Kto może kserować/skanować dowód osobisty, a komu nie wolno tego robić?

Komu pozwolić na skan, ksero lub zdjęcie dowodu osobistego, a komu nie? Co na to RODO? Jak działają procedury AML i KYC w bankach i instytucjach finansowych? Sprawdzam!

Kserowanie dowodu osobistego
Fot. C by ZF

Jestem przekonany, że każdemu z Was przytrafiła się sytuacja, w której pracownik jakiejś firmy zażądał okazania dowodu osobistego i szybko pobiegł na zaplecze, żeby skserować dokument. Przywykliśmy do tego, ale jednocześnie musimy mieć świadomość, z jak dużym ryzykiem się to wiąże. Nie możemy mieć przecież pewności, że kserokopia dowodu jest prawidłowo przechowywana, że nie trafi w niepowołane ręce, że nieuczciwy pracownik nie wykorzysta pozyskanych danych w celu np. zaciągnięcia kredytu etc.

Przed takim ryzykiem powinno nas chronić prawo, szczególnie Rozporządzenie o Ochronie Danych Osobowych (czyli RODO), ale… nie do końca tak jest. Tym bardziej warto wiedzieć, kto może kserować lub skanować dowód osobisty, a komu nie wolno na to pozwalać. Wszystko w zrozumiały sposób wyjaśniam w moim artykule. 

Zdjęcie / skan / ksero dowodu osobistego a prawo

12 lipca 2019 roku w życie weszła ustawa, która reguluje kwestię kserowania i innych form archiwizowania dokumentów publicznych – w tym dowodów osobistych, ale też paszportów, praw jazdy czy nawet legitymacji studenckich. Nowe przepisy mają ukrócić proceder dowolnego interpretowania prawa i zmuszania konsumentów do zgadzania się np. na skserowanie dowodu bez wyraźnej potrzeby. 

Głównie chodzi tutaj o przeciwdziałanie szerzącemu się zjawisku wyłudzania kredytów czy np. abonamentów telefonicznych na skradzione dane. Takich przypadków w ciągu roku jest nawet kilka tysięcy. Po zmianach kserowanie dowodu osobistego czy innego dokumentu potwierdzającego tożsamość jest ostatecznością zarezerwowaną wyłącznie dla tych podmiotów, które mają ku temu mocne podstawy prawne. 

Dotyczy to głównie podmiotów zobowiązanych do archiwizowania danych swoich klientów na mocy ustawy o przeciwdziałaniu praniu brudnych pieniędzy i finansowaniu terroryzmu (za chwilę do tego wrócę, bo to kluczowa kwestia). Są to przede wszystkim banki, operatorzy różnych usług finansowych czy firmy ubezpieczeniowe. 

Ranking najlepszych: Marzec 2024

Najlepsze lokaty, konta i oferty - marzec 2024

Prawa do skserowania czy zeskanowania dowodu konsumenta nie mają natomiast podmioty, które w ten sposób chcą się zabezpieczyć np. przed kradzieżą ich własności czy nieopłaceniem usługi. Dobrym przykładem może być tutaj wypożyczalnia samochodów. Zgodnie z nową ustawą mogą one jedynie poprosić klienta o okazanie dokumentu tożsamości, ale nie mogą go skserować/zeskanować bez wyraźnej zgody konsumenta. 

Problem polega natomiast na tym, że nadal istnieje bardzo duża grupa podmiotów, z których usług korzystamy na co dzień lub planujemy zacząć korzystać, mających prawo do zażądania nie tylko okazania dokumentu tożsamości, ale również jego archiwizowania, czyli kserowania lub skanowania. RODO przed tym nie chroni, ponieważ istnieją jeszcze inne dokumenty prawne, w tym przypadku nadrzędne. Najważniejszym z nich jest dyrektywa AML.

Czym jest AML?

AML, czyli Anti Money Laundering, to dyrektywa Parlamentu Europejskiego i Rady (UE), która została wprowadzona do polskiego prawodawstwa i jest lepiej znana pod nazwą: Ustawa z dnia 1 marca 2018 roku o przeciwdziałaniu praniu brudnych pieniędzy oraz finansowaniu terroryzmu. Na mocy tego dokumentu liczne podmioty mają nie tyle prawo, co wręcz obowiązek ustalania tzw. beneficjentów rzeczywistych. Kim jest taki beneficjent? To najczęściej osoba, w imieniu której są dokonywane transakcje finansowe – czyli np. właściciel rachunku maklerskiego, konta na giełdzie kryptowalut czy choćby klient takich usług, jak SkyCash, PayPal. 

