Dlaczego ochrona danych z dowodu osobistego ma kluczowe znaczenie dla firm z sektora MŚP
Prezes Urzędu Ochrony Danych Osobowych (UODO) nałożył na ING Bank Śląski rekordową karę – ponad 18 milionów złotych. Powodem była nieuzasadniona praktyka masowego skanowania dowodów osobistych klientów oraz potencjalnych klientów. UODO wskazał, że bank nie wykazał celowości i proporcjonalności takiego działania, naruszając tym samym podstawowe zasady RODO.
Choć sprawa dotyczy jednego z największych banków w Polsce, powinna być sygnałem ostrzegawczym dla całego rynku – także dla sektora MŚP, który często nie dysponuje rozbudowanymi działami prawnymi czy compliance.
Dlaczego dane z dowodu osobistego są tak wrażliwe?
Dowód osobisty zawiera pełen zestaw danych identyfikacyjnych, m.in. imię i nazwisko, PESEL, numer dokumentu, serię, datę ważności, a nawet wizerunek. Posiadanie skanu dowodu w niepowołanych rękach otwiera drogę do poważnych nadużyć:
- wyłudzeń kredytów i pożyczek,
- fałszowania tożsamości,
- rejestracji fikcyjnych działalności gospodarczych,
- dostępu do usług na cudze nazwisko.
Dlatego zarówno klienci, jak i przedsiębiorcy muszą być szczególnie ostrożni przy udostępnianiu i przetwarzaniu tego dokumentu.
Kiedy można skanować dowód osobisty zgodnie z prawem?
RODO i przepisy szczególne dopuszczają skanowanie lub kopiowanie dowodu osobistego tylko w ściśle określonych sytuacjach, gdy istnieje wyraźna podstawa prawna. Przykłady:
- Banki i instytucje finansowe – w zakresie wynikającym z ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu (AML).
- Operatorzy telekomunikacyjni – przy zawieraniu umów na usługi telekomunikacyjne, gdy wymagają tego przepisy.
- Pracodawcy – tylko w szczególnych przypadkach, np. przy zatrudnianiu cudzoziemców, jeśli wymaga tego prawo.
- Notariusze i podmioty rynku kapitałowego – w ramach realizacji obowiązków ustawowych.
W każdym innym przypadku administrator danych powinien ograniczyć się do spisania niezbędnych danych z dokumentu, bez jego kopiowania.
Wnioski dla przedsiębiorców z sektora MŚP
Sprawa ING Banku Śląskiego pokazuje, jak istotne jest:
- weryfikowanie, czy istnieje podstawa prawna do kopiowania dokumentu,
- wdrażanie zasady minimalizacji danych (zbieramy tylko te dane, które są rzeczywiście potrzebne),
- dokumentowanie podstaw prawnych w politykach i procedurach,
- szkolenie pracowników, aby wiedzieli, kiedy wolno, a kiedy nie wolno kopiować dokumentów tożsamości.
Kara 18 mln zł dla dużego banku unaocznia również, że UODO nie bagatelizuje naruszeń w tym obszarze. Dla MŚP konsekwencje finansowe mogłyby być równie dotkliwe – proporcjonalnie do skali działalności.
Wniosek: Wdrożenie RODO w praktyce to nie tylko obowiązek formalny, ale realna ochrona klientów i samego biznesu. Nieuzasadnione kopiowanie dowodów osobistych to ryzyko, na które żadna firma nie powinna sobie pozwolić. Fundacja Entropia i jej eksperci posiadają wieloletnie doświadczenie we wdrażaniu rozwiązań z obszaru przetwarzania danych osobowych (RODO) w sektorze MŚP. Dzięki naszej pomocy wiele organizacji nie musi się martwić, czy ich procesy są zgodne z przepisami oraz czy nie narażają działalności na ryzyko naruszenia ochrony danych osobowych a co za tym idzie kar finansowych nakładanych przez PUODO.
W celu wypracowania indywidualnych rozwiązań dostosowanych do Twojej organizacji, skontaktuj się z Fundacją Entropia. Nie ryzykuj kary. Postaw na zgodność z RODO – audyty, wdrożenia i szkolenia szyte na miarę Twojej firmy.
Szybki kontakt możliwy jest z wykorzystaniem formularza kontaktowego:
