Do Urzędu Ochrony Danych Osobowych zgłaszają się administratorzy oraz osoby, których dane dotyczą w związku z pojawiającymi się wątpliwościami w sprawie kopiowania dokumentów tożsamości przez podmioty obowiązane. Dotyczą one tego, w jaki sposób prawidłowo weryfikować tożsamość klienta tych instytucji, wypełniając obowiązki wynikające z ustawy o przeciwdziałaniu praniu pieniędzy (u.p.p.p.), która nałożyła na tzw. instytucje obowiązane, takie jak m.in. banki, spółdzielcze kasy oszczędnościowo-kredytowe czy krajowe instytucje płatnicze, obowiązek stosowania środków bezpieczeństwa finansowego, a jednocześnie postępować zgodnie z przepisami ogólnego rozporządzenia o ochronie danych (RODO).
Art. 34 ust. 1 u.p.p.p., określający środki bezpieczeństwa finansowego, stanowi, że środkiem tym jest m.in. identyfikacja klienta oraz weryfikacja jego tożsamości, a nie kopiowanie dokumentu tożsamości. W przepisach przewidziano możliwość kopiowania dokumentów tożsamości. Takie rozwiązanie należy uznać za uprawnienie przysługujące instytucjom obowiązanym, a nie obowiązek.
Prezes Urzędu Ochrony Danych Osobowych nie kwestionuje zasadności sporządzania kopii dokumentów tożsamości przez instytucje obowiązane w ogóle, gdyż takie uprawnienie przysługuje im na mocy art. 34 ust. 4 u.p.p.p. Podważa jednak, że taka praktyka musi być realizowana przy każdej czynności wykonywanej przez instytucje obowiązane. Decyzja o skopiowaniu dokumentu tożsamości, czy też żądanie przedstawienia takich kopii powinna być poprzedzona dokładną analizą czy rzeczywiście taka czynność jest niezbędna. Weryfikacja taka uwzględniać powinna przepisy RODO, w szczególności pozostawać w zgodzie z zasadami ograniczenia celu oraz minimalizacji danych.
Prezes Urzędu Ochrony Danych Osobowych w piśmie z 10 września 2019 r. skierował do Generalnego Inspektora Informacji Finansowej (GIIF) zapytanie,jakimi środkami instytucje obowiązane powinny dokonywać identyfikacji klientów i czy w każdym przypadku instytucje te w celu wypełnienia obowiązku identyfikacji klientów powinny pozyskiwać od nich kopie dokumentów, w tym dokumentów tożsamości. W odpowiedzi Generalny Inspektor Informacji Finansowej zgodził się ze stanowiskiem Prezesa Urzędu Ochrony Danych Osobowych, iż weryfikacja tożsamości klienta nie musi w każdym przypadku polegać na pozyskiwaniu kopii dokumentów. Organ ten wyjaśnił także, że w toku prowadzonych kontroli nad prawidłowością wypełniania przed instytucje obowiązane weryfikacji tożsamości klientów nie oczekuje od nich przedkładania kopii dokumentów tożsamości – jako potwierdzenia prawidłowego zweryfikowania tożsamości.
Mimo zajętego przez GIIF stanowiska problem jest powszechny i nadal aktualny. Dlatego Prezes UODO zdecydował się objąć planem kontroli sektorowych banki pod kątem kopiowania dokumentów tożsamości.
Mając jednak na uwadze, jakie trudności budzi wypracowanie przez instytucje obowiązane praktyk, które zapewniłyby balans pomiędzy koniecznością zapobiegania tak poważnemu zjawisku, jakim jest pranie pieniędzy i finansowanie terroryzmu, a uwzględnieniem przepisów i zasad ochrony danych osobowych, Prezes Urzędu Ochrony Danych Osobowych skierował 13 marca 2020 r. do Przewodniczącego Komisji Nadzoru Finansowego prośbę o rozważenie opracowania przez tego regulatora stosownych rekomendacji.
W ocenie Prezesa UODO pomocnym narzędziem dla podmiotów obowiązanych byłyby zatem rekomendacje wydane przez odpowiedniego regulatora, które określiłyby, kiedy pozyskiwanie kopii dokumentów tożsamości jest zasadne, kiedy skorzystać z innych narzędzi, jakie to mogą być narzędzia.
Właściwe zalecenia wydane przez regulatora stanowiłyby cenną wskazówkę i odniesienie dla podmiotów zobowiązanych stosować środki bezpieczeństwa. Brak jednolitych standardów w tym obszarze generuje wątpliwości zarówno podmiotów obowiązanych, jak i klientów, którzy proszeni są o przedkładanie kopii dokumentów tożsamości.
W odpowiedzi z 30 marca 2020 r. przewodniczący KNF poinformował, iż organem właściwym w sprawach przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu, jak również w zakresie wydawania rekomendacji i interpretacji w tej sprawie jest Generalny Inspektor Informacji Finansowej.
