Ogólne rozporządzenie o ochronie danych (RODO) nie wprowadza zakazu wykonywania ksero czy skanu dokumentu tożsamości, które stanowi technikę utrwalania danych. Z punktu widzenia ochrony praw i wolności osób, których dane dotyczą, istotne jest żeby podmioty, w tym banki, zbierając dane osobowe, spełniały wynikający z RODO wymóg minimalizacji danych rozumiany jako zakaz zbierania danych nadmiarowych (zbędnych) w stosunku do celu, w jakim dane osobowe mają być przetwarzane. Takimi danymi w znakomitej większości przypadków będą znajdujące się na dokumencie tożsamości PESEL, data i miejsce urodzenia, płeć, wiek czy wizerunek. Przetwarzanie każdej z tych danych wymaga istnienia podstawy prawnej ku temu oraz niezbędności dla realizacji określonego celu, dla którego są zbierane.

Dla zapewnienia realnego i skutecznego systemu ochrony danych oraz praw i wolności osób znaczenie ma uwzględnianie ochrony danych w fazie projektowania (privacy by design) – a więc na etapie planowania/określania sposobów przetwarzania a nie dopiero na etapie stosowania procesów przetwarzania – oraz realizowanie domyślnej ochrony danych (privacy by default) zakładającej, aby domyślny zakres przetwarzania danych osobowych był niejako z góry ograniczony do danych niezbędnych dla wyznaczonych celów przetwarzania. Pomóc w tym może wprowadzenie w biznesie odpowiednich mechanizmów, polityk, procedur i narzędzi.

Prezes Urzędu Ochrony Danych Osobowych zajął stanowisko w sprawie wykonywania ksero i skanu dowodów osobistych klientów przez banki, krytykując powszechność stosowania takiej praktyki. Jego zdaniem przepisy prawa bankowego nie pozwalają bankom na wykonywanie ksera czy skanu dowodu osobistego m.in. w celu założenia konta bankowego czy zbadania zdolności kredytowej klienta, dla którego wystarczające powinno być spisanie danych z dowodu tożsamości.
Źródło: https://uodo.gov.pl/pl/138/1182