Skan dowodu osobistego można wysłać legalnie tylko wtedy, gdy podmiot ma wyraźną podstawę prawną i stosuje zasadę minimalizacji danych, natomiast przesyłanie go e-mailem jest ryzykowne i może prowadzić do kradzieży tożsamości. Najbezpieczniej korzystać z szyfrowanych formularzy i oficjalnych platform weryfikacyjnych oraz ograniczać zakres przekazywanych informacji, a w sytuacjach spornych okazać dokument do wglądu bez kopiowania [1][2][3][4][5].
Czy wysłanie skanu dowodu osobistego jest bezpieczne i legalne?
Wysłanie skanu dowodu osobistego może być legalne, jeżeli prosi o to podmiot uprawniony na mocy przepisów, przede wszystkim w ramach obowiązków przeciwdziałania praniu pieniędzy oraz weryfikacji tożsamości KYC. Dotyczy to w szczególności sektora finansowego i wybranych usług regulowanych. Brak podstawy prawnej wyklucza taką praktykę po stronie podmiotu żądającego kopii [2][4][5].
Bezpieczeństwo zależy od sposobu przekazania. Ryzykowne jest wysyłanie przez e-mail lub komunikatory, ponieważ zwiększa to prawdopodobieństwo nieuprawnionego dostępu i nadużyć. Zalecane są szyfrowane formularze udostępniane przez weryfikowany podmiot oraz ograniczenie zakresu ujawnianych danych do niezbędnego minimum [1][3].
Przepisy RODO wymagają, aby podmiot przetwarzał wyłącznie dane konieczne do realizacji celu, ale nie zawierają bezpośredniego zakazu kopiowania dokumentów tożsamości. Jednocześnie ustawa o dokumentach publicznych nie przewiduje sankcji za samo skanowanie, koncentrując się na innych naruszeniach, wobec czego kluczowa pozostaje legalna podstawa i sposób przetwarzania [4][7].
Kto może żądać skanu dowodu osobistego?
Uprawnienie do żądania skanu wynika z konkretnych przepisów sektorowych oraz wymogów AML i KYC. Dotyczy to przede wszystkim instytucji finansowych i usługodawców, którzy muszą skutecznie potwierdzić tożsamość klienta przed świadczeniem usług lub zawarciem umowy [2][5].
W praktyce obejmuje to m.in. banki, firmy pożyczkowe, biura maklerskie, a także wybranych operatorów płatności i usług telekomunikacyjnych. Takie podmioty działają w oparciu o precyzyjne procedury weryfikacyjne i dysponują odpowiednimi narzędziami ochrony danych [1][2][5].
Jeżeli organizacja stosuje procedury zgodne z KYC i AML, może poprosić o kopię dokumentu oraz oświadczenia towarzyszące, jednak nadal musi respektować zasadę minimalizacji danych oraz stosować adekwatne środki bezpieczeństwa technologicznego i organizacyjnego [2][4].
Kto nie może żądać skanu dowodu osobistego?
Brak podstawy prawnej po stronie wielu firm i osób prywatnych oznacza, że żądanie skanu bywa nieuprawnione. Dotyczy to zwłaszcza sklepów internetowych, pracodawców i prywatnych ogłoszeń, gdzie przetwarzanie tak szerokiego zakresu danych nie jest konieczne do realizacji celu i narusza zasadę minimalizacji RODO [2][5].
Nieuprawnione kopiowanie naraża użytkownika na zbędne ryzyko oraz generuje odpowiedzialność po stronie administratora danych. W licznych sytuacjach w zupełności wystarcza okazanie dokumentu do wglądu bez tworzenia kopii lub skorzystanie z alternatywnych metod weryfikacji zgodnych z prawem [4][5].
Na czym polega weryfikacja tożsamości KYC?
Weryfikacja tożsamości w modelu KYC to proces potwierdzenia, że dana osoba jest tym, za kogo się podaje. W sektorze finansowym jest on z reguły powiązany z obowiązkami przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, co wymaga zebrania odpowiedniego, uzasadnionego zestawu danych [2].
