W kontekście licznych wyłudzeń i oszustw w internecie coraz częściej zwraca się uwagę na poprawne zabezpieczenie własnych danych osobowych. Szczególnie wrażliwe są informacje z dowodu osobistego. Jego skanu nie powinno się przekazywać wszystkim firmom, które nas o to proszą. Wyjaśniamy, jakie instytucje mogą tego wymagać i w jakim celu to robią.
W ostatnich latach wzrosła świadomość obywateli odnośnie skanowania dokumentów zawierających wrażliwe dane osobowe. Jeszcze kilka lat temu na taką prośbę większość osób ochoczo się godziła, nie zdając sobie sprawy z możliwych konsekwencji w przypadku wycieku takiego skanu.
Dziś przynajmniej część z nas jest poinformowana w tym zakresie i poddaje pod wątpliwość konieczność przesłania skanu dokumentu tożsamości. Nie zawsze jednak robi to słusznie. Kto tak właściwie może od nas wymagać przesłania skanu dokumentu zawierającego nasze dane osobowe?
Kto może żądać od nas skanu dokumentu?
Podmiotami uprawnionymi, które będą od nas wymagać skanu dokumentu tożsamości, są między innymi banki i inne instytucje, które muszą dostosować się do Ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu.
Mowa o instytucjach płatniczych, instytucjach pieniądza elektronicznego, pośrednikach kredytowych, firmach i funduszach inwestycyjnych, zakładach ubezpieczeń (i ich pośrednikach), instytucjach pożyczkowych, firmach prowadzących działalność w zakresie gier losowych, zakładów wzajemnych, gier w karty, gier na automatach, agentach rozliczeniowych itp. Mając na uwadze powyższe, ustawą jest także objęty portal finansowy Cinkciarz.pl.
Na wymienionych w ustawie instytucjach ciąży obowiązek weryfikacji klientów, wynikający z zastosowania odpowiednich środków bezpieczeństwa, pozwalających rozpoznać ewentualne ryzyko prania pieniędzy.
Artykuł 37. Ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu wskazuje, że „weryfikacja tożsamości klienta, osoby upoważnionej do działania w jego imieniu oraz beneficjenta rzeczywistego polega na potwierdzeniu ustalonych danych identyfikacyjnych na podstawie dokumentu stwierdzającego tożsamość osoby fizycznej, dokumentu zawierającego aktualne dane z wyciągu z właściwego rejestru lub innych dokumentów, danych lub informacji pochodzących z wiarygodnego i niezależnego źródła”.
Jeżeli klient nie stawi się w oddziale firmy osobiście (czyli np. chce skorzystać z usług banku przez internet), może zostać poproszony o przesłanie skanu dokumentów potwierdzających jego tożsamość. Instytucje obowiązane muszą weryfikować tożsamość klientów na podstawie przynajmniej dwóch różnych dokumentów, danych lub informacji. W przypadku osób prawnych (np. jednoosobowej działalności gospodarczej, spółki itp.) wymagany jest ponadto dokument zawierający aktualne dane wyciągu z odpowiedniego rejestru.
Co więcej, wspomniana ustawa zakłada również, że instytucje obowiązane mogą kopiować i archiwizować dokumenty tożsamości. Mówi o tym art. 34, ust. 4: „Instytucje obowiązane na potrzeby stosowania środków bezpieczeństwa finansowego mogą przetwarzać informacje zawarte w dokumentach tożsamości klienta i osoby upoważnionej do działania w jego imieniu oraz sporządzać ich kopie”.
Chcąc skorzystać z usług takich firm i instytucji, jesteśmy zatem zobligowani do przedstawienia osobiście lub przesłania skanu swojego dokumentu tożsamości. Warto jednak upewnić się, że robimy to w bezpieczny sposób.
Dobrą praktyką, stosowaną przez wiele instytucji, jest udostępnienie specjalnie zabezpieczonego formularza, za pomocą którego można przesłać skan dowodu. Niezabezpieczoną i nie polecaną formą jest natomiast wysłanie skanu w załączniku wiadomości e-mail, gdyż może zostać odczytany przed niepowołane osoby. Ponadto wiadomości e-mail mogą być źle archiwizowane, co generuje ryzyko wycieku danych.
Decydując się na przesłanie skanu swojego dokumentu tożsamości, możemy również zadbać o jego formę. Dobrą praktyką jest zamazanie w programie graficznym informacji, które danej firmie nie są potrzebne do weryfikacji (np. zdjęcie lub podpis).
Skutecznym zabezpieczeniem jest również zastosowanie znaku wodnego, który naniesiemy na skan. Warto w nim zawrzeć informacje o tym, kiedy, jakiej instytucji i w jakim celu przekazaliśmy skan dokumentu. Alternatywnie na kserokopii można zawrzeć ręcznie dodaną adnotację. Dzięki temu nie powinna ona zostać wykorzystana przez inną firmę i w innym celu.
Komu nie powinniśmy udostępniać skanu dokumentu tożsamości?
Warto pamiętać, że skanować lub kserować nasz dowód osobisty mogą instytucje wymienione powyżej. Oczywiście inne urzędy czy firmy, w których zawieramy umowę, mogą nas poprosić o wgląd do dokumentu tożsamości, by potwierdzić nasze dane, ale nie powinny go kopiować. Klienci powinni stanowczo odmawiać przeprowadzenia takiej czynności ze względu na związane z tym niebezpieczeństwa – wycieku danych czy np. kradzieży tożsamości.