Warto wiedzieć: Niektóre popularne usługi finansowe żądają przesłania skanu dowodu osobistego w oparciu odpowiednik AML – KYC (Know Your Customer).

Pisząc w dużym uproszczeniu: AML lub KYC nakłada na podmiot obowiązek zweryfikowania tożsamości klienta, co ma na celu oszacowanie ryzyka prania brudnych pieniędzy, przeciwdziałania temu procederowi oraz szybkiego wychwytywania takich przypadków. Nie ma zatem możliwości, aby skorzystać z usługi firmy objętej przepisami AML bez udostępnienia jej swojego dowodu osobistego oraz umożliwienia jego zarchiwizowania w postaci skanu lub kserokopii. Trzeba być tego świadomym. 

No dobrze, ale o jakich podmiotach właściwie tutaj mówimy? Wymienię tylko te, z którymi najpewniej macie lub będziecie mieć kiedykolwiek do czynienia:

  • Banki
  • SKOK-i
  • Firmy oferujące obsługę płatności 
  • Firmy oferujące usługi z wykorzystaniem pieniądza elektronicznego
  • Pośrednicy kredytowi
  • Agenci rozliczeniowi
  • Biura maklerskie 
  • Fundusze inwestycyjne 
  • Pośrednicy ubezpieczeniowi
  • Towarzystwa ubezpieczeniowe
  • Giełdy i inne instytucje pośredniczące w obrocie kryptowalutami 
  • Firmy pożyczkowe
  • Bukmacherzy 

Wszystkie te podmioty, działając na mocy przepisów ustawy AML, mają obowiązek weryfikowania tożsamości klientów oraz mogą – choć wcale nie muszą – zażądać przekazania skanu, zdjęcia lub ksera dowodu. 

Znajdź najlepsze oprocentowanie:


Tutaj małe wtrącenie, ponieważ na ten temat wypowiedział się już Główny Inspektor Ochrony Danych Osobowych. Banki i inne instytucje z powyższej listy, choć obejmuje je ustawa o przeciwdziałaniu praniu brudnych pieniędzy oraz finansowaniu terroryzmu, nie powinny nadużywać jej zapisów. Czyli: jeśli klient chce tylko założyć konto w oddziale, to powinien móc to zrobić na okazanie dowodu osobistego, ale bez kserowania dokumentu przez pracownika. 

Ponadto warto wiedzieć, że powyższe regulacje nie dotyczą instrumentów płatniczych, w których limit transakcji wynosi do 50 euro oraz nie mogą one zostać zasilone kwotą wyższą niż 50 euro miesięcznie. 

Jakie dane z dowodu są naprawdę potrzebne instytucjom finansowym?

Wbrew pozorom – tylko niektóre. Jasne, że pracownikowi np. banku łatwiej jest skserować cały dowód i wrzucić ksero do archiwum, ale to wcale nie oznacza, że zawsze trzeba tak robić. Prawo mówi jasno, że do celów weryfikacji tożsamości beneficjenta rzeczywistego wystarczy ustalenie jego:

  • Obywatelstwa
  • Numeru PESEL
  • Serii i numeru dokumentu stwierdzającego tożsamość
  • Adresu zamieszkania (o ile instytucja zobowiązana ma tę informację)

Jasno wynika z tego, że np. banki nie muszą wcale znać imion rodziców swojego klienta. Nie potrzebują też wzoru podpisu czy informacji na temat wzrostu oraz płci osoby chcącej uruchomić tę usługę. Z formalnego punktu widzenia do weryfikacji nie jest też potrzebne zdjęcie, ale to akurat w większości kont zakładanych online nie przejdzie. Selfie jest potrzebne, aby porównać fotografię ze zdjęciem z dowodu osobistego. W każdym razie zmierzam do tego, że jeśli chcemy zminimalizować ryzyko wykorzystania ksera czy skanu dowodu przez jakiegoś oszusta do np. zaciągnięcia kredytu, to śmiało możemy zakryć te elementy, które nie są niezbędne do weryfikacji. 

Uwaga! Nie każda instytucja się na to zgodzi. Niektóre używane powszechnie systemy weryfikacji tożsamości online z automatu odrzucają takie zdjęcia dokumentów z zamazanymi danymi z powodu ich „nieczytelności”. Dużo prościej jest to zrobić, zakładając konto czy podpisując umowę osobiście. Albo skorzystać podpisania umowy za pośrednictwem kuriera, który ma za zadanie tylko rzucić okiem na nasz dowód osobisty lub paszport.

