Skanowanie dowodu osobistego w Polsce jest regulowane przepisami RODO oraz ustawą o dokumentach publicznych. Co do zasady, podmioty prywatne nie mają prawa skanować ani kserować dowodu osobistego bez wyraźnej podstawy prawnej. Wyjątki dotyczą instytucji finansowych, które mogą to robić zgodnie z przepisami o przeciwdziałaniu praniu pieniędzy. Naruszenie tych zasad grozi karami administracyjnymi.
Sporo ludzi spotkało się z sytuacją, w której pracownik firmy – hotelu, wypożyczalni samochodów czy biura usług finansowych – prosi o możliwość skopiowania lub zeskanowania dowodu osobistego. Na pierwszy rzut oka wygląda to jak rutynowa procedura, jednak z perspektywy prawa ochrony danych osobowych sprawa jest bardziej złożona. Dowód osobisty zawiera szeroki zakres danych (imię, nazwisko, numer PESEL, seria i numer dokumentu)ich przetwarzanie w formie kopii niesie ze sobą poważne konsekwencje prawne podobnie jak dla firmy, jak i dla osoby, której dokument dotyczy.
Skanowanie dowodu osobistego a RODO – co mówią przepisy?
RODO (Rozporządzenie o Ochronie Danych Osobowych) nie zakazuje wprost wykonywania kopii dokumentów tożsamości, jednak nakłada na administratorów danych obowiązek posiadania ważnej podstawy prawnej do takiego działania. Firma musi wskazać konkretną przesłankę z art. 6 RODO – najczęściej jest to wypełnienie obowiązku prawnego lub uzasadniony interes administratora. Czy każde skanowanie dowodu osobistego jest więc legalne? Niekoniecznie. Prezes Urzędu Ochrony Danych Osobowych (PUODO) wielokrotnie wskazywał, że kopiowanie dokumentów tożsamości bez wyraźnej podstawy prawnej stanowi naruszenie zasady minimalizacji danych. Znaczy to, że firma nie może zbierać więcej informacji niż faktycznie potrzebuje do realizacji konkretnej usługi. Przykładowo, hotel weryfikujący tożsamość gościa może odnotować potrzebne dane, ale nie musi (i często nie powinien) zatrzymywać fizycznej kopii dokumentu. Wyjątkiem są podmioty, które mają ustawowy obowiązek archiwizowania takich kopii – jak instytucje finansowe działające na podstawie ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu (AML).
Kiedy firma ma prawo, a kiedy przekracza granicę?
Powodów, dla których przetwarzanie kopii dokumentu może być kwestionowane, jest parę:
- Brak wyraźnej podstawy prawnej nakazującej przechowywanie kopii (a weryfikację tożsamości)
- Zatrzymanie dokumentu dłużej niż wynika to z celu, w którym dane zostały zebrane
- Udostępnianie kopii osobom nieuprawnionym lub przechowywanie ich w sposób niezabezpieczony
Co ważne, „zgoda” klienta wyrażona pod presją (np. „bez tego nie wykonamy usługi”) może być uznana za nieważną w rozumieniu RODO, ponieważ musi być dobrowolna, świadoma i jednoznaczna. Osoba, której dane dotyczą, ma prawo zapytać firmę, na jakiej podstawie prawnej skanuje jej dokument – i powinna otrzymać konkretną, wyczerpującą odpowiedź. Jeśli firma nie potrafi jej udzielićistnieje realna podstawa do złożenia skargi do PUODO. Można też wiedzieć, że numer PESEL widniejący w dowodzie osobistym traktowany jest jako dana szczególnie wrażliwa w kontekście ryzyka kradzieży tożsamości, co też podnosi poziom odpowiedzialności po stronie administratora danych.
Sporo firm, hoteli, wypożyczalni czy instytucji finansowych prosi klientów o okazanie lub pozostawienie kopii dowodu osobistego. Sporo ludzi zastanawia się, czy takie działanie jest zgodne z prawem. Skanowanie dowodu osobistego to temat, który budzi uzasadnione wątpliwości – szczególnie w kontekście obowiązujących przepisów RODO i krajowych regulacji dotyczących ochrony danych osobowych.
Kiedy skanowanie dowodu osobistego narusza prawo?
