobowych. Jeżeli przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, prawo UE lub prawo państwa członkowskiego mogą określać i precyzować zadania i cele, w których dalsze przetwarzanie powinno być uznawane za zgodne z prawem i z pierwotnymi celami. Dalej w tym samym motywie wskazano, że aby ustalić, czy cel dalszego przetwarzania danych osobowych jest zgodny z celem, w którym dane te zostały pierwotnie zebrane, administrator – po spełnieniu wszystkich wymogów warunkujących zgodność pierwotnego przetwarzania z prawem – powinien uwzględnić między innymi:
wszelkie powiązania pomiędzy tymi celami a celami zamierzonego dalszego przetwarzania,
kontekst, w którym dane osobowe zostały zebrane, w szczególności rozsądne przesłanki pozwalające osobom, których dane dotyczą, oczekiwać dalszego wykorzystania danych, oparte na rodzaju ich powiązania z administratorem,
charakter danych osobowych; konsekwencje zamierzonego dalszego przetwarzania dla osób, których dane dotyczą,
istnienie odpowiednich zabezpieczeń zarówno podczas pierwotnej, jak i zamierzonej operacji dalszego przetwarzania.
Naturalną, a zarazem prawną konsekwencją doboru celów przetwarzania danych osobowych, jest określenie odpowiedniego, tj. zminimalizowanego zakresu ich przetwarzania, a zatem ilości i rodzaju adekwatnych do celów, jakie administrator określił i ma zamiar realizować[8]. Dobór celów przez administratora nie może jednak przybrać charakteru dowolnego, gdyż art. 5 ust. 1 lit. b RODO wyraźnie stanowi, że muszą one mieć charakter prawnie uzasadniony. Łatwo zauważyć, że art. 2 ust. 1 pkt 6 u.d.p. niewątpliwie odwołuje się w swej treści do zasady ograniczenia celu przetwarzania danych, wskazując wprost, że wykonanie kserokopii lub wydruku komputerowego dokumentu publicznego może nastąpić do celów urzędowych, służbowych lub zawodowych określonych na podstawie odrębnych przepisów, a więc przetwarzanie to ma charakter prawnie uzasadniony. Tego rodzaju umiejętne połączenie przez krajowego ustawodawcę zakazu wykonywania replik dokumentów publicznych z ograniczeniem tego zakazu we wskazanym powyżej zakresie z jednoczesnym prawidłowym uwzględnieniem kluczowych zasad przetwarzania danych osobowych zasługuje na aprobatę.
Konieczne w tym miejscu jest zwrócenie uwagi na art. 5 ust. 1 lit. c RODO statuujący zasadę minimalizacji danych, która kreuje kryteria limitacyjne zmierzające do ograniczenia zbierania i dalszego przetwarzania danych osobowych, co prowadzi do ograniczenia zakresu przetwarzania danych opartego na kryterium niezbędności. Tym samym przetwarzać wolno tylko takie dane osobowe, bez których nie jest możliwe osiągnięcie przyjętego celu przetwarzania. Przetwarzanie danych osobowych może być dokonywane tylko w takim zakresie, który jest niezbędny dla osiągnięcia celu ich gromadzenia. Tym samym przetwarzanie danych w zakresie przekraczającym przyjęty cel będzie oznaczało naruszenie przepisów RODO. Zasadę minimalizacji danych należy odczytywać i analizować w powiązaniu z pozostałymi zasadami przetwarzania danych, w szczególności z ww. zasadą ograniczenia celu. Realizacja proporcjonalności przetwarzania danych jest zależna od prawidłowości określenia celu przetwarzania, który wyznacza zakres zbieranych danych niezbędnych dla osiągnięcia tego celu. Proporcjonalne przetwarzanie danych oznacza, że administrator jest zobligowany, aby zgromadzone przez niego dane osobowe były odpowiednie do celów, jakie wyznaczył[9].
Z powyższych uwag wypływa konkluzja, że – jak już wspomniano – dla zgodnego z prawem przetwarzania danych osobowych zawartych w dokumentach publicznych, polegającego na sporządzaniu wydruków komputerowych lub kserokopii posiadających cechy autentyczności, konieczne jest zarówno spełnienie przesłanek ustawowych w postaci celu, jakim jest realizacja zadań urzędowych, służbowych lub zawodowych, wyrażonych w odrębnych przepisach, a także pozyskiwanie ich i przetwarzanie w sposób zgodny z RODO, a w szczególności z zasadami ograniczonego przetwarzania i minimalizacji danych. Należy podkreślić, że w świetle art. 2 ust. 1 pkt 6 u.d.p. bez znaczenia jest okoliczność, czy administrator wykonujący wydruk komputerowy lub kserokopię ma charakter podmiotu prywatnego lub publicznego, gdyż w obu przypadkach przepis ten wymaga obowiązywania odrębnego przepisu zezwalającego na ich wykonanie.
