Generalny Inspektor Ochrony Danych Osobowych wskazuje, że ustawa o ochronie danych osobowych określa ogólne zasady przetwarzania i ochrony danych osobowych, zaś ich skonkretyzowanie ma miejsce w szczególnych wobec jej uregulowań przepisach prawa. W sytuacji, gdy określone zagadnienia są przedmiotem regulacji innych aktów prawnych, należy się dowołać także do nich (art. 23 ust. 1 pkt 2 oraz art. 27 ust. 2 pkt 2 ustawy o ochronie danych osobowych). Jeżeli zatem inne, szczególne przepisy prawa, przyznają konkretnemu podmiotowi uprawnienie do przetwarzania danych osobowych w zakresie m.in. numeru PESEL, ustawa o ochronie danych osobowych, co do zasady, nie stoi temu na przeszkodzie.

Generalny Inspektor podniósł, że kwestie dotyczące realizacji płatności internetowych z użyciem kart kredytowych należałoby rozpatrywać m.in. na gruncie przepisów ustawy z dnia 16 listopada 2000 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (t.j. Dz. U. z 2010 r. Nr 46, poz. 276 z późn. zm.) oraz ustawy z dnia 12 września 2002 r. o elektronicznych instrumentach płatniczych (Dz. U. Nr 169, poz. 1385 z późn. zm.).

W myśl art. 8b ust. 1 i 3 pkt 1 pierwszego z przywołanych aktów prawnych, instytucje obowiązane (do których należą m.in. instytucje pieniądza elektronicznego, oddziały zagranicznych instytucji pieniądza elektronicznego oraz agenci rozliczeniowi prowadzący działalność na podstawie ustawy o elektronicznych instrumentach płatniczych) stosują wobec swoich klientów środki bezpieczeństwa finansowego. Zakres stosowania jest określany na podstawie oceny ryzyka prania pieniędzy i finansowania terroryzmu, dokonanej  w wyniku analizy, z uwzględnieniem w szczególności rodzaju klienta, stosunków gospodarczych, produktów lub transakcji.

Środki bezpieczeństwa finansowego, o których mowa w ust. 1, polegają na identyfikacji klienta i weryfikacji jego tożsamości na podstawie dokumentów lub informacji publicznie dostępnych (art. 8b ust. 3 pkt 1). Identyfikacja, o której mowa w art. 8b ust. 3 pkt 1, obejmuje zaś – w przypadku osób fizycznych i ich przedstawicieli – ustalenie i zapisanie cech dokumentu  stwierdzającego na podstawie odrębnych przepisów tożsamość osoby, a także imienia, nazwiska,  obywatelstwa oraz adresu osoby dokonującej transakcji, a ponadto numeru PESEL lub daty urodzenia w przypadku osoby nieposiadającej numeru PESEL, lub numeru dokumentu stwierdzającego tożsamość cudzoziemca, lub kodu kraju w przypadku przedstawienia paszportu (art. 9 ust. 1 pkt 1 ustawy).

Jak zauważył Generalny Inspektor, z punktu widzenia przepisów o ochronie danych osobowych istotne pozostaje, aby przetwarzane dane osobowe były adekwatne w stosunku do celu ich  przetwarzania (art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych). Równowaga będzie zachowana, jeżeli administrator zażąda danych tylko w takim zakresie, w jakim jest to niezbędne do  wypełnienia celu, w jakim dane są przez niego przetwarzane (wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 1 grudnia 2005 r. o sygn. akt II SA/Wa 917/2005). Generalny Inspektor podkreślił, że jeżeli celem przetwarzania danych (ich pozyskiwania) jest np. identyfikacja  konkretnej osoby, z punktu widzenia przepisów o ochronie danych osobowych dopuszczalnym pozostaje pozyskiwanie takiego zakresu danych, jaki będzie wystarczający do dokonania bezbłędnej identyfikacji osoby – w tym przypadku – klienta, umożliwiającej w konsekwencji prawidłowe  wykonywanie przepisów innych ustaw – w tym przypadku ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu.

Źródło: "Sprawozdaniu z działalności GIODO w 2012 roku", GIODO, 2013