Łukasz Kulicki
RADCA PRAWNY
Radca prawny w Kancelarii After Legal specjalizującej się w obsłudze prawnej firm z sektora IT, nowych technologii i branży internetowej, a także podmiotów przechodzących transformację cyfrową. Specjalizuje się w negocjowaniu umów IT, w szczególności umów wdrożeniowych, umów na usługi IT (w tym chmurowych) i umów body leasingowych. Zajmuje się także doradztwem prawnym z zakresu ochrony danych osobowych (RODO), prawa e-commerce i własności intelektualnej.
Opublikowano:
Podstawowym dokumentem, umożliwiającym potwierdzenie tożsamości osoby fizycznej, jest jej dowód osobisty. To dokument zawierający szereg informacji, których bezprawne przetwarzanie może stwarzać realne zagrożenie w postaci np. zwiększonego ryzyka wyłudzenia kredytu. Kiedy administrator danych osobowych może legalnie przetwarzać numer i serię dowodu osobistego? Jak należy zabezpieczyć te dane?
Czego dowiesz się z tego artykułu?
- Numer i seria dowodu osobistego to dane osobowe, więc można je przetwarzać wyłącznie po spełnieniu określonych przesłanek.
- Administrator zawsze powinien móc wskazać na przesłankę legalizującą przetwarzanie danych osobowych.
- Seria i numer dowodu, podobnie jak inne dane osobowe, powinny być należycie chronione. Dowiedz się, jak o nie zadbać.
Czym jest seria i numer dowodu osobistego?
Pojęcie dowodu osobistego zostało zdefiniowane w art. 4 ustawy o dowodach osobistych. Zgodnie z tym przepisem poprzez dowód osobisty rozumie się dokument stwierdzający tożsamość i obywatelstwo polskie osoby na terytorium Rzeczypospolitej Polskiej oraz innych państw członkowskich Unii Europejskiej, państw Europejskiego Obszaru Gospodarczego nienależących do Unii Europejskiej i państw niebędących stronami umowy o Europejskim Obszarze Gospodarczym, których obywatele mogą korzystać ze swobody przepływu osób.
Wzór dowodu osobistego oraz jego elementy określają przepisy wykonawcze do ustawy o dowodach osobistych. Wśród licznych danych, dowody osobiste zawierają numer i serię. Są to dane osobowe, ponieważ pozwalają na jednoznaczne określenie tożsamości osoby fizycznej. Choć nie jest to możliwe bezpośrednio, dostęp do innych danych lub rejestrów (np. Rejestru Dowodów Osobistych) umożliwia powiązanie numeru i serii z konkretnym obywatelem.
Sprawdź również: Audyt zgodności z RODO – jak go przeprowadzić?
Kiedy administrator może przetwarzać dane osobowe znajdujące się w dowodzie osobistym?
Projektując rozporządzenie RODO, unijny ustawodawca przyjął za punkt wyjścia szereg zasad wytyczających granice legalności przetwarzania danych osobowych. Przede wszystkim mogą być one przetwarzane wyłącznie w sytuacji, kiedy możliwe jest wskazanie konkretnej przesłanki legalizującej, np. zgoda osoby, której dane dotyczą, przetwarzanie danych w celu wykonania umowy albo wykonanie obowiązku prawnego spoczywającego na administratorze danych osobowych.
Dodatkowo zgodnie z zasadą minimalizmu, przetwarzanie danych osobowych nie jest dopuszczalne, jeżeli daną czynność administrator może wykonać bez sięgania po informacje dotyczące osoby fizycznej.
Przetwarzanie danych osobowych bez podstawy prawnej lub w zbyt szerokim zakresie rodzi poważne ryzyko tego, że administrator w razie kontroli organu nadzorczego nie będzie w stanie wykazać zasady rozliczalności. A to już prosta droga do dotkliwych sankcji finansowych.
Czy numer i seria dowodu osobistego są danymi osobowymi wrażliwymi?
