Decyzja Prezesa Urzędu Ochrony Danych Osobowych z sierpnia 2025 roku wobec ING Banku Śląskiego odbiła się szerokim echem nie tylko w sektorze finansowym. Bank został ukarany karą administracyjną w wysokości ponad 18 milionów złotych za systemowe i nadmierne kopiowanie dokumentów tożsamości klientów. Organ nadzorczy wskazał, że praktyka polegająca na skanowaniu dowodów osobistych w sytuacjach, w których nie istniał ku temu wyraźny obowiązek prawny, narusza fundamentalną zasadę minimalizacji danych wynikającą z RODO. W szczególności krytyce poddano kopiowanie dokumentów podczas obsługi reklamacji czy innych czynności niezwiązanych z przeciwdziałaniem praniu pieniędzy i finansowaniu terroryzmu. Decyzja PUODO jest wyraźnym sygnałem, że w ramach wygoda operacyjna lub wewnętrzna procedura nie mogą zastąpić ustawowej podstawy prawnej do przetwarzania danych osobowych. Jednocześnie należy zauważyć, że ustawa AML reguluje kwestie, kiedy od instytucji finansowych wymagane jest stosowanie środków bezpieczeństwa w postaci weryfikacji tożsamości i udokumentowania danych klienta.
Banki – kiedy dozwolone jest wykonywanie skanów dokumentów osobistych?
Kwestia kopiowania dokumentów tożsamości przez banki od lat rodzi kontrowersje. Z jednej strony mamy bowiem ustawę o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu (dalej jako „ustawa AML”), która nakłada na instytucje obowiązki w zakresie identyfikacji i weryfikacji klientów. Z drugiej strony obowiązuje zasada minimalizacji danych i przepisy RODO, które wymagają, by administrator przetwarzał wyłącznie te informacje, które są niezbędne do realizacji określonego celu. Z perspektywy prawa bank nie ma generalnej licencji na kopiowanie dowodów osobistych. Skanowanie dokumentu jest dopuszczalne wyłącznie w ramach stosowania środków bezpieczeństwa finansowego, czyli wtedy, gdy jest to konieczne do spełnienia wymogów ustawy AML. Taka sytuacja może wystąpić w przypadku nawiązywania relacji gospodarczej, przeprowadzania transakcji okazjonalnych powyżej ustawowego progu czy przy identyfikacji beneficjenta rzeczywistego. Nawet wtedy bank powinien rozważyć, czy nie wystarczy wgląd do dokumentu i spisanie niezbędnych danych, zamiast kopiowania całości. Art. 34 ust. 4 AML nakazuje, aby środki bezpieczeństwa stosować w sposób proporcjonalny do ryzyka prania pieniędzy lub finansowania terroryzmu. To oznacza, że w niektórych sytuacjach wystarczy spisanie danych, a w innych, szczególnie przy zdalnej weryfikacji konieczne będzie np. żądanie przesłania skanu dokumentu i zdjęcia twarzy. Kopie dokumentów i informacje uzyskane w wyniku stosowania środków bezpieczeństwa finansowego instytucje obowiązane przechowują przez okres 5 lat, licząc od pierwszego dnia roku następującego po roku, w którym zakończono stosunki gospodarcze z klientem lub w którym przeprowadzono transakcje okazjonalne (art. 49 ust. 1 pkt 1 ustawy AML).
Niedopuszczalne jest natomiast kopiowanie dokumentów przy okazji czynności rutynowych, które nie mają żadnego związku z AML, takich jak przyjmowanie reklamacji czy codzienna obsługa klienta. UODO wprost wskazał, że wykonywanie skanów w takich przypadkach stanowi naruszenie zasady adekwatności. Wymaganie kopii „na wszelki wypadek” nie mieści się w ramach obowiązków ustawowych i w praktyce prowadzi do gromadzenia zbędnych, a przy tym wyjątkowo wrażliwych danych, jak pełny numer PESEL czy imiona rodziców.
Banki powołują się często na względy praktyczne. Tłumaczą, że kopia dokumentu ułatwia procesy wewnętrzne, umożliwia weryfikację w przyszłości czy też stanowi zabezpieczenie dowodowe. Problem w tym, że ani wygoda organizacyjna, ani procedury wewnętrzne nie stanowią samodzielnej podstawy prawnej. Jak trafnie zauważył UODO, prawo do kopiowania dokumentów musi wynikać z wyraźnego przepisu, a nie z konstrukcji systemów bankowych.
