RODO kontra AML w weryfikacji tożsamości klienta
Zdarza się, że obowiązki nakładane na przedsiębiorców, w zależności od źródła prawa, które te obowiązki kształtuje, wzajemnie się wykluczają. W takich sytuacjach przedsiębiorca staje przed dylematem, który obowiązek prawny spełnić.
Przykładem takich przepisów powszechnie obowiązujących, które z jednej strony nakładają na przedsiębiorców określone obowiązki, a z drugiej strony inne źródło prawa uniemożliwia ich wypełnienie, jest ustawa o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu z 1 marca 2018 r. (tj. Dz.U. z 2025 r. poz. 644 ze zm.; dalej: „AML”) oraz rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych [...] (dalej: „RODO”).
Art. 34 ust. 1 pkt 1 AML nakłada na instytucje obowiązane obowiązek identyfikacji klienta oraz weryfikacji jego tożsamości. Przedsiębiorcy m.in. tacy jak banki, kantory czy spółki zajmujące się leasingiem finansowym mają obowiązek zidentyfikowania swojego klienta oraz zweryfikowania jego tożsamości. W praktyce oznacza to konieczność zebrania informacji o kliencie, takich jak imię, nazwisko, data i miejsce urodzenia, PESEL, a następnie zweryfikowania tożsamości klienta. Wydawać by się mogło, że weryfikacja tożsamości nie powinna rodzić problemów. Wystarczy poprosić klienta o okazanie dokumentu tożsamości i porównać dane, które podał, z danymi widniejącymi na okazanym dokumencie tożsamości. Biorąc jednak pod uwagę, że wiele umów zawieranych jest zdalnie, za pośrednictwem internetu, to właśnie weryfikacja tożsamości w praktyce rodzi największe kontrowersje zarówno u instytucji obowiązanych, które muszą ten obowiązek spełnić, jak i u klientów (osób fizycznych, reprezentantów spółek).
Weryfikacja tożsamości a RODO. Kiedy bank może kopiować dokument
Na rynku można spotkać się z praktyką żądania skanu lub zdjęcia dokumentu tożsamości (dowodu osobistego lub paszportu) w celu przeprowadzenia weryfikacji tożsamości. Praktyka taka jest sprzeczna z RODO i została zakwestionowana przez prezesa Urzędu Ochrony Danych Osobowych. Uprawnienie instytucji obowiązanych, takich jak np. banki, do przetwarzania danych osobowych z dokumentów tożsamości nie jest tożsame ze sporządzaniem kopii tychże dokumentów. Zbieranie kopii dokumentów możliwe jest wyłącznie w celu stosowania środków bezpieczeństwa finansowego i tylko po uprzednim przeprowadzeniu analizy ryzyka prania pieniędzy i finansowania terroryzmu. Oznacza to, że nie jest dopuszczalne spełnienie obowiązku weryfikacji klienta poprzez zbieranie kopii dokumentów tożsamości od każdego klienta i w każdej sytuacji. Ograniczenie to znajduje swoje źródło w art. 5 ust. 1 lit. c RODO, który wprowadza zasady ograniczenia celu i minimalizacji danych. W tym rozumieniu zbieranie kopii dokumentów tożsamości może być uznane za dane nadmiarowe.
Odzwierciedleniem tego stanowiska jest decyzja (nieprawomocna) z 23 lipca 2025 r. o nałożeniu na jeden z banków administracyjnej kary pieniężnej w wysokości 18 416 400 zł za zbieranie kopii (skanów) dokumentów tożsamości klientów (także potencjalnych) bez uprzednio przeprowadzonej analizy celowości, tj. bez odpowiedniej analizy tego, czy w danym przypadku zbieranie kopii dokumentów jest uzasadnione wymogiem stosowania środków bezpieczeństwa finansowego, o których mowa w AML. Należy podkreślić, że RODO nie zabrania przetwarzania (zbierania) kopii dokumentów zawsze i w każdej sytuacji. Wręcz przeciwnie: dopuszcza zbieranie kopii dokumentów tożsamości, ale przy zachowaniu zasady minimalizacji danych. W praktyce oznacza to, że jeżeli przeprowadzona analiza ryzyka wykaże wysokie (lub średnie) prawdopodobieństwo prania brudnych pieniędzy lub finansowania terroryzmu przez klienta, instytucje obowiązane mogą przetwarzać (tj. zbierać i przechowywać) kopie dowodów osobistych lub paszportów, jeżeli cel bezpieczeństwa finansowego nie może zostać spełniony w inny sposób. Okres czasu, przez jaki kopie dokumentów tożsamości mogą być przechowywane, tj. okres retencji danych, jest odrębnym zagadnieniem, niemniej na potrzeby niniejszego artykułu należy wspomnieć, że nie może to być okres dłuższy niż niezbędny do realizacji celu, w którym te dane są przetwarzane (art. 5 ust. 1 lit. e RODO).
