Z dniem 12 lipca br., po półrocznym vacatio legis, weszła w życie ustawa z dnia 22 listopada 2018 r. o dokumentach publicznych (Dz.U. 2019 poz. 53). W uzasadnieniu do projektu ustawy wskazano, iż podstawowym celem regulacji jest stworzenie skutecznego systemu bezpieczeństwa dokumentów publicznych.
Przy czym chodzi o kompleksowe działania, w tym nadzór nad producentem najbardziej wrażliwych dokumentów, a także stałe monitorowanie sfery dokumentów publicznych, działania prewencyjne i edukacyjne. Za zasadne uznano stworzenie mechanizmów wsparcia dla emitentów dokumentów w zakresie standaryzacji procedur i tworzenia wzorów dokumentów publicznych.
Zakaz wykonywania repliki dokumentów publicznych
Zgodnie z art. 2 ust. 1 pkt 2) ustawy o dokumentach publicznych – dokumentem publicznym jest dokument, który służy do identyfikacji osób, rzeczy lub potwierdza stan prawny lub prawa osób posługujących się takim dokumentem, zabezpieczony przed fałszerstwem i wytwarzany według wzoru określonego w przepisach prawa powszechnie obowiązującego albo taki, którego wzór graficzny i forma zostały zatwierdzone przez podmiot realizujący zadania publiczne uprawniony na podstawie odrębnych przepisów i który jest zgodny z wymogami dla blankietu tego dokumentu określonymi w przepisach prawa powszechnie obowiązującego. Wobec powyższego, do tej grupy dokumentów publicznych zaliczamy m.in. dowód osobisty, prawo jazdy, paszport, dowód rejestracyjny pojazdu, książeczkę żeglarska, jak również dokumenty wydawane przez urząd stanu cywilnego oraz prawomocne orzeczenia sądów, z których wynika nabycie, istnienie lub wygaśnięcie prawa.
Dotychczas obowiązujące przepisy dotyczące przestępstw przeciwko wiarygodności dokumentów, a w szczególności art. 270 § 1 ustawy z dnia z dnia 6 czerwca 1997 r. Kodeks karny (t.j. Dz.U. z 2018 r. poz. 1600), nie dawały możliwości pociągnięcia do odpowiedzialności osób oferujących takie „dokumenty” bez udowodnienia celu ich użycia. Uwzględniając stosowaną w tego typu przypadkach ofertę sprzedaży „dokumentów kolekcjonerskich”, w praktyce nie jest możliwe zastosowanie przywołanego przepisu. Tymczasem zagrożeniem dla bezpieczeństwa jest samo oferowanie tego typu „dokumentów”.
Ustawa o dokumentach publicznych wprowadza sankcje karne za sporządzenie repliki dokumentu publicznego. Zgodnie z art. 58 ustawy o dokumentach publicznych – kto wytwarza, oferuje, zbywa lub przechowuje w celu zbycia replikę dokumentu publicznego, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
Jednocześnie, w uzasadnieniu do projektu ustawy wskazano, iż zakaz oraz sankcja karna nie dotyczą kserokopii lub wydruku komputerowego dokumentu publicznego wykonanych do celów urzędowych, służbowych lub zawodowych określonych na podstawie odrębnych przepisów lub na użytek osoby, dla której dokument publiczny został wydany. Definicja zawarta w art. 2 ust. 1 pkt 6) ustawy o dokumentach publicznych jednoznacznie wskazuje, iż repliką dokumentu publicznego jest odwzorowanie lub kopia wielkości od 75% do 120% oryginału o cechach autentyczności dokumentu publicznego lub blankietu dokumentu publicznego.
Zgodnie z aktualnym stanowiskiem Urzędu Ochrony Danych Osobowych – nie każda kopia dokumentu publicznego będzie miała cechy autentyczności. Wobec powyższego wykonanie wydruku komputerowego lub kserokopii dokumentu publicznego, która nie spełnia kryteriów repliki dokumentu publicznego, nie będzie skutkowało nałożeniem sankcji karnej z art. 58 ustawy o dokumentach publicznych.
Niemniej podmiot, który skopiuje np. dowód osobisty może odpowiadać za naruszenie przepisów o ochronie danych osobowych poprzez przetwarzanie zbyt szerokiego zakresu danych osobowych.
