Stop kserowaniu dowodów tożsamości raz jeszcze

Wydawało się, że temat kserowania dowodów osobistych przez banki i operatorów telekomunikacyjnych powoli się kończy. Nowe technologie informatyczne pozbawią sensu kserowania dokumentów tożsamości, zwanych teraz dowodami osobistymi w zbiorze dokumentów publicznych. Ale dyskusje trwają dalej. Związek Banków Polskich pyta Prezesa Urzędu Ochrony Danych Osobowych, czy w świetle nowej ustawy o dokumentach publicznych, banki będą mogły dalej kserować dowody osobiste. Prezes UODO odpowiada, że tylko w pewnych sytuacjach jest  to dozwolone. Prawnicy obsługujący banki nie chcą się z takim podejściem pogodzić i piszą własne opinie. Operatorzy telekomunikacyjni, będąc w gorszej sytuacji prawnej, niż banki, czekają na wynik tych dyskusji. 

Wiele lat dyskusji

Przez kilkanaście ostatnich lat protestowałem i wielokrotnie pisałem, że kserowanie dowodów osobistych przez kogokolwiek, a w tym przez operatorów telekomunikacyjnych oraz banki nie powinno być dozwolone. Poglądy te prezentowałem w dyskusjach z bankami i operatorami. Opisywałem je również w dokumentach z technicznym uzasadnieniem moich argumentów.

Dokumenty te są dostępne w: [tutaj]

Dokument "Nie pozwólmy na kopiowanie naszych dokumentów" z czerwca 2013 roku.

Raport "Kopiowanie DO przez Operatora" z sierpnia 2015 roku

Sam też twardo broniłem kserowania mojego dowodu osobistego, z różnym skutkiem:

• po wymianie poglądów, instytucja odstępowała od kserowania na rzecz spisania danych,
• na twierdzenie, że jest to usługa techniczna żądałem przedstawienia regulaminu dokonywania tej czynności przez upoważnionego pracownika – ani razu takiego regulaminu nie przedstawiono i odstępowano od kserowania, [A warto wiedzieć, że prawie każdy kserograf po wykonaniu skanu strony zachowuje jego zapis w wewnętrznej pamięci, co pozwala potem na wielokrotne wydrukowanie, czyli może powstać wiele kopii i to już nawet bez wiedzy tego pracownika – czyli po wykonaniu jednej kopii należy tę pamięć umiejętnie wykasować],
• podpisywałem oświadczenie, że nie życzę sobie kserowania dowodu i to często wystarczało,
• odstępowałem od realizacji danej usługi, co czasem zmieniało podejście instytucji/banku do potrzeby skserowania mojego dokumentu tożsamości.
• w szczególnej sytuacji dopuszczałem kserowanie z napisaniem na skserowanej kartce kiedy i po co było zrobione.

Moją motywacją takiego działania było zapobieżenie rozprzestrzeniania się papierowych kopii (kserówek) dokumentów tożsamości, które leżąc w folderach w dostępnych dla wielu pracowników szufladach stanowiły łakome źródło do „nieuprawnionego” wykorzystania.

Takie poglądy nie podobały się operatorom telekomunikacyjnym, którzy poprzez kserowanie dokumentu tożsamości chcieli sobie zagwarantować prawnie lepszą pozycję przy odzyskiwaniu długu abonenta, twierdzącego że nie podpisywał "takiej"umowy z operatorem. Nie podobały się też Związkowi Banków Polskich występującemu  w imieniu banków, które  poprzez kserowanie dokumentu przede wszystkim miały możliwość wykazać, że tenże klient oraz ich pracownik wspólnie realizowali określoną operację bankową.

Spojrzenie na prawo do kopiowania

Prawo do kopiowania dokumentów tożsamości przez banki jest wskazywane na podstawie dwóch prawie identycznych zapisów:

Art. 112b. Prawa bankowego

Banki mogą przetwarzać dla celów prowadzonej działalności bankowej informacje zawarte w dokumentach tożsamości osób fizycznych.

Art. 34 ust. 4 ustawy o przeciwdziałaniu praniu pieniędzy …. AML (Anti-Money Laundering)

4. Instytucje obowiązane na potrzeby stosowania środków bezpieczeństwa finansowego mogą przetwarzać informacje zawarte w dokumentach tożsamości klienta i osoby upoważnionej do działania w jego imieniu oraz sporządzać ich kopie.

