Dnia 24 marca 2021 r. Urząd Ochrony Danych Osobowych (UODO) złożył wniosek do swojego litewskiego odpowiednika w celu przeprowadzenia kontroli litewskiej spółki zarządzającej serwisem internetowym Vinted, będącym platformą umożliwiającą konsumentom sprzedaż i wymianę używanych ubrań. Powodem wszczęcia postępowania są liczne skargi do UODO, w których użytkownicy serwisu skarżą się, że wypłata środków uzyskanych w serwisie jest niekiedy uwarunkowana przedstawieniem kopii dowodu osobistego lub prawa jazdy.

Ryzyko kradzieży tożsamości

Wyżej wspomniana reakcja Prezesa UODO nie może dziwić. Od dłuższego czasu Urząd Ochrony Danych osobowych uczula, że żądanie kopii dowodów osobistych wiąże się z wieloma niebezpieczeństwami (m.in. ryzykiem kradzieży tożsamości) i powinno mieć miejsce wyłącznie wtedy, gdy wyraźnie do tego upoważniają przepisy. W konsekwencji, UODO wskazywało już wcześniej, że kopiowanie dowodów osobistych nie powinno mieć miejsca wyłącznie z tego powodu, że przedsiębiorca pragnie zweryfikować tożsamość osoby fizycznej przed zawarciem umowy. Opinia taka została wydana m.in. w odpowiedzi na praktykę kserowania dokumentów przez banki. Urząd zauważył, że co prawda art. 112b Prawa bankowego zezwala bankom na przetwarzanie informacji zawartych w dokumentach tożsamości dla celów prowadzonej działalności, jednak oznacza to jedynie prawo do żądania okazania dokumentu, a nie sporządzenia ich kopii. UODO jednocześnie zwraca uwagę, że w dowodzie osobistym znajduje się wiele informacji, które nie są niezbędne do zawarcia umowy (m.in. wizerunek, płeć, obywatelstwo), dlatego zachowywanie kopii dowodów osobistych klientów przez firmy wiązać się będzie zazwyczaj z naruszeniem zasady minimalizacji przetwarzania danych osobowych.

Po nitce do kłębka

Na rezultaty działań UODO będziemy musieli zapewne poczekać co najmniej kilka miesięcy. Już teraz możemy się jednak pokusić o analizę, czy zastrzeżenia UODO są zasadne i czy mogą spowodować nałożenie kary lub konieczność zmiany procedur przez serwis Vinted.

Podstawowym źródłem informacji w sprawie jest oczywiście Polityka Ochrony Danych Osobowych zamieszczona na Vinted. Czeka nas tutaj miła niespodzianka, ponieważ serwis jasno wyjaśnia, dlaczego użytkownicy są proszeni o dostarczenie kopii dokumentu tożsamości lub innego dokumentu ze zdjęciem. Powodem są wymogi dostawcy usług płatności „ADYEN N.V.” będącej spółką z siedzibą w Holandii, oferującą usługę „Marketpay”. Kolejne informacje nie są już tak jasne, jakbyśmy mogli oczekiwać. Serwis informuje, że:

„w przypadku, gdy kwota wpłaty lub wypłaty zbliżać się będzie do określonego progu, ADYEN będzie prosić użytkownika o dostarczenie kopii paszportu, dowodu tożsamości lub prawa jazdy włącznie z tymczasowym prawem jazdy”

Niestety, nie jest nam dane dowiedzieć się, jaki to próg. W dalszej części dokumentu dowiemy się, że Vinted, w celu „przeprowadzenia kontroli bezpieczeństwa” (określanej jako „znaj swojego klienta”, KYC), przekazuje do ADYEN: imię i nazwisko, datę urodzenia, państwo, adres, informacje zamieszczone na zeskanowanym dokumencie. Dowiemy się także, że:

Jako dodatkowy etap kontroli, ADYEN może również poprosić o zdjęcie/zrzut ekranu wyciągu z banku z listą transakcji w okresie jednego miesiąca.

Bez wątpienia należy uznać, że Vinted wyczerpująco informuje, komu i które dane użytkowników są przekazywane. Wciąż jednak nie wiemy, w jakim celu i na jakiej podstawie ten proces następuje, a taka wiedza jest niezbędna, aby zweryfikować, czy dane osobowe są przetwarzane zgodnie z prawem. W tym zakresie Polityka Vinted informuje, że:

Jest to konieczne w celu realizacji prawnie uzasadnionych interesów Vinted związanych z zapewnieniem ADYEN wymaganych informacji, umożliwiających wypełnienie obowiązku prawnego ciążącego na ADYEN (art. 6 ust. 1 lit. f. RODO).

Zapis ten może budzić konsternację, gdyż w jednym zdaniu wymienione są dwie podstawy prawne przetwarzania danych z RODO – uzasadniony interes Vinted oraz obowiązek prawny ADYEN. Z tego fragmentu nie wynika też jasno, kto jest administratorem danych osobowych zebranych na skanach dokumentów.

