Kopiowanie dokumentów tożsamości przez rozmaite przedsiębiorstwa to temat dość problematyczny. Praktyka ta jest stosunkowo powszechna – a jednak UODO od lat zwraca uwagę na wymóg minimalizacji danych narzucany przez RODO. Teraz Urząd przygląda się pod tym kątem działalności wirtualnego second-handu Vinted.
Kopiowanie dokumentów tożsamości na potrzeby Vinted może stać w sprzeczności z przepisami RODO
Jak podaje portal Cashless.pl, Urząd Ochrony Danych Osobowych skierował właśnie do swojego litewskiego odpowiednika wniosek o pomoc prawną dotyczący firmy Vinted UAM. To zarejestrowany na Litwie popularnej w naszym kraju platformy do handlu używanymi ubraniami.
Uwagę UODO zwróciło kopiowanie dokumentów tożsamości uskuteczniane przez Vinted w trakcie weryfikacji użytkowników na potrzeby dokonywania płatności w serwisie. Portal zastrzega sobie prawo wymagania od swoich użytkowników dostarczenia wyraźnej, kompletnej kopii obydwu stron ważnego dowodu osobistego, paszportu albo prawa jazdy. Dane osobiste uzyskane w ten sposób przekazywane są dostawcy płatności online, firmie Adyen. Bez spełnienia takiego wymogu rozliczenie płatności dokonanej za pośrednictwem portalu może być niemożliwe.
Warto przy tym zaznaczyć, że tego typu weryfikację tożsamości użytkownika stosują także inne firmy. Jako przykład można wskazać chociażby Google. Tutaj również firma oczekuje przesłania kompletnej elektronicznej kopii dokumentu. W tym przypadku zastosowanie takiego środka ma charakter wyjątkowy. Google stosuje go wówczas, gdy wykryje jakąś podejrzaną transakcję na profilu płatności użytkownika, bądź weryfikuje dane związane z kontem. W grę wchodzi również realizowanie wymogów prawa Unii Europejskiej.
Wystosowany przez UODO wniosek ma na celu ustalenie, czy Vinted rzeczywiście ma podstawę prawną do tak daleko idącego przetwarzania danych osobowych klientów. Potencjalnie możemy mieć do czynienia z naruszeniem ochrony danych osobowych użytkowników – a to z uwagi na przepisy RODO. Sprawę trudno jednak byłoby uznać za oczywistą.
UODO walczyło już bezskutecznie z bankami, tym instytucjom na kopiowanie dokumentów tożsamości pozwala specjalna ustawa
Nie chodzi bynajmniej o samo wykonywanie kopii a o wymóg minimalizacji gromadzonych i przetwarzanych danych. Zgodnie z art. 5 ust. 1 pkt c) RODO, pozyskiwane dane osobowe powinny być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Oznacza to, że przedsiębiorstwa nie powinny wymagać od swoich klientów podawania tych danych, które nie są absolutnie konieczne w danym przypadku.
Dokumenty tożsamości tymczasem zawierają dane wykraczające poza samą możliwość zidentyfikowania danego użytkownika. Na przykład starsze wzory dowodów osobistych zawierają informację o kolorze oczu posiadacza. W przypadku prawa jazdy oczywistość stanowią posiadane uprawnienia do kierowania pojazdami. Vinted wymaga kompletnych dokumentów. Odpada więc zasłonięcie zbędnych danych specjalną nakładką.
Kopiowanie dokumentów tożsamości to stosunkowo powszechna praktyka. Bardzo często banki przy zakładaniu nowego rachunku wykonują kserokopię dowodu osobistego. Także z tym procederem UODO od dłuższego czasu stara się walczyć. Póki co, bez większych rezultatów – co akurat nie powinno dziwić. Na przeszkodzie stoi tu art. 34 ust. 4 ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu. Przepis ten wprost pozwala bankom na kopiowanie dokumentów tożsamości klienta.