III. Zakres uprawnienia banku
do kopiowania dokumentów publicznych
Przykładem przepisu, który uprawnia niektóre podmioty do wykonywania kserokopii dokumentu tożsamości, jest art. 34 ust. 4 ustawy z 1 marca 2018 r.[10]o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, zwana dalej u.p.p.p.f.t. Zgodnie z tym przepisem instytucje obowiązane na potrzeby stosowania środków bezpieczeństwa finansowego mogą przetwarzać informacje zawarte w dokumentach tożsamości klienta i osoby upoważnionej do działania w jego imieniu oraz sporządzać ich kopie. Wykładnia literalna tego przepisu nie pozostawia wątpliwości co do przysługiwania prawa podmiotom określonym w tym przepisie do przetwarzania, w tym kopiowania dokumentów tożsamości. Trzeba jednak wyraźnie zaznaczyć, że cel, w jakim mogą to czynić, został przez ustawodawcę ograniczony do potrzeb stosowania środków bezpieczeństwa finansowego.
Niezgodne z prawem jest zatem wykonywanie replik dokumentów publicznych zarówno w sytuacji zupełnego braku podstawy prawnej, jak również w sytuacji, gdy cele, do jakich replika jest wykonywana, wykraczają poza zakres celów określonych w istniejącej podstawie prawnej, jaką jest np. art. 34 ust. 4 u.p.p.p.f.t. Powszechnie spotykaną praktyką, na co zwrócił uwagę UODO[11], jest częste wykonywanie replik dokumentów publicznych, a w szczególności dowodów tożsamości, przez banki poza zakresem wynikającym z dyspozycji art. 34 ust. 4 u.p.p.p.f.t. Za podstawę prawną takiego przetwarzania danych osobowych swoich klientów banki, świadcząc usługi finansowe, np. w postaci udzielania pożyczek lub kredytów, zawierania umów o prowadzenie rachunku bankowego, przyjmują art. 112b ustawy z 29 sierpnia 1997 r. – Prawo bankowe[12], zwanej dalej „pr. bank.”. Jak zauważył UODO, przepis ten uprawnia wprawdzie banki do przetwarzania danych zawartych w dokumentach tożsamości, ale nie stanowi on o uprawnieniu do sporządzania kopii tych dokumentów[13].
Przede wszystkim należy zauważyć, że przepis ten należy odczytywać w związku z art. 5 ust. 1 lit. b i c RODO wskazującym na ograniczenie celu i zakresu przetwarzania oraz art. 2 ust. 1 pkt 6 u.d.p., który wymienia cele, w jakich wolno wykonywać repliki dokumentu publicznego. O ile z dyspozycji art. 112b pr. bank. można wywieść istnienie celu zawodowego, o tyle taka interpretacja jest nazbyt ogólna i nie realizuje ratio legis u.d.p. Należy zatem dokonać bardziej szczegółowej analizy art. 112b pr. bank., z którego treści interpretowanej za pomocą stosowanych metod wykładni, na czele z wykładnią literalną, lecz także systemową i celowościową, nie sposób w świetle art. 5 ust. 1 lit. b i c RODO wywieść, że przewiduje on uprawnienie dla banku do wykonywania repliki dokumentu publicznego, i to niekiedy wielokrotnie, a w konsekwencji jej przechowywania. Granicami przetwarzania danych osobowych na mocy art. 112b pr. bank. jest cel, jaki ma zostać osiągnięty na skutek tego działania, a jest nim realizacja usługi finansowej w postaci określonych ustawowo czynności bankowych na rzecz klienta[14], które to usługi nie wymagają i nie uzasadniają wykonywania repliki dokumentu publicznego przez bank.