Czytając te zapisy widzimy, że:

• banki/instytucje mogą, ale nie muszą czy są zobowiązane, 
• przetwarzać informacje zawarte w dokumentach – czyli wskazywany jest katalog tych informacji, ale nie ma ani słowa w jaki sposób mają/mogą być one pozyskane z zawartości dokumentu [NSA nazwał to czynnością techniczną] 
• w zapisach jest mowa o przetwarzaniu informacji, a kopiowanie dotyczy danych, przy czym na podstawie tych danych możliwe jest pozyskanie informacji dodatkowych, np. przez porównanie roku ważności dokumentu z aktualnym rokiem można uzyskać informację, że dokument jest już nieważny.
• jeżeli na podstawie frazy z prawa bankowego Banki mogą przetwarzać informacje zawarte w dokumentach… wynika, że mogą dane dla tych informacji kopiować z dokumentu, to co oznacza fraza w AML … oraz sporządzać kopie? Czego kopie – przeważnie uważa się, że kopie dokumentu, tylko wtedy po co ta dodatkowa fraza? A może dokładniej czytając ten zapis ta fraza dotyczy prawa do sporządzenia kopii przetwarzanych informacji, a te już nie muszą być tożsame z danymi dokumentu, np. mogą być tam dołączone inne informacje o stanie konta czy dokonanych transakcjach.

Z powyższego widać, że oba zapisy dotyczące tego samego przypadku nieco się różnią i nie są też takie jednoznaczne, jakby tego chcieli bankowcy (stąd ich pismo do Prezesa UODO). Szkoda, że przez te kilka już lat obowiązywania obu ustaw nie dokonano ujednoznacznienia tych zapisów.

Pojęcie czynności technicznej kopiowania danych z dokumentu tożsamości ma kilka znaczeń, między innymi jest to:

1. sczytanie/spisanie danych z dokumentu i ręczne wpisanie ich na formularz lub bezpośrednio do systemu teleinformatycznego,
2. przesłanie drogą cyfrową pliku danych dokumentu z innej instytucji/banku bezpośrednio do odpowiedniego systemu teleinformatycznego,
3. zeskanowanie skanerem obrazu awersu i rewersu dokumentu i zapisanie w całości jako pliku graficznego w odpowiednim miejscu systemu teleinformatycznego,
4. zeskanowanie skanerem obrazu awersu i rewersu dokumentu tożsamości i korzystając z optycznego rozpoznawania znaków (OCR) zapisanie rozdzielnie poszczególnych danych oraz obrazu zdjęcia w systemi teleinformatycznym,
5. odczytanie czytnikiem danych z chipa e-dokumentu i zapisanie ich rozdzielnie w systemie teleinformatycznym
6. skserowanie awersu i rewersu dokumentu na kserokopiarce z wydrukiem na papierze oraz umieszczenie tego papieru w archiwum papierowym,
7. sfotografowanie aparatem cyfrowym awersu i rewersu dokumentu i przesłanie obu zdjęć do  systemu teleinformatycznego [lub wydrukowanie ich na papierze].

My, klienci banków nie mamy zastrzeżeń do czynności technicznych A..E, rozumiejąc potrzebę wpisania do rekordu bazy danych bankowego systemu teleinformatycznego istotnych danych o kliencie. I nawet zeskanowanie dokumentu w postać pliku graficznego natychmiast wpisanego do odpowiedniego rekordu bazy danych nie budzi dużego niepokoju, gdyż wtedy zapis ten jest pod systemową kontrolą dostępu (kto kiedy miał do niego dostęp i na przykład go wydrukował). Mamy za to poważne zastrzeżenia do kserowania oraz do, ostatnio coraz częściej stosowanego, wykonania zdjęcia dokumentu aparatem cyfrowym w telefonie.

Przyjmując, że jest to czynność techniczna, to warto przypomnieć, że każda czynność techniczna wykonywana przez pracownika banku, zakładu, instytucji wymaga aby pracownik ten miał odpowiednie uprawnienia lub też został przeszkolony (w ramach BHP) i między innymi zapoznał się z instrukcją obsługi/postępowania dla tej czynności.

Dlatego też również czynność techniczna kserowania dokumentu tożsamości musi mieć instrukcję jej obsługi, a pracownik banku ją wykonujący musi być przeszkolony. W tej instrukcji między innymi powinno być zapisane:

1. proces kserowania dokumentu tożsamości musi się odbywać w obecności właściciela dokumentu (na jego oczach),
2. najpierw należy skserować awers dokumentu w jednej kopii,
3. na tej kopii należy wpisać kolejny numer z rejestru kserowań dokumentów, datę, cel kserowania, miejsce/oddział, nazwisko kserującego [tutaj można zastosować szablon].
4. tak opisaną kopię należy włożyć do kserokopiarki razem z rewersem dokumentu i wykonać dwie kopie.
5. po wykonaniu kopii należy zresetować pamięć skanów w kserokopiarce (patrz instrukcja obsługi kserokopiarki).
6. obie kopie ma podpisać kserujący, a te pozostającą w banku właściciel dokumentu, który też dostaje drugą kopię,
7. kopię ksero dokumentu należy zarejestrować w centralnym rejestrze kserowań banku, gdyż aż dziwnym jest, że takie rejestry nie istnieją!

