AML a ochrona danych osobowych – kiedy skan dowodu jest legalny?

Kopia dokumentu tożsamości to temat, który wzbudza wiele wątpliwości u Polaków. Ale to nie wszystko! Ksero dowodu osobistego to także wątek, który wywołuje burzliwe dyskusje w różnych instytucjach, np. finansowych, a nawet wśród organów sprawujących nadzór nad tym tematem.

W tym miejscu warto rozprawić się z mitami, bowiem dokument tożsamości to nie tylko dowód osobisty.

W myśl obecnie obowiązujących przepisów prawa dokumentami tożsamości są:

1. dowód osobisty;
2. dokument paszportowy (paszport, paszport tymczasowy, paszport dyplomatyczny, paszport służbowy MSZ)
3. karta pobytu;
4. zgoda na pobyt tolerowany;
5. żołnierska karta tożsamości;
6. książeczka żeglarska.

Czy bank może kserować dowód osobisty?

Skoro dokument tożsamości to nie tylko dowód osobisty, czy bank może wykonywać ich kopie?

Odpowiedź brzmi: TAK.

Ale to nie wszystko, otóż kopie ww. dokumentów tożsamości mogą wykonywać także inne instytucje. Wszystko za sprawą ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (tekst jedn. Dz.U. z 2025 r., poz. 664; dalej: (dalej: ustawa AML/CFT, z ang. Anti-Money Laundering – przeciwdziałanie praniu pieniędzy, Counter-Terrorism Financing – przeciwdziałanie finansowaniu terroryzmu).1

Ustawa AML/CFT daje prawo do wykonywania kserokopii dokumentów tożsamości wszystkim instytucjom obowiązanym wymienionym w art. 2 ust. 1 tej ustawy. To oznacza, że ksero dowodu w banku to nie jednostkowa sytuacja. Nie tylko banki czy inne instytucje finansowe mogą wykonywać kserokopię dokumentów tożsamości, ale także np. pośrednicy w obrocie nieruchomościami, kantory, notariusze czy biura rachunkowe.

Pozwala na to art. 34 ust. 4 ustawy AM/CFT. Zgodnie z jego treścią:

„Instytucje obowiązane na potrzeby stosowania środków bezpieczeństwa finansowego mogą przetwarzać informacje zawarte w dokumentach tożsamości klienta i osoby upoważnionej do działania w jego imieniu oraz sporządzać ich kopie.”

Instytucje obowiązane muszą posiadać dane osobowe:

• klientów,
• osób reprezentujących klientów,
• osób upoważnionych do działania w imieniu klientów oraz
• beneficjentów rzeczywistych.

Skąd wynika zakres danych osobowych, które muszą posiadać instytucje obowiązane?

Zakres tych danych osobowych jest dokładnie określony w art. 36 ustawy AML/CFT.

Kolejne przepisy ustawy AML/CFT zobowiązują instytucje obowiązane od wykonywania procesu KYC (Know Your Customer), który wymaga bardzo dokładnego i rzetelnego identyfikowania i weryfikowania swoich klientów. Ma to pomóc w unikaniu współpracy z klientami, którzy popełniają przestępstwa prania pieniędzy lub finansowania terroryzmu.

Czy instytucje obowiązane muszą posiadać aktualne dane swoich klientów przez cały okres współpracy?

Instytucje obowiązane muszą bardzo dobrze znać sowich klientów, a tym samym dbać o ich aktualne dane.

Zobowiązuje ich do tego szereg kolejnych przepisów ustawy AML/CFT.

Między innymi, zgodnie z art. 34 ust. 1 pkt 4c ustawy AML, instytucja obowiązana musi zapewnić, że posiadane dokumenty, dane lub informacje dotyczące stosunków gospodarczych są na bieżąco aktualizowane. Dlatego jako klienci np. banków, dostajemy informacje, wiadomości, czy sms-y o konieczności zaktualizowania swojego dokumentu tożsamości, gdy jego ważność się kończy.

Poza tym instytucje obowiązane muszą, zgodnie z art. 35 ust. 2 ustawy AML/CFT, ponownie zastosować środki bezpieczeństwa finansowego, gdy:

• doszło do zmiany uprzednio ustalonego charakteru lub okoliczności stosunków gospodarczych;
• doszło do zmiany uprzednio ustalonych danych dotyczących klienta lub beneficjenta rzeczywistego.

Dlatego też zastosowane środki bezpieczeństwa finansowego, w postaci identyfikacji i weryfikacji tożsamości klienta oraz beneficjenta rzeczywistego, przed rozpoczęciem współpracy z danym klientem nie są wystarczające i nie wypełniają znamion dochowywania należytej staranności, w tym zakresie.

A do tego ustawa AML/CFT wymaga także, aby instytucje obowiązane dokumentowały zastosowane środki bezpieczeństwa finansowego oraz przechowywały je przez okres 5 lat, licząc od dnia zakończenia stosunków gospodarczych z klientem lub od dnia przeprowadzenia transakcji okazjonalnej (art. 34. ust. 3 oraz 49 ust. 1 ustawy AML/CFT).

Dlatego też nie wystarczy, aby pracownik instytucji obowiązanej wyłącznie sprawdził, czy dane osobowe zgadzają się z danymi widniejącymi w dowodzie osobistym lub innym dokumencie tożsamości. Po tej czynności pracownik musi pozostawić ślad, dochować należytej staranności, aby móc udowodnić, że miał do czynienia faktycznie z konkretną osobą fizyczną.

Czy jeśli instytucja obowiązana nie wypełni wymienionych obowiązków czeka ją jakaś konsekwencja?

Wspomniane obowiązki, nałożone na instytucje obowiązane w ustawie AML/CFT, są obligatoryjne do wypełnienia. Jeżeli instytucja obowiązana ich nie wypełni, wówczas zgodnie z art. 147 ustawy AML/CFT może na nią zostać nałożona kara administracyjna, w tym kara pieniężna.

Podsumowując niniejszy artykuł należy zaznaczyć, iż skanowanie dowodu przez bank, wykonywanie kopii różnych dokumentów tożsamości przez instytucje obowiązane, jest dla nich dozwolone, ponieważ muszą one wykazać, że znają swoich klientów, a klienci ci nie piorą pieniędzy, ani nie finansują terroryzmu.

Jednakże cytowany wcześniej art. 34 ust. 4 ustawy AML/CFT pozwala na wykonywanie ksero dokumentów tożsamości, ale nie zmusza do tego.

Właśnie dlatego wiele instytucji obowiązanych nie wykonuje kopii dokumentów tożsamości, a obowiązki w tym zakresie wskazane w ustawie AML/CFT realizują w inny sposób, np. za pomocą wideoweryfikacji czy z wykorzystaniem dokumentu mObywatel jako środka bezpieczeństwa finansowego do identyfikacji klienta oraz weryfikacji jego tożsamości (zgodnie z art. 83 ustawy z dnia 26 maja 2023 r. o aplikacji mObywatel).

1. https://isap.sejm.gov.pl/isap.nsf/download.xsp/WDU20250000644/O/D20250644.pdf
2. https://isap.sejm.gov.pl/isap.nsf/download.xsp/WDU20230001234/U/D20231234Lj.pdf