Kara dla ING powinna więc zostać odczytana jako przypomnienie, że minimalizacja danych to konkretne zobowiązanie, co do które zobowiązane są podmioty przetwarzające dane. Skan dowodu osobistego nie jest uniwersalnym narzędziem identyfikacji, a jego kopiowanie wymaga solidnej podstawy prawnej.
Branża hotelarska – identyfikacja gościa a kopiowanie dokumentu
Kwestia skanowania paszportów czy dowodów osobistych przez hotele jest problemem szczególnie dotkliwym dla podróżnych. Praktyka ta bywa usprawiedliwiana wymogami meldunkowymi, ale w rzeczywistości przepisy w większości państw nie dają hotelarzom prawa do gromadzenia kopii dokumentów. W Polskim porządku prawnym obecnie hotele i inne podmioty świadczące usługi z zakresu turystycznego wynajmu lokali nie posiadają obowiązków meldunkowych. Hotele w Polsce prowadzą rejestry gości na własne potrzeby biznesowe i organizacyjne (zarządzanie rezerwacjami, bezpieczeństwo, podatki, rozliczenia). We wskazanych celach UODO już kilkukrotnie zwracał uwagę, że wgląd w dokument jest wystarczający, a kopiowanie jego treści stanowi naruszenie RODO. Tym samym hotele mogą żądać okazania dokumentu celem potwierdzenia osoby rezerwującej, natomiast nie jest wskazane pobieranie kopii dokumentów gości.
Inne państwa europejskie
W zasadzie w większości państw Europejskich wprowadzono rozwiązania prawne zobowiązujące do rejestracji i zgłaszania do organów Państwa pobytu w hotelu, tak jest m.in. w Belgii, Hiszpanii, Francji, Grecji, Włoszech, Chorwacji, Portugalii, Niemczech. Należy przyznać, że Polskie przepisy w tym zakresie są wyjątkowo mało obciążające (podobnie w Szwecji czy w Danii). Hiszpański organ AEPD i francuski CNIL już nakładały kary na hotele, które wymagały od gości fotokopii dokumentów tożsamości. Obowiązek meldunkowy ogranicza się do przekazania danych organom, a nie archiwizowania kopii dokumentów. Gość ma prawo odmówić oddania dokumentu do kserowania czy skanowania, a hotel nie może odmówić realizacji rezerwacji z tego powodu. Stanowiska te wskazują, że rejestr podróżnych nie oznacza uprawnienia do gromadzenia skanów dokumentów. W praktyce oznacza to, że klient hotelu ma prawo odmówić oddania dokumentu do kserowania czy skanowania, powołując się na brak podstawy prawnej. Hotel ma prawo sprawdzić tożsamość i spisać dane, ale nie może archiwizować kopii całego dokumentu. Podobnie jest w Grecji obiekty noclegowe również muszą prowadzić księgę meldunkową i udostępniać dane organom państwowym na żądanie. We Włoszech obowiązek meldunkowy jest szczególnie rygorystyczny, bowiem każdy obiekt noclegowy, także wynajmujący przez platformy, musi zgłosić dane gości policji w systemie „Alloggiati Web”. Wymaga to zebrania podstawowych danych z dokumentu tożsamości, ale przepisy nie określają zezwolenia na przechowywanie skanów. W praktyce właściciele apartamentów i hoteli często proszą o przesłanie zdjęcia paszportu/dowodu osobistego mailem lub wykonują zdjęcia na miejscu, co bywa wygodne, ale z punktu widzenia ochrony danych jest ryzykowne i bezprawne.
Podmiot świadczący usługę noclegową może a w zależności od regionalnych przepisów często również musi sprawdzić dokument oraz spisać dane wymagane przez prawo ale gromadzenie skanów lub kser nie ma podstawy prawnej.
Czy pracodawca jest uprawniony do tworzenia kopii dokumentów osobistych pracownika?
Oczywistym jest, że pracodawca nie ma prawa skanować dowodów osobistych pracowników ani kandydatów do pracy. Kodeks pracy przewiduje zamknięty katalog danych, jakich można żądać takich jak imię, nazwisko, data urodzenia, numer PESEL, a w przypadku rekrutacji także informacje o wykształceniu czy kwalifikacjach. Pracodawca nie jest uprawniony do kopiowania dokumentów tożsamości. To samo dotyczy pobierania kopii legitymacji studenckiej, gdzie właściwym dokumentem potwierdzającym szczególne uprawnienia studenta powinno być zaświadczenie od uczelni.