Zakres wrażliwych danych osobowych został w sposób enumeratywny określony w art. 9 rozporządzenia RODO. Przepis wspomina m.in. o pochodzeniu rasowym lub etnicznym, poglądach politycznych, czy danych genetycznych. Informacje znajdujące się na dowodzie osobistym uznaje się za „zwykłe” dane osobowe, co nie oznacza, że administrator nie musi w należyty sposób ich chronić.
Czy instytucje finansowe mają prawo wykonywać kopię dowodu osobistego?
Chyba najczęściej przytaczanym przykładem przetwarzania danych osobowych znajdujących się na dowodach osobistych jest wykonywanie kserokopii dowodów osobistych przez banki oraz inne organizacje, którym przysługuje status instytucji obowiązanej. Prawo do przetwarzania danych osobowych znajdujących się na dowodzie tożsamości przez bank wynika wprost z art. 112b ustawy prawo bankowe. Z kolei pozostałe instytucje obowiązane mają praso przetwarzać m.in. serię i numer dowodu w celu identyfikacji klienta będącego osobą fizyczną na podstawie art. 36 ust. 1 ustawy AML.
Oznacza to, że do realizacji obowiązków wynikających z ustaw dopuszczalne jest przetwarzanie danych znajdujących się w dowodzie osobowym. Nie ma jednak znaczenia, w jaki sposób dane to zostaną utrwalone, ponieważ wybór techniki ma jedynie wymiar techniczny. Dla przykładu pracownik banku może je skserować, przepisać albo zapisać w systemie informatycznym i zatwierdzić. Takie stanowisko zajął zarówno Generalny Inspektor Ochrony Danych Osobowych, jak i Naczelny Sąd Administracyjny (wyrok z dnia 19 grudnia 2001 r., sygn. II SA 2869/2000).
Sprawdź również: Outsourcing funkcji Inspektora Ochrony Danych. Jak możemy Ci pomóc?
W jaki sposób administrator ma chronić numer i serię dowodu osobistego?
Choć same dane znajdujące się na dowodzie osobistym nie są wystarczające dla wyłudzenia kredytu lub pożyczki, nie ulega wątpliwości, że ich ujawnienie może wywołać znaczące szkody. Jak zadbać o bezpieczeństwo danych przetwarzanych przez organizację?
- regularnie wykonuj kopie zapasowe danych,
- korzystaj z silnych haseł i mechanizmów uwierzytelniania wieloskładnikowego,
- dbaj o kompleksową ochronę przed złośliwym oprogramowaniem,
- uważaj na bezpieczeństwo połączeń Wi-Fi,
- stwórz procedury pozwalające pracownikom działać szybko i bez wahania.
Krytyczne znaczenie dla bezpieczeństwa danych osobowych mają regularne audyty i szkolenia pracowników. Warto korzystać z pomocy fachowców z wieloletnim doświadczeniem, którzy przekażą aktualną wiedzę oraz podzielą się spostrzeżeniami z praktyki.
Wdrożenie i audyt RODO – Kancelaria After Legal
Zespół Kancelarii After Legal już od lat zajmuje się wspieraniem Klientów w sferze ochrony danych osobowych. Nasze działania koncentrują się na różnych płaszczyznach, co daje nam możliwość zapewniania kompleksowego wsparcia prawnego. Przetwarzanie danych osobowych wciąż budzi wiele wątpliwości u administratorów. Wskazanie przesłanki legitymizującej taką operację nie zawsze będzie proste. Kluczem dla sprawnego funkcjonowania organizacji jest też wypracowanie kompletnych, jednoznacznych i bezpiecznych wytycznych pozwalających pracownikom na zarządzanie danymi osobowymi klientów firmy. Oferujemy kompleksowe wsparcie w zakresie RODO. Zapewniamy wdrożenie rozporządzenia RODO w organizacji, opracowujemy procesy i dokumentację, a także szkolimy pracowników wraz z kadrą zarządzającą. Realizujemy też cykliczne audyty w zakresie RODO compliance.