Jednakże wdrożenie przez instytucje obowiązane takich środków bezpieczeństwa finansowego rodzi nie tylko ryzyko kar administracyjnych nałożonych przez prezesa UODO, ale też niezrozumienie klientów, co z kolei może prowadzić do ich niezadowolenia, a w skrajnych sytuacjach nawet do ich utraty, oraz może negatywnie wpływać na wizerunek i postrzeganie takiego przedsiębiorcy na rynku.
AML kontra RODO. Jak instytucje obowiązane zarządzają konfliktem obowiązków
Instytucje obowiązane są postawione w sytuacji, w której muszą dokonać wyboru pomiędzy wypełnieniem obowiązków identyfikacji i weryfikacji klienta, do których zobowiązuje ich AML, a tym samym podjąć ryzyko nieprzestrzegania zasady minimalizacji danych wprowadzonej przez RODO, czy może jednak uznać pierwszeństwo RODO nad AML i tym samym eksponować się na kary administracyjne wynikające z tejże ustawy.
Rozwiązaniem tego konfliktu pomiędzy wymogami AML i RODO mogą być narzędzia (systemy) do weryfikacji tożsamości w formie zdalnej/online. Na rynku można znaleźć kilka rozwiązań technicznych. Przykładem może być weryfikacja online polegająca na tym, że przedsiębiorca dzwoni do klienta i prosi o okazanie do kamery dokumentu tożsamości. Innym rozwiązaniem jest wysłanie linku do weryfikacji online. W trakcie takiej weryfikacji osoba weryfikowana zobowiązana jest do wykonania zdjęcia swojej twarzy, a następnie awersu i rewersu dokumentu tożsamości. Wykonane zdjęcia nie są przechowywane, służą jedynie do weryfikacji danych biometrycznych (np. rozstaw oczu, szerokość nosa) na wykonanym zdjęciu ze zdjęciem na dokumencie tożsamości. Przedsiębiorca przeprowadzający weryfikację nie otrzymuje kopii dokumentu, a jedynie wynik weryfikacji: pozytywny lub negatywny.
Wskazówki dla klientów: klauzula informacyjna i retencja danych
W każdej sytuacji, niezależnie od tego, czy zostaniemy poproszeni o:
- okazanie dokumentu tożsamości,
- dostarczenie kopii (skanu) dokumentu tożsamości,
- przeprowadzenie weryfikacji online
dobrze jest zapoznać się z klauzulą informacyjną podmiotu, który dokonuje weryfikacji, w celu upewnienia się, jaka jest podstawa prawna przetwarzania danych oraz przez jaki okres są one przechowywane (retencja danych).
Pamiętać należy, że o ile spełnianie przez instytucje obowiązane obowiązku identyfikacji (pozyskania danych od klienta) i weryfikacji (zweryfikowania podanych przez klienta danych) może wydawać się niezrozumiałe, pozbawione sensu i budzić obawy klientów, to z punktu widzenia AML jest konieczne. Odrębną kwestią jest to, w jaki sposób przedsiębiorcy wdrożą ten obowiązek. W tym przypadku ustawodawca, zarówno polski, jak i unijny, nie ułatwia tego zadania, nakładając obowiązki, co do zasady, wzajemnie sprzeczne.
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone.
Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję.
Wpisz adres e-mail wybranej osoby, a my wyślemy jej bezpłatny dostęp do tego artykułu