Pracodawca, nawet w przypadku udostepnienia samochodów służbowych nie jest również uprawniony do tworzenia kopii dokumentu prawa jazdy. Oczywiście pracodawca ma możliwość pobrania od pracownika oświadczenia w tym zakresie, a nawet okazania dokumentu do wglądu, jednakże tworzenie kserokopii wykracza poza przetwarzanie danych zgodne z zasadą minimalizacji danych. Od tej reguły istnieje szczególny wyjątek, którym jest sytuacja przewidziana w ustawie o transporcie drogowym, zgodnie z którą pracodawca, który ubiega się o wydanie świadectwa kierowcy, musi dołączyć do wniosku kserokopie dokumentów pracownika, w tym prawa jazdy. W takim przypadku ustawodawca wprost upoważnia pracodawcę do sporządzenia i przechowywania kopii, ale wyłącznie na potrzeby tej konkretnej procedury.
Wypożyczalnie samochodów, sprzętu i inne usługi – gdzie kończy się potrzeba, a zaczyna nadmiar?
Branża wypożyczalni, takich jak hulajnogi elektryczne, narty w górskim kurorcie często zmaga się z problemem odpowiedniego zabezpieczenia na wypadek uszkodzenia przedmiotu wypożyczenia. Problem w tym, że z punktu widzenia prawa ochrona własnego interesu nie daje automatycznie przyzwolenia na kopiowanie czy skanowanie dowodu osobistego. RODO wymaga, aby zakres przetwarzanych danych był adekwatny i niezbędny do celu. Wypożyczalnia ma możliwość sprawdzenia tożsamość klienta, aby upewnić się, że oddaje sprzęt właściwej osobie, a następnie spisać dane niezbędne do zawarcia umowy takie jak imię, nazwisko, adres kontaktowy, numer PESEL. Warto spojrzeć na ten temat przez pryzmat zabezpieczenia przed ewentualnymi roszczeniami, tym samym właściwym było pobranie numeru PESEL, który jest niezbędny na wypadek postępowania sądowego, natomiast dane dotyczące dokumentu tożsamości są w istocie niepotrzebne. Utrwalanie całego obrazu dokumentu, wraz ze zdjęciem czy numerem CAN, to już nadmiarowe gromadzenie informacji, którego przepisy nie usprawiedliwiają. Polski UODO wielokrotnie podkreślał, że kopiowanie dokumentów jest dopuszczalne tylko wtedy, gdy istnieje wyraźna podstawa ustawowa jak np. w bankowości (ustawa AML) czy przy niektórych usługach telekomunikacyjnych. Wypożyczalnie sprzętu, rowerów czy elektroniki do takich wyjątków nie należą.
Oczywiście nie oznacza to, że przedsiębiorcy pozostają bez narzędzi zabezpieczenia na wypadek uszkodzenia przedmiotu umowy. Jak wskazano, mogą zawierać z klientami umowy, pobierać kaucje, a także spisywać dane identyfikacyjne z dokumentu (w zakresie zgodnym z zasadą minimalizacji). Te rozwiązania są wystarczające do zabezpieczenia interesu firmy. Skan dowodu nie zwiększa realnie poziomu ochrony, zwiększa za to ryzyko wycieku danych i odpowiedzialności za naruszenie przepisów o ochronie danych. Warto zauważyć, że również organy nadzorcze w innych państwach europejskich krytycznie odnoszą się do praktyki skanowania dokumentów w branżach, które nie są do tego ustawowo uprawnione. Hiszpańska AEPD przypomina regularnie, że zabezpieczenie umowy cywilnoprawnej nie uzasadnia kopiowania paszportów ani dowodów osobistych. Te same zasady należy stosować w polskich realiach: weryfikacja tak, kopia tylko tam, gdzie pozwala na to prawo.