Powyższa instrukcja/regulamin powinna być dostępna dla klientów banku. W swoich relacjach z bankami prosiłem o taki regulamin – niestety nie mieli, albo mówili że jest poufny/tajne. Może by ZBP namówił banki do opracowania takiej instrukcji/regulaminu i przeszkolenia pracowników. Myślę, że wtedy my, klienci bylibyśmy spokojniejsi. Oczywiście podobne instrukcje powinny być dla każdej innej czynności technicznej kopiowania dokumentu tożsamości.

W tym momencie pojawia się wchodząca w życie ustawa o dokumentach publicznych [Dz.U. 2019 poz. 53], w której mamy nową definicję dokumentu publicznego (dotychczas tożsamości, itp.) oraz definicję:

replika dokumentu publicznego – odwzorowanie lub kopię wielkości od 75% do 120% oryginału o cechach autentyczności dokumentu publicznego lub blankietu dokumentu publicznego, z wyłączeniem kserokopii lub wydruku komputerowego dokumentu publicznego wykonanych do celów urzędowych, służbowych lub zawodowych określonych na podstawie odrębnych przepisów lub na użytek osoby, dla której dokument publiczny został wydany i zdecydowany zakaz kopiowania (w tym kserowania)

Art. 58. Kto wytwarza, oferuje, zbywa lub przechowuje w celu zbycia replikę dokumentu publicznego, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

Czytając te zapisy, ZBP postanowił zapytać Prezesa UODO, czy banki będą mogły dalej kserować dokumenty publiczne (w tym dokumenty tożsamości). Ja twierdzę, że nie będą mogły, a Prezes UODO, że tylko w pewnych warunkach będzie to dopuszczalne, co też się nie spodobało prawnikom.

Konkluzja

Uważam, że banki powinny zaniechać kserowania (oraz fotografowania) dokumentów tożsamości, nie dlatego, że prawo na to nie pozwala, a może pozwala w pewnych warunkach, ale z powodu, że jest to już (w dobie PSD2) przestarzała technologia pozyskiwania i przechowywania danych z dokumentów

Banki/inne uprawnione instytucje powinny zakupić:

• czytniki kodów paska MRZ z zapisem do bazy danych,
• skanery dokumentów z systemem OCR z zapisem do bazy danych,
• czytniki chipów z e-dowodów z zapisem do bazy danych.

A dodatkowo mogą, za zgodą obsługiwanego klienta, dla określonych w regulaminach bankowych operacji (np. udzielanie kredytu, przelew o wartości powyżej 15000 euro, itp.), wykonać zdjęcie klienta kamerą cyfrową z zapisem do bazy danych.systemu teleinformatycznego. Takie rozwiązanie ma też tę zaletę, że to zdjęcie będzie znane tylko bankowi, a więc trudniej będzie oszustom „podstawić” podobnego słupa.

Powyższe rozwiązanie wydaje się na tyle proste i nowoczesne, że chciałbym zapytać dlaczego jeszcze nie jest wdrożone, a banki upierają się do kserowania dowodów tożsamości na papierze powiększając już ich stertę w liczbie milionów. Podobne rozwiązanie mogą też zastosować operatorzy telekomunikacyjni, którzy też miewają problem z oszustami kradnącymi prawowitym abonentom kosztowne minuty rozmów czy GB transmisji.

Uwaga końcowa

Na koniec mam prośbę do prawników. Wiem, że większość kancelarii ,a tym samym spora rzesza prawników pracuje dla banków oraz operatorów – stąd ich takie nastawienie do przeforsowania prawa do kserowania dowodów tożsamości. Ale może by część z prawników w ramach godzin pro publico bono zechciała się pochylić nad tymi przepisami analizując je z punktu widzenia klientów banków/operatorów, szczególnie tych, którzy bez swojej winy stali się dłużnikami, gdyż ktoś przejął ich dane osobowe, łącznie z kopią ich dowodu tożsamości.

IDpass2021

2017.02.25 | 2006.06.09

Przy kolejnej dyskusji o zinformatyzowaniu dokumentów pokazałem jak bardzo konserwatywne są to propozycje. Zaproponowałem rozwiązanie z realizacją w 2021 roku - ale dzisiaj [w 2017] nie mam już złudzeń, że da się to zrealizować przynajmniej częściowo.