W związku z tym nie powinniśmy się godzić na skanowanie dowodów osobistych w hotelach czy wszelkiego rodzaju wypożyczalniach sprzętu, gdzie takie praktyki są stosunkowo częste. Nie mamy bowiem pewności, w jaki sposób wykonany skan będzie przechowywany, a pozyskane w ten sposób dane przetwarzane. Zamiast tego można poprosić o przepisanie wymaganych danych z dokumentu.
Nielegalne jest również przekazywanie dowodu osobistego i innych dokumentów tożsamości pod zastaw, np. na czas wypożyczenia sprzętu. Jeżeli ktoś tego od nas wymaga, powinniśmy zwrócić mu uwagę, że jest to niezgodne z obowiązującym prawem. Jest to uregulowane przez ustawę z dnia 6 sierpnia 2010 r. o dowodach osobistych, z której dowiadujemy się, że takie działanie jest traktowane jako wykroczenie zagrożone karą grzywny lub ograniczenia wolności. Za wypożyczony sprzęt zdecydowanie bezpieczniej jest zostawić kaucję pieniężną o określonej kwocie.
Jeżeli ktoś wymaga od nas pozostawienia dokumentu tożsamości (np. pod zastaw), fakt ten możemy zgłosić do organów ścigania.
Czym może grozić wyciek danych?
Nieuważne udostępnianie skanu dowodu niewłaściwym instytucjom czy wręcz pozostawianie bez opieki oryginalnego dokumentu może mieć poważne konsekwencje. Nasze dane mogą dostać się w niepowołane ręce i np. zostać użyte do zaciągnięcia kredytu gotówkowego na naszą osobę.
To tylko początek kłopotów. Informacje mogą również zostać wykorzystane do założenia fałszywych kont na portalach społecznościowych – w takim przypadku ktoś będzie mógł się pod nas podszywać. Wśród oszustw związanych z wyciekiem danych popularne są również wyłudzenia drogich telefonów w ramach umów z operatorami telekomunikacyjnymi, sprzedaży nieistniejących przedmiotów w serwisach aukcyjnych czy wypożyczania kosztownych sprzętów (np. luksusowych samochodów).
Nieco bardziej sprytni oszuści mogą nawet założyć rachunek w banku na nasze dane. Jak to możliwe? To znany proceder rozpoczynający się od opublikowania np. ogłoszenia o pracę, w którego treści proszeni jesteśmy o przesłanie skanu dokumentu tożsamości. Następnie wysyłana jest do nas prośba o przelew na określoną kwotę. Pieniądze rzekomo mają posłużyć na pokrycie kosztów rekrutacji.
W rzeczywistości w ten właśnie sposób oszuści zakładają na nasze dane rachunek bankowy – bez naszej wiedzy i świadomości. Wiele banków jako formę weryfikacji (oprócz danych z dowodu) stosuje przelew na określoną kwotę, o który zostaliśmy poproszeni w procesie fałszywej rekrutacji.
Takich przykładów można mnożyć bez końca – kreatywność oszustów nie zna granic. Aby się przed nimi ustrzec, warto pamiętać, które instytucje mogą nas prosić o skan dokumentu tożsamości i przestrzegać tych zasad.
Co zrobić w przypadku, gdy mamy podejrzenie wycieku danych z naszego dokumentu tożsamości? Należy jak najprędzej go zastrzec. Czynność tę można wykonać w banku. Warto pamiętać, że samo zgłoszenie zagubienia dokumentu w odpowiednim urzędzie nie jest tożsame z jego zastrzeżeniem.
Przeciwdziałanie praniu pieniędzy
Wspomniane wcześniej instytucje obowiązane są zobligowane do aktywnego przeciwdziałania praniu brudnych pieniędzy. Podstawowym elementem jest poznanie klienta i ocena związanego z nim ryzyka. Właśnie z tego względu mogą prosić o przesłanie skanu dokumentu tożsamości.
To jednak nie wszystkie związane z tym czynności. Przykładowo Cinkciarz.pl weryfikuje też dane na listach sankcyjnych i ustala status PEP (ang. Politically Exposed Persons, osoba zajmująca eksponowane stanowisko polityczne) klienta.
Ponadto portal monitoruje wszystkie wykonywane w jego ramach transakcje. W przypadku jakichkolwiek wątpliwości lub podejrzeń co do charakteru zleconej transakcji, jej realizacja jest wstrzymywana do momentu wyjaśnienia, czego dokładnie dotyczy.
Rejestrowane są też wszystkie transakcje powyżej 15 tys. euro (lub równowartości w innej walucie), a także te, które są podejrzane o pranie pieniędzy (niezależnie od kwoty).
Portal zapisuje też transakcje powiązane, czyli te, których wysokość jest mniejsza niż 15 tys. euro, ale ich charakter może wskazywać, że są one ze sobą powiązane i zostały podzielone na mniejsze w celu uniknięcia rejestracji. Dane zarejestrowanych transakcji są przekazywane do Generalnego Inspektora Informacji Finansowej.
Instytucje finansowe są też zobowiązane do informowania organów ścigania o podejrzeniu popełnienia przestępstwa prania brudnych pieniędzy. Ponadto zgłaszane są oszustwa i wyłudzenia wartości majątkowych, w wyniku których klienci padli ofiarą przestępców.