W kontekście zdalnej weryfikacji za niezbędne mogą uchodzić takie dane jak imię i nazwisko, data urodzenia oraz wizerunek, przy czym zakres może być poszerzony tylko w granicach konieczności. Jeśli przepisy nie wymagają pełnego zestawu informacji z dokumentu, nadmiarowe pola powinny zostać zasłonięte [1][2].
Jak bezpiecznie przekazać skan dowodu osobistego?
Priorytetem jest kanał przekazania. Zalecane jest korzystanie z szyfrowanych formularzy dostarczanych przez dany podmiot, po uprzednim zweryfikowaniu jego tożsamości i zgodności procesu z przepisami. Wysyłka e-mailem lub komunikatorami nie zapewnia wystarczającego poziomu ochrony i zwiększa ryzyko wycieku [1][3].
Dla ograniczenia ryzyka warto zastosować oznaczenie pliku jednoznacznie wskazujące cel i adresata oraz zasłonić dane niepotrzebne do weryfikacji. Utrudnia to ponowne wykorzystanie obrazu dokumentu w innym kontekście i wspiera zasadę minimalizacji [1][3].
Jeśli procedura na to pozwala, bezpieczniejszą alternatywą może być okazanie oryginalnego dokumentu do wglądu bez jego kopiowania. Taki model ogranicza ekspozycję danych na niekontrolowane powielanie [1][5].
Jakie dane minimalnie udostępniać?
RODO wymaga, aby przekazywać wyłącznie dane niezbędne do celu przetwarzania. W wielu procesach identyfikacyjnych minimalny zestaw obejmuje imię i nazwisko, datę urodzenia oraz wizerunek, natomiast numer PESEL czy serię i numer dokumentu można ukryć, jeśli nie są wymagane przepisami lub procedurą danego podmiotu [1][4].
W praktyce oznacza to zasłanianie pól niewykorzystywanych w KYC i udostępnianie tylko tych elementów, których żąda uprawniony administrator danych. Szerszy zakres przetwarzania powinien być każdorazowo uzasadniony przepisami lub niezbędnością dla danego celu [1][2][4].
Dlaczego e-mail i komunikatory nie są bezpieczne?
Przekazywanie obrazu dokumentu poza kontrolowanym, szyfrowanym formularzem zwiększa powierzchnię ataku. E-mail i komunikatory często nie zapewniają odpowiedniego poziomu zabezpieczeń oraz kontroli dalszego przetwarzania, co sprzyja przechwyceniu i nieuprawnionemu kopiowaniu [1][3].
Wraz ze wzrostem obiegu fałszywych i pozyskanych w wyniku wyłudzeń skanów rośnie skala nadużyć oraz incydentów przejęcia kont i usług online. Trend ten wzmacnia konieczność rezygnacji z niebezpiecznych kanałów komunikacji na rzecz dedykowanych platform weryfikacyjnych [3][4].
Ryzyko ma wymiar finansowy, ponieważ wykorzystanie danych z dokumentu sprzyja wyłudzeniom i innym formom nadużyć, które mogą skutkować realnymi stratami materialnymi po stronie osoby, której dane dotyczą [6].
Jakie są ryzyka kradzieży tożsamości?
Kradzież tożsamości prowadzi do nadużyć na rynku finansowym, w tym do prób wyłudzenia kredytów i pożyczek, a także do przejmowania usług i kont online. Rozpowszechnienie obrotu obrazami dokumentów zwiększa podatność na takie zdarzenia [1][8].
Ryzyko jest podwyższone w relacjach prywatnych i nieregulowanych, gdzie często brakuje podstawy prawnej do kopiowania dokumentu, a jednocześnie występują presja na szybkie działanie i niedostateczne mechanizmy weryfikacji po stronie odbiorcy danych [2][3][5].
Jak zmieniają się praktyki weryfikacji?