Car sharing – wyjątek od reguły
Car sharing, czyli współdzielenie samochodów, funkcjonuje w modelu, w którym kluczowe znaczenie ma pewność co do uprawnień kierowcy. W odróżnieniu od hoteli czy innych usług z zakresu wypożyczania sprzętu, gdzie weryfikacja tożsamości ogranicza się do sprawdzenia dokumentu, tutaj istotnym czynnikiem jest bezpieczeństwo ruchu drogowego i potencjalna odpowiedzialność odszkodowawcza. Z perspektywy ochrony danych osobowych pomimo potencjalnego ryzyka związanego z pobieraniem zdjęć dokumentu prawa jazdy takie działanie wydaje się uprawnione. PUODO do tej pory nie kwestionował tej praktyki, jak również nie ma przepisów regulujących tego typu usługi. Należy jednak przytoczyć, że zgodnie z przepisami z Ustawy z dnia 5 stycznia 2011 r. o kierujących pojazdami, pojazd prowadzić może tylko osoba, która posiada ważne prawo jazdy (lub inny dokument uprawniający) odpowiedniej kategorii. To jest wymóg, który firma car sharing musi respektować, bo inaczej sam fakt oddania auta osobie bez uprawnień może skutkować odpowiedzialnością cywilną i karną. Należy przyjąć, że podstawą prawną przetwarzania skanów prawa jazdy jest zarówno art. 6 ust. 1 lit. b RODO, wskazujący, że przetwarzanie jest niezbędne do wykonania umowy, jak i art. 6 ust. 1 lit. f RODO, pozwalający administratorowi działać w ramach prawnie uzasadnionego interesu, którym jest zapobieganie oszustwom, nadużyciom i wypadkom spowodowanym przez osoby nieuprawnione.
W praktyce weryfikacja dokumentu najczęściej odbywa się przy rejestracji w aplikacji, podczas której użytkownik jest zobowiązany do zrobienia zdjęcia dokumentu prawa jazdy. Choć samo pobranie zdjęcia prawa jazdy w celu weryfikacji uprawnień kierowcy można uznać za działanie proporcjonalne i uzasadnione, kwestia dalszego przechowywania takiego obrazu wymaga już głębszej analizy. Z jednej strony utrwalenie kopii dokumentu pozwala na jednoznaczne odtworzenie stanu w momencie rejestracji, daje to pewność, że dane faktycznie odpowiadały dokumentowi, a w razie sporu lub roszczenia odszkodowawczego administrator dysponuje dowodem, którego wiarygodność nie zależy od błędu wprowadzonego ręcznie. Z drugiej strony należy pamiętać, że RODO kładzie nacisk na minimalizację danych. Art. 5 ust. 1 lit. c RODO nakazuje ograniczać zakres i czas przechowywania danych do niezbędnego minimum. Czy zatem zdjęcie/skan dokumentu jest absolutnie niezbędny do realizacji celu weryfikacji, jeśli wystarczyłoby spisanie najważniejszych danych z dokumentu takich jak numer prawa jazdy, imię i nazwisko, kategorie uprawnień? Można argumentować, że tak (w sensie dowodowym) lecz jednocześnie łatwo wykroczyć poza granicę proporcjonalności, gromadząc dane, które nie są konieczne do bieżącej obsługi klienta.
Kserowanie dowodów osobistych w ubezpieczeniach
W relacjach z zakładami ubezpieczeń kwestia kopiowania dokumentów tożsamości była przedmiotem szerokiego zainteresowania i kontrowersji. Rzecznik Finansowy w stanowisku z 7 sierpnia 2019 roku zwrócił uwagę, że zgodnie z zasadą minimalizacji danych ubezpieczyciele powinni w pierwszej kolejności ograniczać się do wglądu w dokument i spisania niezbędnych informacji takich jak numeru i serii dowodu, PESEL czy adresu. Tylko w wyjątkowych sytuacjach, takich jak zawieranie polisy online czy przez telefon, gdy nie ma możliwości osobistego zweryfikowania klienta, można rozważyć żądanie kopii dokumentu. Nawet w takim przypadku zakład ubezpieczeń musi zadbać o wdrożenie solidnych procedur bezpieczeństwa chroniących przed wyciekiem danych. Jak zwrócił uwagę Rzecznik, przepisy ustawy AML nie nakładają na ubezpieczycieli obowiązku kopiowania dokumentów, wymagają jedynie przeprowadzenia identyfikacji, która może nastąpić również poprzez dane z innych źródeł. Nadmierne przetwarzanie danych nie tylko narusza prawa jednostki, lecz także potęguje ryzyko nadużyć, w tym kradzieży tożsamości czy prób wyłudzeń.
