Kopiowanie i przechowywanie dowodów osobistych zgodnie z RODO
Temat nielegalnego powielania dowodów jest co chwilę poruszany przez Urząd Ochrony Danych Osobowych oraz ekspertów od bezpieczeństwa informacji. Często jest podkreślane, że kopiowanie dowodu jest zabronione, chyba że taki obowiązek wynika bezpośrednio z przepisu prawa lub wyrazisz na to zgodę (jednak tylko wtedy, gdy ten kto chce kopiować dowód wykaże uzasadnienie dla takiej prośby, np. wysokie ryzyko wyłudzeń jego usług). Kontrole przeprowadzane przez (jeszcze wówczas) GIODO rok rocznie wykazywały, że od kiedy w firmach pojawiły się kopiarki, zaczęliśmy kopiować wszystko na potęgę. W erze sprzed kopiarek po prostu zatrzymywaliśmy dowody pod zastaw. Świadomość się zwiększa, coraz rzadziej zgadzamy się na to, żeby ktoś brał nasz dowód do ręki, a co dopiero kopiował (a jeśli już chce kopiować, musi wykazać swój interes prawny). Są jednak sytuacje, choć rzadkie, w których skopiowanie dowodu jest umotywowane w przepisach prawa, na przykład:
Banki mogą przetwarzać dla celów prowadzonej działalności bankowej informacje zawarte w dokumentach tożsamości osób fizycznych. Ustawa z dnia 29 sierpnia 1997 r. – Prawo bankowe, art. 112b.
Instytucje obowiązane na potrzeby stosowania środków bezpieczeństwa finansowego mogą przetwarzać informacje zawarte w dokumentach tożsamości klienta i osoby upoważnionej do działania w jego imieniu oraz sporządzać ich kopie. Ustawa z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, art. 34 ust. 4.
Podobne zapisy znajdziemy także w innych przepisach, np. dotyczących działalności policji, czy straży granicznej. Należy podkreślić, że kopiowanie dowodu osobistego to dla administratora danych ogromna odpowiedzialność i ryzyko. Kopia dowodu może posłużyć do kradzieży tożsamości osoby, której dane dotyczą, zatem przechowywanie przez administratora takich dokumentów istotnie zwiększa ryzyko naruszenia poufności danych osobowych. Jest to zasób, który wzbudza ogromne zainteresowanie potencjalnych przestępców. Jeżeli administrator kopiuje dowody osobiste musi przeprowadzić dla tej czynności ocenę skutków zgodnie z art. 35 RODO oraz zastosować środki ochrony danych, w szczególności zastosować zabezpieczone, zamykane szafy, zamykane pomieszczenia, może kontrolę dostępu lub kraty, a w przypadku danych elektronicznych szyfrowanie zasobów, bezpieczne przesyłanie danych, ograniczenie dostępu do kopii. Oznacza to istotne zwiększenie kosztów przechowywania danych.
Uprawnienie administratora do kopiowania dokumentu tożsamości nie oznacza, że jest on uprawniony do przechowywania wszystkich zawartych w nim danych, tzn. pełnej kopii.
Dla przykładu w ustawie z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu został wyraźnie wskazany zakres danych, do którego przetwarzania jest uprawniony podmiot, który kopiuje dowód: imiona, nazwiska, obywatelstwo, adres, PESEL, daty urodzenia, serii i numeru dokumentu tożsamości (art. 36). Oznacza to, że jeżeli taki podmiot po skopiowaniu dokumentu tożsamości nie dokona jego modyfikacji w celu anonimizacji pozostałych danych (w tym zdjęcia), będzie przetwarzał je w niedozwolonym zakresie i dokona naruszenia przepisów RODO.
Zauważyliście (być może), że od jakiegoś czasu firmy telekomunikacyjne proszą o zgodę na zrobienie kopii dowodu osobistego? Potrzebę motywują wysokim ryzykiem wyłudzania ich usług na podstawionych klientów. Z mojej praktyki wynika, że nie wszyscy pracownicy tych firm są przeszkoleni w zakresie modyfikowania kopii – nawet za Twoją zgodą taka firma nie jest uprawniona do przechowywania pełnej kopii dowodu. Ja w takiej sytuacji proszę o zrobienie zmian przy mnie lub dokonuję samodzielnie modyfikacji kopii mojego dowodu (przeczytaj jak to wygląda w praktyce). Odrębną kwestią jest skanowanie dokumentu – tutaj bardzo podoba mi się (nieoficjalne) rozwiązanie, które wymyślił PLAY, czyli nakładka na dowód, która już podczas kopiowania zasłania dane, których przetwarzanie nie jest niezbędne. Wielu pracowników samodzielnie nie potrafi lub nie chce modyfikować skanów dowodów, więc jest to bardzo dobre i praktyczne rozwiązanie. Uczulam też na przekazywanie kopii swojego dowodu kurierowi, gdy umowa jest zawierana na odległość. Przygotuj wcześniej odpowiednio zmodyfikowaną kopię, kurier powinien jedynie zweryfikować tożsamość i potwierdzić zgodność zmodyfikowanej kopii z dowodem.
Warto także podkreślić, że przechowywanie kopii dowodów osobistych (papierowych lub skanów) w zmodyfikowanej formie istotnie minimalizuje ryzyko naruszenia poufności w przypadku kradzieży tych danych, a co za tym idzie minimalizuje koszty. Zalecałabym takie działanie każdemu administratorowi. Warto także przygotować wcześniej procedurę postępowania przez pracowników z dowodami osobistymi, tzn. procedurę weryfikacji tożsamości, jeżeli muszą jej dokonywać oraz procedurę kopiowania oraz modyfikowania kopii dokumentu tożsamości. Nie można wymagać od nich odpowiedniego postępowania, jeżeli nie zapewni im się odpowiednich narzędzi.
Nazywam się Sylwia Czub-Kiełczewska, jestem ekspertką ds. ochrony danych osobowych oraz certyfikowaną audytorką wewnętrzną ISO 27001 /TISAX. Pomagam organizacjom wdrożyć skuteczne systemy bezpieczeństwa informacji, przeprowadzam audyty zgodności z RODO / ISO27001. Jestem skuteczna, bo stosuję indywidualne podejście, oparte na zrozumieniu klienta oraz jego działalności. Potrzebujesz wsparcia? Napisz do mnie
Zapraszam na moje (bardzo praktyczne i konkretne) szkolenia!
We wpisie wykorzystano zdjęcie z serwisu Pixabay.com.