Zgodnie z art. 6 RODO przetwarzanie danych jest legalne m.in. wtedy, gdy jest to niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze i gdy osoba, której dane dotyczą, wyraziła na to zgodę. Jednocześnie zgodnie z zasadą minimalizacji i celowości, również przewidzianą w RODO, administrator powinien ograniczyć przetwarzanie tylko do tych danych, które są niezbędne do realizacji określonego celu.
Jerzy Bańka, radca prawny i były wiceprezes Związku Banków Polskich, wskazuje iż art. 112 b prawa bankowego stanowi, iż „banki mogą przetwarzać dla celów prowadzonej działalności bankowej informacje zawarte w dokumentach tożsamości osób fizycznych”.
– Jest to przepis szczególny wobec RODO – tłumaczy ekspert. – Celem przetwarzania jest nie tylko weryfikacja tożsamości, ale także konieczność dokumentowania czynności bankowych i wykonywanie przepisów o przeciwdziałaniu praniu pieniędzy i zwalczaniu terroryzmu – dodaje.
– Bardzo dobrze, iż obywatele starają się chronić swoją tożsamość – i nie powinni zostawiać dowodów osobistych np. w wypożyczalniach samochodów czy sprzętu wodnego – tłumaczy z kolei Przemysław Barbrich, dyrektor zespołu komunikacji i PR w ZBP. – Ale banki są wręcz zobowiązane, by tego typu działania prowadzić. Dokumenty te są przechowywane w sposób bezpieczny i klienci nie powinni się niepokoić – dodaje.
Chodzi w tym wypadku o art. 34 ust. 4 ustawy z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, zgodnie z którym instytucje finansowe mają prawo sporządzania kopii dowodów tożsamości (w określonych przypadkach) .
Urząd Ochrony Danych Osobowych w odpowiedzi na nasze pytanie w tej sprawie zwraca zaś uwagę, iż zgodnie z RODO dane osobowe muszą być przechowywane „w sposób zapewniający odpowiednie bezpieczeństwo (…), w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, dzięki odpowiednich środków technicznych lub organizacyjnych”.
UODO przypomina również, iż seria i numer dowodu osobistego identyfikują jedynie sam dokument, a nie osobę, która się nim posługuje. Nie stanowią więc danych wrażliwych.