Innym sposobem na zwiększenie swojego bezpieczeństwa jest naniesienie na skan dowodu znaku wodnego – jest to bardzo łatwe do zrobienia, nie podważa wiarygodności dokumentu w oczach operatora usługi, a w zasadzie uniemożliwia wykorzystanie skanu w jakiejś innej instytucji. 

Jak jeszcze można zabezpieczyć się przed wyłudzeniem na skserowany/zeskanowany dowód? 

Przede wszystkim radzę, aby za każdym razem negocjować z pracownikiem inną formę weryfikacji. Skoro prawo nie nakłada na wymienione wcześniej podmioty obowiązku archiwizowania dokumentu tożsamości klienta, to może wystarczy tylko okazanie? Zawsze warto o to zapytać – a nuż trafimy na „kumatego” pracownika. 

Znak wodny, adnotacja (np. „Kopia do celów weryfikacji tożsamości przy zakładaniu konta w XYZ”), zamazanie części danych – to podstawa, którą trzeba stosować wtedy, gdy jest to możliwe. Dodatkowo jednak przestrzegam przed wysyłaniem skanu swojego dokumentu zwykłą wiadomością e-mail. Każda dobra usługa finansowa powinna się charakteryzować tym, że jej operator udostępnia klientom opcję załączenia pliku do formularza online na zabezpieczonej certyfikatem SSL stronie internetowej.

Oczywiście nawet tak drobiazgowe dbanie o bezpieczeństwo swoich danych nie daje gwarancji, że nie dojdzie do ich wycieku. Takie sytuacje zdarzają się niestety regularnie, dlatego nigdy nie należy w 100% ufać instytucji, której powierzamy np. skan swojego dowodu. Aby uchronić się przed ryzykiem wyłudzenia kredytu czy np. wzięcia sprzętu na raty przez oszusta, najlepiej będzie uruchomić sobie usługę Alerty BIK. Kosztuje grosze, a naprawdę zwiększa bezpieczeństwo – zwłaszcza w przypadku osób, które regularnie dzielą się swoimi danymi z różnymi instytucjami. Co więcej, przy okazji aktywacji alertów można włączyć zastrzeżenie kredytowe.

Chcesz poznać sposoby na zabezpieczenie swoich danych osobowych przed kradzieżą czy wyłudzeniem kredytu oraz innymi zagrożeniami?

Na blogu KwestiaBezpieczeństwa.pl znajdziesz bezpłatny 7-dniowy kurs e-mail: PODSTAWY BEZPIECZEŃSTWA.

Wśród porad, wskazówek i narzędzi, które pomogą Ci zabezpieczyć swój komputer, telefon i konta internetowe, pokazuję m.in.:

  • Jak zaszyfrować cały dysk komputera i wszystkie dane, które na nim przechowujesz
  • Jak ustawić dwuskładnikowe uwierzytelnianie, aby dane osobowe nie wyciekły z naszych kont internetowych
  • Jak ustawić aktualizacje, kopie zapasowe, czy hasła, aby nie dać się zhakować

Kurs składa się z 7 lekcji wysyłanych na e-mail i jest w 100% bezpłatny. Pokazuję w nim rozwiązania i konfigurację dla wszystkich systemów operacyjnych: Windows, MacOS i Linux. I na urządzenia mobilne (telefony, tablety): Android i iOS od Apple.

Zapisz się na bezpłatny kurs »

Zdarza się Wam udostępniać skan lub ksero dowodu osobistego różnym firmom? Mieliście kiedyś z tego powodu problemy? Wiedzieliście, że w wielu sytuacjach wcale nie musi się na to zgadzać? Zapraszam do komentowania. 