Aby dowiedzieć się więcej, jesteśmy zmuszeni zajrzeć na stronę dostawcy płatności (ADYEN), do której odsyła Vinted. Niestety, dostępna dokumentacja RODO tego usługodawcy jest napisana na dużym poziomie ogólności. Jesteśmy w stanie dowiedzieć się jedynie o tym, że ADYEN w ramach procedury „KYC” zbiera dane w związku z „obowiązkami dotyczącymi sektora usług płatniczych” i w tym zakresie jest administratorem danych osobowych.

Czy Vinted i Adyen mogą żądać od użytkownika kopii dokumentów?

Na powyższe pytanie ciężko jednoznacznie odpowiedzieć – ze względu na niewystarczającą ilość informacji na stronach internetowych podmiotów zamieszanych w sprawę. Procedura KYC (Know your customer), na którą powołują się obie firmy, jest pojęciem ogólnym, które może wynikać z obowiązujących w danym kraju przepisów, kodeksów dobrych praktyk lub wewnętrznych regulacji przedsiębiorstwa.

Pomimo powyższych wątpliwości, możemy przypuszczać, że ADYEN ma prawo żądać od użytkowników Vinted kopii dokumentów. Podmiot ten pochodzi i prowadzi działalność w krajach UE, które były zobowiązanie do wdrożenia dyrektywy z zakresu przeciwdziałania praniu pieniędzy nr 2015/849 z dnia 20 maja 2015 r. Dyrektywa wskazuje, że w określonych sytuacjach powinna zostać zweryfikowana tożsamość klienta. Co prawda w unijnym dokumencie brakuje jednoznacznego stwierdzenia, że w tym celu należy żądać przekazania kopii (skanów) dokumentów tożsamości, ale można założyć, że państwa członkowskie, implementując dyrektywę, mogły przyznać podmiotom zobowiązanym takie uprawnienie (lub obowiązek). Tak stało się chociażby w polskiej ustawie z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu. Istnieje zatem duże prawdopodobieństwo, że wskazana przez Vinted i ADYEN procedura KYC ma swoje źródło i podstawę w powyższej dyrektywie i jej krajowych przepisach wykonawczych.

Czego się nie dowiedzieliśmy?

Nawet jeżeli przyjmiemy, że podstawą do żądania przekazania kopii dokumentów ze zdjęciem jest unijna dyrektywa oraz krajowe ustawy dotyczące przeciwdziałania praniu pieniędzy, możemy doszukać się w obu serwisach istotnych braków w zakresie spełnienia obowiązków informacyjnych wymaganych przez RODO. Użytkownik:

nie jest informowany, z jakiego aktu prawnego wynika obowiązek przesłania kopii dokumentu,
nie ma wiedzy o limicie kwotowym, którego osiągnięcie powoduje wszczęcie procedury weryfikacyjnej z użyciem kopii dokumentu (dyrektywa wskazuje kwotę 250 euro, lecz przykładowo polska ustawa implementująca dyrektywę pomniejszyła ten limit do 50 euro),
nie ma m.in. wiedzy, czy może ukryć część danych na dokumencie, aby wykluczyć jego wykorzystanie sprzecznie z przepisami prawa.

Jednocześnie w serwisie Vinted możemy w tym temacie znaleźć niepokojący komunikat:

„Jeśli przesłany dokument wywoła podejrzenia lub okaże się fałszywy, będziemy musieli natychmiast zablokować twój profil”

Zapis ten nie tylko budzi wątpliwości w zakresie tego, jak powinien wyglądać (i jakie zawierać dane) dokument, aby „nie wywołać podejrzeń”, ale może rodzić zastrzeżenia pod kątem prawa konsumenckiego. Tak ogólne przedstawienie zagadnienia rodzi wniosek, że serwis może wstrzymać wypłatę środków użytkownika na czas nieokreślony, gdy subiektywnie uzna, że przesłany dokument ze zdjęciem jest niewiarygodny.

Konieczne szczegółowe informacje

Zdołaliśmy przywyknąć, że rozstrzygnięcia Urzędu Ochrony Danych Osobowych są często zaskakujące. Dlatego ciężko przewidzieć, jak zakończy się sprawa serwisu Vinted i kopii dowodów osobistych. Możemy przypuszczać, że UODO (lub jego litewski odpowiednik) zasugeruje serwisowi i dostawcy płatności uściślenie informacji o przetwarzaniu danych osobowych w związku z procedurą KYC.