Warto zaznaczyć, że treść art. 112b pr. bank. jest nazbyt ogólna i wymaga doprecyzowania przez ustawodawcę w celu uniknięcia w przyszłości występujących aktualnie na jego tle rozbieżności interpretacyjnych. Na kwestię tę, w szczególności w kontekście ochrony prawa do prywatności osób fizycznych, zwrócił w doktrynie uwagę Z. Ofiarski, który stwierdził, że: „z postanowień art. 112b pr. bank. wynika, że banki mogą przetwarzać dane osób fizycznych zawarte we wszelkich dokumentach tożsamości i mogą to być wszelkie dane, o ile ich przetwarzanie jest związane z celami działalności bankowej. W ten sposób ustawodawca określił uprawnienia banków bardzo szeroko, co w praktyce może być źródłem różnych wątpliwości interpretacyjnych. Poszczególne kategorie dokumentów tożsamości zawierają różne informacje, w tym także dane o szczególnym stopniu wrażliwości, np. dotyczące stanu zdrowia posiadacza określonego dokumentu czy posiadanych kwalifikacji zawodowych. Informacje takie mogą być przydatne w działalności bankowej, np. przy dokonywaniu oceny wypłacalności osoby fizycznej ubiegającej się o kredyt lub pożyczkę pieniężną, ale jednocześnie zakres dopuszczalnej ingerencji banku w sferę prywatności danej osoby fizycznej powinien być precyzyjnie wyznaczony w drodze ustawy”[15]. Dodatkowym argumentem przemawiającym za wykluczeniem dopuszczalności wykonywania replik dokumentów publicznych przez banki na podstawie art. 112b pr. bank. jest wprowadzenie przez prawodawcę art. 34 ust. 4 u.p.p.p.f.t., w którego treści wprost zawarto uprawnienie do wykonywania przez określone w nim podmioty i we wskazanym zakresie replik dokumentów publicznych.
Gdyby w ocenie ustawodawcy banki mogły wykonywać repliki tych dokumentów na podstawie art. 112b pr. bank., wprowadzenie w stosunku do banków art. 34 ust. 4 u.p.p.p.f.t. byłoby zabiegiem zbędnym i wprowadzającym w tym zakresie przepis o charakterze superfluum. Ustawodawca zdecydował jednak o potrzebie objęcia tym przepisem procesu przetwarzania danych osobowych przez banki polegającego na wykonywaniu replik dokumentów publicznych, co wskazuje, że jego zamiarem nie było nadanie bankom tego rodzaju uprawnienia na podstawie art. 112b pr. bank. Powyższe okoliczności przemawiają za uznaniem stanowiska UODO w omawianym zakresie za w pełni trafne. Analogiczne stanowisko kwestionujące zasadność kopiowania przez banki dokumentów publicznych zajął L. Kępa, stwierdzając, że: „przepisy zezwalają na przetwarzanie danych z dokumentów tożsamości, nie oznacza to jednak, że te dokumenty można kopiować i przechowywać. W świetle RODO przepis ten należałoby interpretować tak, że banki mogą przetwarzać dla celów ich działalności te informacje z dokumentów tożsamości, które są do tego celu potrzebne”[16]. Autor ten podziela cytowany pogląd P. Litwińskiego, który stwierdził, że: „dowód osobisty służy identyfikacji osoby, jest okazywany przy czynności wykonywanej osobiście. Wtedy dane z dowodu, w tym zdjęcie, są weryfikowane z rzeczywistością. Ale nie ma żadnych podstaw, żeby to samo zdjęcie było przechowywane w systemie banku, nie mówiąc już o danych ze starszych dowodów, które pozostają w obrocie, gdzie mieliśmy np. podany wzrost”[17]. Ponadto L. Kępa trafnie stwierdził, że: „Zatem wydaje się, że kopiowanie czy skanowanie dowodów osobistych w celu świadczenia usług bankowych, mimo że zgodne jest z przepisami, to jest sprzeczne z zasadą minimalizacji danych”[18].
Zakończenie
Przetwarzanie danych osobowych wymaga nie tylko precyzyjnego określenia podstaw prawnych tego działania i ich interpretacji, ale także profesjonalnego wytyczenia na podstawie regulacji prawnych i okoliczności faktycznych celów i granic przetwarzania. Wprowadzenie do polskiego porządku prawnego u.d.p., jak wskazuje choćby zarysowany powyżej problem wykonywania przez banki replik dokumentów publicznych dla celów związanych z ich aktywnością komercyjną, jest dobrym krokiem ustawodawcy w celu zwiększenia poziomu ochrony danych osobowych. Nie oznacza to jednak, że u.d.p. eliminuje wszelkie problemy w przedmiotowym zakresie, o czym świadczą choćby wskazane powyżej wątpliwości występujące na tle tej ustawy. Należy oczekiwać, że konieczne będzie wprowadzenie przez ustawodawcę kolejnych regulacji chroniących dane osobowe. Nieoceniona i zarazem konieczna w tym zakresie będzie dalsza aktywność UODO, a także samych osób fizycznych, których dane podlegają ochronie prawnej.
Bibliografia
Kępa L., Ochrona danych osobowych. Praktyczny przewodnik dla przedsiębiorców, Warszawa 2018, Legalis.