Zgodnie z rozporządzeniem RODO, każde przetwarzanie danych osobowych musi mieć konkretną, prawnie uzasadnioną podstawę. Dowód osobisty zawiera szczególnie wrażliwe informacje – numer PESEL, datę urodzenia, adres zamieszkania, a w nowszych wersjach dokumentu także numer CAN. Polska ustawa o dowodach osobistych z 2010 roku (z późniejszymi zmianami) wprost zakazuje żądania od obywatela, aby pozostawiał dokument tożsamości jako zastaw lub kaucję. Także, od 2021 roku obowiązuje art. 112b ustawy o ewidencji ludności, który wyraźnie zakazuje nieuprawnionym podmiotom pobierania i przetwarzania danych zawartych w dokumencie tożsamości bez wyraźnej podstawy prawnej. Znaczy to, że hotel nie może zatrzymywać kserokopii dowodu jako zabezpieczenia rezerwacji, a wypożyczalnia samochodów nie ma prawa skanować dokumentu „na wszelki wypadek”.
Jakie podmioty mogą legalnie przetwarzać dane z dokumentu tożsamości?
Nie każde skanowanie jest nielegalne. Prawo wyraźnie wskazuje zamknięty katalog podmiotów uprawnionych do weryfikacji tożsamości na podstawie dokumentu. Należą do nich m.in. banki i instytucje kredytowe działające na podstawie prawa bankowego, notariusze weryfikujący tożsamość stron czynności prawnych, operatorzy telekomomijacyjni w zakresie wymaganym przepisami sektorowymi, a także organy administracji publicznej. Zasada minimalizacji danych wynikająca z art. 5 ust. 1 lit. c RODO nakłada na każdy podmiot obowiązek zbierania wyłącznie tych informacji, które są potrzebne do realizacji konkretnego celu. Znaczy to, że nawet uprawniony podmiot nie może skanować całego dokumentu, jeśli wystarczy np. jedynie potwierdzenie wieku lub imienia i nazwiska.
Powinniśmy wiedzieć, że Urząd Ochrony Danych Osobowych (UODO) wielokrotnie nakładał kary na przedsiębiorców, którzy gromadzili kopie dokumentów tożsamości bez właściwej podstawy prawnej. Jeden z głośnych przypadków dotyczył sieci hotelowej, która przechowywała skany dokumentów gości przez wiele miesięcy po zakończeniu pobytu – wbrew zasadzie ograniczenia przechowywania danych. Jeżeli firma prosi o skan dowodu, a nie masz pewności co do jej uprawnień, masz pełne prawo odmówić. Możesz poprosić o wskazanie konkretnego przepisu prawa, który upoważnia dany podmiot do pobrania tej kopii. Brak odpowiedzi lub powołanie się na „wewnętrzne procedury” to sygnał, że żądanie jest bezprawne.
Sporo ludzi zastanawia się, czy firma, sklep internetowy lub instytucja finansowa mają prawo żądać okazania lub przekazania kopii dokumentu tożsamości. Odpowiedź nie jest prosta, bo zależy od kontekstu i podstawy prawnej. Kopiowanie dowodu osobistego przez podmioty prywatne jest w Polsce regulowane przepisami RODO oraz ustawą o dowodach osobistych.
Kiedy firma może żądać kopii dowodu osobistego?
Żądanie kopii dokumentu tożsamości jest dopuszczalne wyłącznie wtedy, gdy istnieje konkretna podstawa prawna lub uzasadniony cel przetwarzania danych. Banki, firmy pożyczkowe czy operatorzy telekomomijacyjni mogą tego wymagać na mocy przepisów szczególnych, np. ustawy o przeciwdziałaniu praniu pieniędzy (AML). Sklep internetowy, który chce „zweryfikować tożsamość”, zazwyczaj nie ma do tego prawa. Dane z dowodu osobistego, takie jak PESEL, seria i numer dokumentu, należą do kategorii danych wrażliwych i ich zbieranie wymaga jednoznacznego uzasadnienia. Urząd Ochrony Danych Osobowych (UODO) wielokrotnie wskazywał, że samo twierdzenie o potrzebie weryfikacji to za mało. Co ważne, nawet jeśli firma ma prawo do weryfikacji tożsamości, nie zawsze znaczy to prawo do sporządzenia fizycznej kopii dokumentu.
Jak efektywnie chronić swoje dane osobowe?
Obywatel ma realne narzędzia, by bronić się przed nieuprawnionym przetwarzaniem swoich danych. Powodów, dla których można znać swoje prawa, jest co najmniej pięć:
- Możesz żądać od firmy wskazania konkretnej podstawy prawnej zbierania kopii dokumentu.