Abstrahując od omawianego przykładu, należy uznać, że – zarówno ze względu na prawo ochrony danych osobowych jak i prawo konsumenckie – wszystkie serwisy, które są zobowiązane do przeprowadzenia weryfikacji dokumentów w związku z przepisami o przeciwdziałaniu praniu pieniędzy, powinny jasno i przystępnie informować klientów już na etapie rejestracji, kiedy i jakie dokumenty będą musiały zostać przedstawione w ramach tej procedury. Komunikat taki powinien też zawierać wskazanie konkretnych podstaw prawnych żądania. Pozwoli to lepiej spełnić obowiązki informacyjne wobec użytkowników i jednocześnie ograniczy liczbę skarg przesyłanych do UODO przez niemile zaskoczonych klientów. Bez wątpienia warto również sporządzić w serwisie jednoznaczne zasady opisujące, jakie wymogi powinna spełniać kopia dokumentu oraz jakie sytuacje mogą spowodować zablokowanie konta lub wypłaty środków, aby nie narazić się na zarzuty z zakresu prawa konsumenckiego.

Czy UODO ograniczy kopiowanie dokumentów tożsamości?

Nie jest wykluczone, że w omawianej sprawie UODO nie poprzestanie na żądaniach dotyczących doprecyzowania obowiązków informacyjnych. W dotychczasowych wypowiedziach Urzędu możemy znaleźć sugestie, że kopiowanie dokumentów tożsamości powinno być stosowane z największym umiarem. Dlatego, zdaniem Prezesa Urzędu, przepisy Ustawy o przeciwdziałaniu praniu brudnych pieniędzy należy rozumieć w ten sposób, że dają one jedynie uprawnienie do kopiowania dokumentów, lecz nie kreują takiego bezwzględnego obowiązku dla podmiotów zobowiązanych. Zdaniem Prezesa UODO, wprowadzenie procedury kopiowania dokumentów powinno być poprzedzone dokładną analizą, czy rzeczywiście taki proces jest niezbędny (źródło: https://uodo.gov.pl/pl/138/1491).

Stanowisko UODO należy uznać za słuszne, lecz może napotkać się z oporem z uwagi na treść przepisów wspomnianej ustawy. Z jednej strony ustawa przewiduje jedynie możliwość (a nie obowiązek) sporządzania i przetwarzania kopii dokumentów tożsamości (art. 34 ust. 4), a ostateczna decyzja w tym zakresie należy do podmiotu zobowiązanego, który podejmuje decyzję o zastosowanych środkach „w zakresie i z intensywnością uwzględniającymi rozpoznane ryzyko prania pieniędzy oraz finansowania terroryzmu związane ze stosunkami gospodarczymi lub z transakcją okazjonalną oraz jego ocenę” (art. 33 ust. 4). Biorąc jednak pod uwagę, że sporządzenie kopii jest najtwardszym dowodem na przeprowadzenie nakazanej w ustawie weryfikacji tożsamości, należy założyć, że instytucje finansowe będą stosować tę procedurę rutynowo. Ostateczne, obawa przed kontrolą oraz wrodzony formalizm i zachowawczość sektora finansowego zapewne wygrają z przypominaną i forsowaną przez UODO zasadą minimalizacji przetwarzania danych osobowych.

Możliwe scenariusze

Analiza stanu prawnego nie prowadzi do optymistycznych wniosków. Prawdopodobnie będziemy mieli coraz częściej do czynienia z sytuacjami, gdy przedsiębiorcy, powołując się na powołane przepisy o przeciwdziałaniu praniu pieniędzy (AML), będą żądać od klientów przekazania kopii dokumentów tożsamości. Przerwać ten trend może jedynie zmiana przepisów lub zdecydowana interwencja UODO, który (w wystąpieniach lub postępowaniach kontrolnych) wykaże, że jest to metoda nadużywana. Nie można bowiem zapomnieć, że sposobów weryfikacji tożsamości jest wiele. Jednym z nich jest okazanie dokumentu podczas wideokonferencji, który nie dość, że jest metodą wiarygodną, to niweluje zdecydowanie ryzyko kradzieży tożsamości.

Ciężko rozstrzygnąć, jak zakończy się omawiany konflikt pomiędzy wymogami AML, a zasadami RODO. Bez wątpienia jest to kolejny przykład sprawy, w której przedsiębiorcy stoją przed dylematem, którym przepisom być „bardziej wiernym” oraz pod kątem której kontroli przygotowywać wewnętrzne procedury. Konieczność dokonywania takich wyborów nie świadczy dobrze o jakości obowiązującego prawa i nie sprzyja pewności prowadzenia biznesu w Polsce.

Na dzień dzisiejszy powyższy dylemat pozostanie nierozwiązany. Na podstawie sprawy serwisu Vinted możemy jednak już teraz wysnuć jeden pewny wniosek. Każdy przedsiębiorca, który decyduje się na wprowadzenie procedury AML wobec swoich klientów (polegającej na żądaniu kopii dowodu, przeprowadzeniu wideokonferencji lub innej), powinien kompleksowo i przejrzyście wyjaśnić jej podstawy i zasady, aby uniknąć nieporozumień i skarg do Urzędu Ochrony Danych Osobowych, które ostatecznie, zgodnie z RODO, mogą spowodować sankcje finansowe aż do 20 mln euro.