Krzysztofek M., Ochrona danych osobowych w Unii Europejskiej po reformie. Komentarz do rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, Warszawa 2016, Legalis.
Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, red. M. Sakowska-Baryła, Warszawa 2018, Legalis.
Pieńkosz P., RODO kontra prawo bankowe: co dalej z kserowaniem i skanowaniem dokumentów tożsamości przy zakładaniu kont, „Dziennik Gazeta Prawna”, 28 sierpnia 2018 r., https://edgp.gazetaprawna.pl/e-wydanie/55612,28-sierp-nia-2018/65367,Firma-i-Prawo/670977,RODO-kontra-prawo-bankowe:-co-dalej-z-kserowaniem-i-skanowaniem-dokumen-tow-tozsamosci-przy-zakladaniu-kont.html.
Prawo bankowe. Komentarz, red. Z. Ofiarski, LEX 2013.
Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, red. P. Litwiński, Warszawa 2018, Legalis.
Sanocki A., Zakaz wykonywania replik dokumentów publicznych ograniczy kradzieże tożsamości, artykuł z 11 lipca 2019 r., https://uodo.gov.pl/pl/138/1097.
Smykla B., Prawo bankowe. Komentarz, Warszawa 2011, Legalis.
[1] Dz.U. z 2019 r., poz. 53.
[2] A. Sanocki, Zakaz wykonywania replik dokumentów publicznych ograniczy kradzieże tożsamości, artykuł z 11 lipca 2019 r., https://uodo.gov.pl/pl/138/1097, dostęp: 11 lipca 2019.
[3] Dz.Urz.UE.L nr 119, s. 1.
[4] P. Litwiński, Komentarz do art. 5 RODO, [w:] Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, red. P. Litwiński, Warszawa 2018, wyd. 1, Legalis.
[5] M. Sakowska-Baryła, Komentarz do art. 5 RODO, [w:] Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, red. M. Sakowska-Baryła, Warszawa 2018, Legalis. Por. także Opinię Grupy Roboczej Art. 29 3/2013 w sprawie ograniczenia celu (WP 203), przyjęta 2 kwietnia 2013 r., https://www.giodo.gov.pl/pl/1520167/6565, dostęp: 11 lipca 2019.
[6] M. Krzysztofek, Komentarz do art. 5 RODO, [w:] idem, Ochrona danych osobowych w Unii Europejskiej po reformie. Komentarz do rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, Warszawa 2016, Legalis.
[7] M. Sakowska-Baryła, Komentarz do art. 5 RODO…Por. także Opinia Grupy Roboczej Art. 29 3/2013 w sprawie ograniczenia celu (WP 203), przyjęta 2 kwietnia 2013 r., https://www.giodo.gov.pl/pl/1520167/6565, dostęp: 11 lipca 2019.
[8] Por. P. Litwiński, Komentarz do art. 5 RODO…
[9] M. Sakowska-Baryła, Komentarz do art. 5 RODO…
[10]Dz.U. z 2019 r., poz. 1115.
[11]A. Sanocki, Zakaz wykonywania replik…
[12]Dz.U. z 2018 r., poz. 2187.
[13]Ibidem.
[14]Por. uwagi w komentarzu do art. 112b pr. bank. [w:] B. Smykla, Prawo bankowe. Komentarz, Warszawa 2011, Legalis. Autor wskazuje, że celami, w jakich na podstawie art. 112b pr. bank. banki mają prawo przetwarzać dane osobowe, są czynności bankowe wskazane w art. 5 ust. 1 i 2 oraz art. 6 ust. 1 pr. bank.
[15]Z. Ofiarski, Komentarz do art. 112b pr. bank., [w:] Prawo bankowe. Komentarz, red. Z. Ofiarski, LEX 2013.
[16]L. Kępa, Ochrona danych osobowych. Praktyczny przewodnik dla przedsiębiorców, Warszawa 2018, Legalis, s. 5.
[17]P. Pieńkosz, RODO kontra prawo bankowe: co dalej z kserowaniem i skanowaniem dokumentów tożsamości przy zakładaniu kont, „Dziennik Gazeta Prawna”, 28 sierpnia 2018 r., https://edgp.gazetaprawna.pl/e-wydanie/55612,28-sierp-nia-2018/65367,Firma-i-Prawo/670977,RODO-kontra-prawo-bankowe:-co-dalej-z-kserowaniem-i-skanowaniem-dokumen-tow-tozsamosci-przy-zakladaniu-kont.html; cyt. za L. Kępa, Ochrona danych osobowych…, s. 5.
[18]L. Kępa, Ochrona danych osobowych…, s. 5.