Czy kopiowanie dokumentów tożsamości jest dozwolone w kontekście AML?
Zagadnienie na styku przepisów o przeciwdziałaniu praniu pieniędzy (AML) i ochrony danych osobowych (RODO)
W ciągu ostatnich kilku lat znacząco wzrosła wiedza społeczeństwa na temat ochrony danych osobowych, którą obecnie gwarantuje rozporządzenie RODO (tj. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia Dyrektywy 95/46/WE).
Wysoka świadomość społeczna tego zagadnienia powoduje, że dużo emocji oraz wątpliwości wzbudza kwestia kserowania dokumentów tożsamości przez banki, podmioty działające na rynku finansowym oraz inne instytucje. W tym artykule wyjaśniamy więc, kto i kiedy może kopiować dowody osobiste lub paszporty w kontekście przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu.
Kopiowanie dokumentów tożsamości jest legalne, ale pod pewnymi warunkami
Polskie i unijne regulacje prawne umożliwiają kopiowanie dokumentów tożsamości przez ściśle określone podmioty. Zatem jest to dozwolone i w pełni legalne na konkretnych zasadach w wypadku prowadzenia działalności gospodarczej przez banki, instytucje finansowe oraz inne podmioty wskazane przez dwie kluczowe w tym wypadku ustawy.
Uprawnienia do kserowania dokumentów tożsamości daje bankom Prawo bankowe (art. 112b ustawy z dnia 29 sierpnia 1997 roku). Wspomniana ustawa mówi, że podmioty te mogą gromadzić i przetwarzać informacje zawarte w dokumentach tożsamości osób fizycznych dla celów prowadzonej działalności bankowej.
Z kolei Ustawa o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu (art. 34 ustawy z dnia 1 marca 2018 roku) wskazuje, że ściśle określone instytucje mają obowiązek stosowania środków bezpieczeństwa finansowego. I właśnie w tym zakresie mogą zbierać i przetwarzać informacje z dokumentów tożsamości klientów, beneficjentów rzeczywistych oraz osób upoważnionych do działania w imieniu klientów, a także sporządzać kopie tych dokumentów.
Co istotne, powyżej wspomniane ustawy odnoszą się do dokumentów tożsamości osób fizycznych, a zatem:
- w wypadku obywateli polskich jest to dowód osobisty oraz paszport (uwaga: prawo jazdy nie jest dokumentem tożsamości, a tylko potwierdza uprawnienia do prowadzenia konkretnego typu pojazdów),
- w przypadku cudzoziemców może to być karta pobytu, polski dokument tożsamości albo zgoda na pobyt tolerowany.
Kto może kopiować dokumenty tożsamości w celu realizacji obowiązków AML?
Ustawa AML zawiera katalog instytucji zobowiązanych do stosowania środków bezpieczeństwa finansowego, które polegają m.in. na identyfikacji i weryfikacji tożsamości klienta, beneficjenta rzeczywistego i osoby upoważnionej do działania w imieniu klienta. Odbywa się to właśnie poprzez m.in. przetwarzanie informacji z dokumentów tożsamości oraz sporządzanie ich kopii. Zadania te wiążą się z koniecznością dokonywania oceny ryzyka AML powiązanego z przeprowadzeniem transakcji okazjonalnych i nawiązywaniem stosunków gospodarczych.
Do grona tych instytucji obowiązanych należą banki, instytucje finansowe, fundusze inwestycyjne, firmy ubezpieczeniowe, biura rachunkowe, kantory wymiany walut, stowarzyszenia, fundacje, zawody prawnicze i pośrednicy w sprzedaży nieruchomości (pod pewnymi warunkami), a także wiele innych podmiotów wskazanych ustawie AML.
W wypadku instytucji obowiązanych, przesłanką do gromadzenia i przetwarzania danych osobowych jest wypełnienie obowiązku prawnego ciążącego na administratorze danych (art. 6 ust. 1 lit. c rozporządzenia RODO).
Ustawa AML mówi wprost o możliwości gromadzenia, przechowywania, opracowywania, udostępniania i usuwania danych osobowych klientów, beneficjentów rzeczywistych i osób upoważnionych do działania w imieniu klientów.
Kiedy kopiowanie dowodów tożsamości jest dozwolone w kontekście zadań AML?
W prawie związanym z ochroną danych osobowych obowiązuje zasada minimalizacji oraz celowości gromadzonych i przetwarzanych danych. Zakres danych, sposób ich wykorzystywania oraz długość okresu przechowywania powinny być adekwatne do celu. W praktyce oznacza to, że nie można zbierać zbyt wielu informacji o klientach czy ich beneficjentach rzeczywistych (tj. informacji innych niż wymienione w ustawie AML). Firmy powinny stosować więc rozwiązania i procedury, które prowadzą do zbierania i przetwarzania jak najmniejszej ilości informacji.
Sporządzanie kopii dowodów tożsamości przez instytucje obowiązane jest legalne w kontekście AML jedynie wtedy, gdy konieczne jest zastosowanie środków bezpieczeństwa finansowego mających na celu przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu.
Niezwykle istotne jest, że regulacje prawne związane z AML stosują podejście oparte na ryzyku, co oznacza, że dla większości sytuacji nie wskazują gotowych rozwiązań, ale jedynie potencjalne zagrożenia oraz wachlarz możliwych działań. Zadaniem instytucji obowiązanych jest przeprowadzenie indywidualnej oceny ryzyka AML i zaprojektowanie środków bezpieczeństwa odpowiednich do jej wyniku, a także włączenie ich w procedurę AML. Jeśli instytucja obowiązana uzna i jest w stanie udowodnić, że w celu przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu konieczne jest przetwarzanie skanów lub kserokopii dokumentów tożsamości, wtedy ma prawo żądać przekazywania tych danych.
Ze stanowiskiem UODO dotyczącym sporządzania kopii dowodów tożsamości przez instytucje finansowe możesz zapoznać się tutaj.
O przetwarzaniu danych osobowych w kontekście AML dowiesz się więcej z artykułu: AML a RODO.