Rynek odchodzi od wymiany skanów przez e-mail na rzecz bezpiecznych, dedykowanych platform weryfikacyjnych i formularzy spełniających wymogi szyfrowania oraz kontroli dostępu. Zmiana jest odpowiedzią na wzrost nadużyć związanych z obiegiem obrazów dokumentów [3][4].
W zdalnych procedurach KYC dominują rozwiązania, które umożliwiają przesłanie jedynie niezbędnych danych oraz ich automatyczne maskowanie i walidację, co ogranicza ryzyko nadmiernego przetwarzania [1].
Kiedy lepiej okazać dokument bez kopiowania?
Jeżeli cel można osiągnąć przez wgląd w dokument bez utrwalania obrazu, jest to często rozwiązanie bezpieczniejsze i zgodne z zasadą minimalizacji RODO. Dotyczy to zwłaszcza sytuacji, w których brak jednoznacznej podstawy do gromadzenia i przechowywania kopii [1][4].
Okazanie oryginału ogranicza ekspozycję danych na wielokrotne użycie i dystrybucję, a jednocześnie pozwala zweryfikować tożsamość w wystarczającym stopniu, jeśli przepisy nie nakazują trwałego utrwalenia [1][5].
Co dokładnie mówią przepisy o kserowaniu?
RODO nie wprowadza generalnego zakazu kserowania lub skanowania dokumentów, ale wymaga legalnej podstawy przetwarzania, proporcjonalności i ograniczenia celu. Przepisy krajowe dotyczące dokumentów publicznych nie penalizują samego wykonywania kopii, lecz inne naruszenia, co oznacza, że o legalności decyduje kontekst oraz podstawa prawna po stronie administratora danych [4][7].
W sektorach objętych AML istnienie obowiązków regulacyjnych może uzasadniać utrwalenie danych w szerszym zakresie, jednak nadal obowiązuje minimalizacja oraz stosowanie adekwatnych zabezpieczeń technicznych i organizacyjnych [2][4].
Podsumowanie
Wysłanie skanu dowodu osobistego jest legalne tylko w ramach jasno określonych podstaw prawnych, głównie w sektorze finansowym i regulowanym, oraz z poszanowaniem RODO. Jest to działanie obarczone ryzykiem, dlatego dla bezpiecznego przekazania należy korzystać z szyfrowanych formularzy, ograniczać zakres danych i w miarę możliwości okazywać dokument bez kopiowania. W innych przypadkach prośba o kopię powinna budzić sprzeciw i skłaniać do wyboru alternatywnej metody weryfikacji [1][2][3][4][5][7][8].
Źródła:
- [1] https://abfoto.pl/jak-zabezpieczyc-skan-lub-zdjecie-dowodu-osobistego
- [2] https://www.wonga.pl/blog/kto-ma-prawo-poprosic-cie-o-skan-dowodu-osobistego
- [3] https://bezprawnik.pl/zdjecie-dowodu-osobistego/
- [4] https://ilawit.rodo.ostrowski.legal/kserowa-c4-87-dowody-osobiste-czy-nie-kserowa-c4-87-e2-80-93-oto-jest-pytanie/
- [5] https://chronpesel.pl/ochrona-danych-osobowych/kto-moze-kserowac-dowod-osobisty-czy-to-bezpieczn
- [6] https://forsal.pl/praca/aktualnosci/artykuly/8677919,robisz-zdjecie-dowodu-osobistego-mozesz-stracic-duge-pieniadze.html
- [7] https://kpmg.com/pl/pl/wiedza/prawo/czy-kserowanie-dowodow-osobistych-jest-zabronione.html
- [8] https://www.bik.pl/poradnik-bik/dowod-osobisty-ksero
LeczymyTarczyce.pl to ogólnotematyczny portal, który codziennie dostarcza rzetelnych treści na każdy temat. Od zdrowia po technologię – znajdziesz tu inspiracje i praktyczne porady. Twoja codzienna dawka informacji w jednym miejscu.