Określenie celu przetwarzania danych osobowych
Podmioty wykonujące kopie dokumentów tożsamości powinny pamiętać o zasadach wynikających z RODO, w tym m.in. zasadzie minimalizacji danych. Wielokrotnie kopiowanie dokumentów potwierdzających tożsamość może prowadzi
do pozyskiwania danych wykraczających poza zakres dopuszczalny przepisami prawa, na podstawie których działają dane podmioty. W takich przypadkach organ nadzorczy weryfikuje czy zakres przetwarzanych danych jest ograniczony do tego co niezbędne do celów, dla których dane są przetwarzane– czy nie narusza zasady minimalizacji.
Wówczas to na administratorze danych osobowych będzie ciążył obowiązek udowodnienia, że konkretne dane są mu niezbędne dla realizacji określonego celu. Jeśli administrator nie wykaże podstawy do przetwarzania danych z dokumentu tożsamości, może zostać ukarany karą pieniężną przez Prezesa Urzędu Ochrony Danych Osobowych.
W ocenie UODO większość podmiotów, które dążą do wykonywania kserokopii dokumentów tożsamości nie może tego uzasadniać takim celem, jakim jest np. zawarcie umowy. Ponadto w nowych dowodach osobistych widnieją dane, które są zbędne dla potrzeb zawarcia umowy, jak np. wizerunek, płeć, obywatelstwo.
Wykonania kserokopii dokumentu publicznego nie można tłumaczyć także celem, jakim jest ewentualne dochodzenie roszczeń. Do realizacji takiego celu wystarczające wydaje się pozyskanie jedynie takich danych, jak: imię i nazwisko, adres zamieszkania czy numer dokumentu tożsamości bądź PESEL. Ponadto w znakomitej większości przypadków dla potwierdzenia tożsamości osoby fizycznej wystarczający jest wgląd do dokumentu tożsamości. Oprócz wglądu za dopuszczalne można uznać ewentualne odnotowanie wyłącznie wybranych informacji, które w razie potrzeby posłużą później przedsiębiorcy np. do dochodzenia roszczeń.
Należy przy tym pamiętać, że gdy ustanie cel uzasadniający przetwarzanie tych danych, administrator powinien je usunąć – np. zwrócić formularz, na którym spisał takie dane, ich posiadaczowi.
Uprawnienia banków i zakładów ubezpieczeń do wykonania kserokopii dowodu osobistego
Przewidziana w ustawie podstawa prawna do skanowania dokumentów tożsamości i przetwarzania informacji w nich zawartych dotyczy podmiotów, które muszą stosować środki bezpieczeństwa przewidziane w ustawie z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (t.j. Dz.U. z 2019 r. poz. 1115). Zgodnie bowiem z jej art. 34 ust. 4 instytucje obowiązane na potrzeby stosowania środków bezpieczeństwa finansowego mogą przetwarzać informacje zawarte w dokumentach tożsamości klienta i osoby upoważnionej do działania w jego imieniu oraz sporządzać ich kopie.
Natomiast zgodnie z art. 2 ust. 1 ustawy status instytucji zobowiązanej mają m.in.:
- banki krajowe, oddziały banków zagranicznych, oddziały instytucji kredytowych, instytucje finansowe mające siedzibę na terytorium Rzeczypospolitej Polskiej oraz oddziały instytucji finansowych niemających siedziby na terytorium Rzeczypospolitej Polskiej;
- krajowe instytucje płatnicze, krajowe instytucje pieniądza elektronicznego, oddziały unijnych instytucji płatniczych, oddziały unijnych i zagranicznych instytucji pieniądza elektronicznego, małe instytucje płatnicze, biura usług płatniczych oraz agenci rozliczeniowi;
- zakłady ubezpieczeń;
- pośrednicy ubezpieczeniowi;
Instytucje wskazane powyżej oraz inne, wymienione w ustawie o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu są obowiązane do ustalenia beneficjentów rzeczywistych (art. 34 ust. 1 ustawy), co zwykle robią właśnie na podstawie danych z dowodu tożsamości lub innych dokumentów publicznych.
Ponadto zgodnie z art. 112b ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (t.j. Dz.U. z 2018 r. poz. 2187), banki mogą przetwarzać dla celów prowadzonej działalności bankowej informacje zawarte w dokumentach tożsamości osób fizycznych.
autor: Paulina Grzybczyk
Senior Associate / Aplikant Radcowski
Masz pytania dotyczące rachunkowości lub prawa podatkowego?
Potrzebujesz pomocy prawnej?
Wypełnij formularz kontaktowy
i skontaktuj się z nami