8 komentarzy

  1. Marcin

    Od dłuższego czasu analizowałem oferty różnych firm oferujących IKE. Stwierdziłem, że najbardziej odpowiada mi oferta funduszy NN IKE Plus czyli zwycięzca tegorocznego (i nie tylko tegorocznego) rankingu analiz.pl. Zabrałem się za założenie konta… NIESTETY jestem bardzo rozczarowany ponieważ NN żąda przy zakładaniu konta zdjęcia przodu i tyłu mojego dowodu osobistego (gdybym udał się do placówki zrobiliby skan mojego dowodu). Zniechęcony procedurami NN przejrzałem jeszcze kilka innych podmiotów oferujących IKE i niektóre wymagają skanu/zdjęcia dowodu osobistego, niektóre nie (np. mój bank, nie wymaga). Jednak podmioty, które nie wymagają skanu/zdjęcia dowodu osobistego nie mają do końca oferty dopasowanej do moich potrzeb. Ja podzielam zdanie prezesa UODO https://businessinsider.com.pl/wiadomosci/kiedy-bank-moze-kserowac-nasz-dowod-osobisty/blsjpsz

    Mogą skanować w uzasadnionych przypadkach. Czy indywidualne konto emerytalne z ustawowym limitem wpłat nadaje się do finansowania terroryzmu i prania brudnych pieniędzy? Śmiem wątpić. A IKE otworzę zapewne tam, gdzie nie będzie wymagane skanowanie dowodu osobistego.

  2. MW

    Dla mnie to wszystko są bzdury i nic nie pomogą dopuki przepisy nie będą faworyzować oszustów! To bank, ubezpieczyciel, czy ktokolwiek, komu zależy na ustaleniu naszej tożsamości (np udzielający porzeczki) musi dołożyć takich starań, żeby wykluczył możliwość podszycia się pod kogoś innego ( zadać kilku dokumentów, żyrantów i tp.). Jak lubią rozdawać pieniądze komu popadnie, to proszę bardzo, ale ode mnie wara! Prawo jest chore i działa na zasadzie „nieważne komu daliśmy pieniądze, ważne, że mamy dane kogoś z kogo ściągniemy” . Takie postępowanie bardzo źle się kojarzy, a jeśli chodzi o ochronę danych, to jest fikcją. Otrzymałem niedawno z jednej z instytucji uprawnionych do gromadzenia danych, że przykro im, ale ich serwer padł ofiarą ataku hakerskiego i moje dane zostały ujawnione. Przypominam również, że informacji która wyciekła do internetu nie da się usunąć – pozostanie tam na zawsze!

  3. notek

    Dziękuję za tekst, który trochę rozjaśnił mi sytuację. Chciałem podzielić się jedna obserwacją. Sprzedaję na Allegro prywatnie używane rzeczy, może kilka transakcji w roku. Ktoś zapłącił mi przez Przelewy24, a nie allegrowskie PayU. Żeby wypłacić te pieniądze musiałem autoryzować swoje konto przelewem 1zł (i w przypadku PayU to wystarczyło), natomiast Przelewy24 żąda ode mnie skanu dowodu. Najgorszę, że mam to wysłać przez jakąs podstronę Allegro, nie mając żadnej umowy ani konta w Przelewy24. Czyli wysyłam, nie wiadomo komu swój dowód! Allegro umywa ręce – takie wymogi ma Przelewy24 (ale nie pozwala wyłączyć przyjmowania tym operatorem), a Przelewy24 nie odpowiada na miale – w końcu to oni mają moje pieniądze i się im nie spieszy.

  4. ArtR

    Dyrektywa AML dotyczy zbyt wielu podmiotów. Dochodzi do sytuacji, w ktorej sprzedajac telefon na olx z przesyłką, kupujący kupuje i płaci, sprzedający wysyła telefon, kupujący odbiera i teraz pojawia się problem, bo operator płatności aby przelać pieniądze sprzedającemu wg dyrektywy AML musi otrzymać skany dokumentów sprzedającego. Prowadzi to do patologi polegajacej na tym, że nasze dane osobowe pałętajĄ się po necie juz wiecznie.

  5. Kroll

    Pewnie już tu nikt nie zagląda ale i ja opiszę swoją sytuację. Jest promocja UPC że jak się u nich zakupi odpowiedni abonament to dostaje się w PLAY za darmo abonament w którym są darmowe rozmowy,smsy,mmsy i 60 GB danych. I tu zaczyna się problem. Płacę abonament 129 zł w UPC i oni nie zadają niczego. A Play w którym nie będę robić żadnych opłat żądają skanu dowodu osobistego. Co gorsza taki sam skan ma otrzymać kurier który mi przyniesie kartę. To dopiero jest jazda bo przecież gdzie podstawy takiego czegoś? Muszę wspomnieć że już była weryfikacja z ich strony w BIK. Bez tego nie zostanie zawarta umowa. Ciekawe jak te RODO działa jak nie działa i firmy wręcz wymuszają podawanie danych.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Obowiązuje regulamin komentarzy. Wymagane pola są oznaczone *