- Masz prawo odmówić przekazania kopii, jeśli nie istnieje przepis prawa nakładający taki obowiązek.
- Możesz złożyć skargę do UODO, jeśli podejrzewasz nielegalne przetwarzanie danych.
- Dla wycieku danych masz prawo do odszkodowania na podstawie art. 82 RODO.
- Możesz zażądać usunięcia lub ograniczenia przetwarzania swoich danych w każdej chwili.
Co wpisać na kopii dokumentu, by ograniczyć ryzyko?
Jeśli mimo wszystko musisz przekazać kopię dowodu osobistego, można ją odpowiednio zabezpieczyć. Praktycznym rozwiązaniem jest naniesienie na kopię adnotacji, np. „kopia do celów [nazwa firmy], data [dzień przekazania], zakaz dalszego kopiowania”. Takie działanie nie jest wymagane prawem, ale utrudnia ewentualne nieuprawione wykorzystanie dokumentu. Prawo do ochrony danych osobowych nie jest abstrakcyjnym przywilejem – to konkretne uprawnienie, z którego można korzystać świadomie i stanowczo.
Skan dowodu osobistego to jeden z najczęściej wymaganych dokumentów przy zawieraniu umów online, wynajmie mieszkania czy weryfikacji tożsamości w serwisach finansowych.
Jak bezpiecznie udostępnić skan dowodu osobistego i nie paść ofiarą oszustwa?
Zanim wyślesz zdjęcie dokumentu, sprawdź, czy podmiot, który go żąda, ma do tego podstawę prawną. Bankiinstytucje pożyczkowe i operatorzy telekomomijacyjni są uprawnieni do weryfikacji tożsamości klientów, jednak losowy sprzedawca na portalu ogłoszeniowym już nie. Zgodnie z przepisami RODO każda firma musi wskazać cel przetwarzania danych osobowych i podstawę prawną tego działania. Jeśli tej informacji brakuje lub jest niejasna, to wyraźny sygnał ostrzegawczy.
Gdy już potwierdzisz, że udostępnienie dokumentu jest uzasadnione, zadbaj o odpowiednie zabezpieczenie skanu. Naniesienie znaku wodnego prosto na kopię dowodu osobistego mocno utrudnia jej nieuprawnione wykorzystanie. Wpisz na dokumencie cel udostępnienia, nazwę firmy i datę, np. „Do celów weryfikacji w XYZ Sp. z o.o. – 12.06.2025″. Nawet jeśli taki plik wycieknie, będzie bezużyteczny dla osoby próbującej otworzyć konto w innym serwisie. Część aplikacji mobilnych, jak np. mObywatel, umożliwia wygenerowanie tymczasowego potwierdzenia tożsamości bez wymogu ujawniania pełnych danych z dokumentu.
Co zrobić, gdy Twoje dane osobowe trafią w niepowołane ręce?
Kradzież tożsamości na podstawie skanu dowodu osobistego polega najczęściej na wyłudzeniu kredytu, założeniu konta bankowego lub podpisaniu umowy abonamentowej. Działaj natychmiast po podejrzeniu wycieku. Złóż zastrzeżenie numeru PESEL w systemie Ministerstwa Cyfryzacji lub przez aplikację mObywatel – to blokuje możliwość zaciągnięcia zobowiązań finansowych na Twoje dane bez Twojej wiedzy. Zgłoś sprawę na Policję i do Urzędu Ochrony Danych Osobowych. Zastrzeżenie dokumentu w systemie dokumenty.gov.pl uniemożliwia jego użycie do celów finansowych i prawnych. Można też powiadomić BIK i założyć alert, który będzie informował o każdej próbie sprawdzenia Twojej historii kredytowej.
Przesyłając skan dokumentu, wybieraj wyłącznie szyfrowane kanały komomijacji. Zwykły e-mail bez szyfrowania end-to-end to ryzykowna forma wymiany wrażliwych danych. Lepszym rozwiązaniem są platformy z protokołem TLS lub dedykowane systemy do bezpiecznej wymiany dokumentów, stosowane m.in. przez kancelarie prawne i banki. Nie dla wysyłania kopii dokumentu przez komomijatory, które nie zapewniają szyfrowania wiadomości. Po zakończeniu procesu weryfikacji możesz pisemnie zażądać od firmy usunięcia Twoich danych zgodnie z art. 17 RODO, czyli tzw. prawem do bycia zapomnianym.