Inaczej wygląda sytuacja na etapie likwidacji szkody. Jeżeli ubezpieczyciel posiada już dane ubezpieczającego z momentu zawarcia umowy, to ponowne żądanie kserokopii dowodu osobistego jest zbędne, a wręcz może być ocenione jako sprzeczne z zasadą minimalizacji danych. Problem pojawia się natomiast w przypadku uposażonego, czyli osoby wskazanej przez ubezpieczającego, której danych zakład ubezpieczeń wcześniej nie posiadał. W takiej sytuacji konieczne jest przeprowadzenie identyfikacji, co w praktyce może oznaczać konieczność pozyskania kopii dowodu osobistego uposażonego, zwłaszcza przy zgłoszeniach elektronicznych lub pisemnych. Niemniej, również w takim przypadku zalecane jest w miarę możliwości ograniczanie sposobu weryfikacji, gdy pozostaje to w zgodności z przepisami.
Inne przypadki pozyskiwania zdjęć lub skanów dokumentów
Słynnym przypadkiem nieuprawnionego pobierania zdjęć dokumentów tożsamości była kara nałożona przez litewski organ ochrony danych na Vinted za żądanie od użytkowników przesyłania skanów dowodów osobistych w celu wypłaty środków ze sprzedaży. Użytkownicy, którzy odmówili dostarczenia tych danych, mieli zablokowane środki, a ich wypłata była niemożliwa. Obecnie w przypadku aktywacji usługi portfela na Vinted jest możliwe przekazywanie zdjęć dowodów osobistych. Weryfikacja tożsamości odbywa się w takim przypadku przez Adyen N.V., bank licencjonowany i nadzorowany przez holenderski bank centralny. Adyen odpowiada za obsługę płatności i prowadzenie tzw. „Portfela Vinted”. Jako instytucja obowiązana na gruncie prawa AML, Adyen ma prawny obowiązek stosować procedurę KYC („Know Your Customer”). W praktyce oznacza to, że po przekroczeniu określonych progów transakcyjnych (np. 1000 euro i 5000 euro), użytkownik może zostać poproszony o przesłanie skanu dowodu osobistego, paszportu, prawa jazdy czy wyciągu bankowego. W porównaniu do wskazanej wcześniej kary, kluczową różnicą jest, że te dokumenty nie trafiają do Vinted, tylko bezpośrednio do Adyen, które przechowuje je zgodnie z wymogami prawa bankowego i AML. Vinted nie ma dostępu do tych danych i nie może ich wykorzystywać do własnych celów marketingowych ani profilowania.
Jak zachować bezpieczeństwo?
W relacjach z instytucjami i firmami warto pamiętać, że dowód osobisty to dokument szczególnej wagi i nie powinien trafiać w niepowołane ręce. Należy pamiętać, że pełny dowód osobisty zawiera szereg danych osobowych, również takich ja wizerunek, które nie są niezbędne do realizacji konkretnych celów. W wielu przypadkach dla potwierdzania tożsamości, wystarczające może być podanie numeru PESEL, a nie pełnych danych z dowodu osobistego.
W celach zachowania bezpieczeństwa, jeśli ktoś żąda okazania dowodu osobistego, zawsze rozsądnie jest poprosić o podstawę prawną takiego działania, zwłaszcza gdy mowa o sporządzeniu kopii czy skanu. Zgodnie z przepisami RODO, każda osoba ma prawo do informacji na temat podstaw przetwarzania jej danych, co oczywiście dotyczy również kserokopii dokumentów osobistych. Kierujmy się zasadą, że dokument pozostaje wyłącznie w naszych rękach, a pracownik czy przedstawiciel instytucji może jedynie do niego zajrzeć i spisać niezbędne dane. Kopiowanie całego dowodu osobistego to wyjątek, na który prawo zezwala w naprawdę nielicznych sytuacjach, i zazwyczaj dotyczy to instytucji finansowych działających w reżimie przepisów AML. Poza nimi rzadko istnieje uzasadnienie do tak daleko idącego przetwarzania naszych danych. Zachowując czujność i pytając o podstawę prawną, nie tylko chronimy swoją prywatność, lecz także minimalizujemy ryzyko nadużyć czy wykorzystania danych w sposób niezgodny z prawem
Źródła:
https://uodo.gov.pl/pl/138/3854
https://uodo.gov.pl/pl/71/119
https://www.lexology.com/library/detail.aspx?g=5f67ce43-f5bf-430a-a959-8c5c47416fe6
https://kdbpomoc.pl/pobierz.php?f=1370 (Stanowisko Rzecznika Finansowego)
https://uodo.gov.pl/pl/138/3216
https://www.vinted.pl/help/111