RODO w wypożyczalni — czy mogę skanować dowód osobisty klienta?

W marcu 2026 prezes UODO ukarał wypożyczalnię w Krakowie grzywną 32 000 zł. Powód: skanowali dowody osobiste każdego klienta i przechowywali skany przez 5 lat "na wszelki wypadek".Wypożyczalnia argumentowała, że to standard branżowy, że "wszyscy tak robią" i że bez tego nie mają jak weryfikować klientów. UODO odpowiedział krótko: standard branżowy nie zwalnia z RODO, a alternatywne metody weryfikacji są dostępne i wystarczające.To nie był pierwszy taki przypadek. W ostatnich dwóch latach UODO ukarał kilkanaście firm — głównie wypożyczalnie samochodów, ale też sprzętu i mieszkań — za nadmiarowe przetwarzanie danych z dowodów. Wypożyczalnia narzędzi to teraz tylko kwestia czasu.Poniżej zebrałem najczęściej zadawane pytania właścicieli wypożyczalni o RODO i skanowanie dowodów. Każda odpowiedź zaczyna się od konkretu — bez "to zależy", bez prawniczego owijania.## Czy mogę skanować dowód osobisty klienta?Co do zasady — nie. Możesz poprosić o pokazanie dowodu i spisać niezbędne dane, ale nie powinieneś tworzyć ani przechowywać kopii.RODO opiera się na zasadzie minimalizacji danych (art. 5 ust. 1 lit. c). Możesz przetwarzać tylko te dane, które są niezbędne dla konkretnego celu. Skan dowodu zawiera dziesięć kategorii danych — imię, nazwisko, PESEL, numer dokumentu, data ważności, miejsce urodzenia, wzór podpisu, zdjęcie biometryczne, MRZ, numer CAN. Do wynajęcia szlifierki kątowej potrzebujesz najwyżej trzech.UODO konsekwentnie stoi na stanowisku, że dla wypożyczalni — w odróżnieniu od banków czy notariuszy — nie ma podstawy prawnej do gromadzenia kopii dokumentów tożsamości. Jest to uzasadnione tylko, jeśli:- Wymaga tego konkretny przepis prawa (np. AML w sektorze finansowym)- Klient wyraził świadomą, wyraźną i swobodną zgodę- Przetwarzanie jest niezbędne do wykonania umowy i nie da się tego osiągnąć w mniej inwazyjny sposóbOstatni warunek to klucz: skoro można zweryfikować klienta bez skanu (a można), to skan nie jest "niezbędny".## Jakich danych klienta naprawdę potrzebuję?Do typowej umowy wynajmu sprzętu potrzebujesz:- Imię i nazwisko — strona umowy- Numer dokumentu tożsamości (sam numer, nie cały dowód)- Adres zamieszkania — do korespondencji w razie sporu- Numer telefonu — kontakt w trakcie wynajmu- Email — wysyłka faktury i protokołówPESEL? Tylko jeśli wystawiasz fakturę osobie fizycznej (nieprowadzącej działalności) — wtedy zgodnie z ustawą o VAT możesz go zażądać. W innych przypadkach nie potrzebujesz.Data urodzenia? Nie potrzebujesz. Nawet jeśli weryfikujesz pełnoletność — wystarczy oświadczenie klienta i porównanie ze zdjęciem na dowodzie, bez kopiowania.Miejsce urodzenia, imiona rodziców, MRZ, numer CAN? Nigdy. To dane, których wypożyczalnia nie ma prawa zbierać niezależnie od kontekstu.## Jak weryfikować tożsamość bez skanowania?Procedura, która spełnia RODO i daje praktyczne pokrycie:Krok 1. Klient pokazuje dowód osobisty.Krok 2. Pracownik wzrokowo porównuje zdjęcie z osobą i sprawdza, czy dowód nie jest nieważny.Krok 3. Pracownik przepisuje do systemu lub umowy: imię, nazwisko, numer dokumentu, adres.Krok 4. Klient podpisuje umowę z wpisanymi danymi — to jego potwierdzenie zgodności.Tyle. Nie skanujesz, nie kopiujesz, nie fotografujesz. Dane masz, pokrycie prawne masz, RODO zachowane.Jeśli klient odmówi pokazania dowodu — masz prawo odmówić zawarcia umowy. To nie jest dyskryminacja, to weryfikacja strony umowy. Ale odmowa pokazania to nie to samo, co odmowa skanowania. Klient ma prawo odmówić skanu i nadal masz obowiązek go obsłużyć.## Czy klient może wyrazić zgodę na skan?Może, ale to słaba podstawa prawna i w praktyce się nie sprawdza. Po RODO zgoda musi być:- Świadoma — klient wie, co podpisuje- Wyraźna — checkbox "akceptuję regulamin" nie wystarczy- Swobodna — klient nie odczuwa presji- Odwołalna — w każdej chwili może ją cofnąćJeśli zgoda jest warunkiem wynajmu ("nie zeskanujesz dowodu = nie wypożyczam"), nie jest swobodna. Jeśli klient ją cofnie po miesiącu — musisz usunąć skan ze swoich systemów. Jeśli jeden klient z tysiąca zgłosi sprawę do UODO — masz audyt całej bazy.W praktyce branżowej zgoda nie ratuje. UODO traktuje ją jako próbę obejścia zasady minimalizacji.## Jak długo mogę przechowywać dane klienta?Tak długo, jak istnieje cel ich przetwarzania — i ani dnia dłużej.Cele i terminy:- Wykonanie umowy — przez czas umowy (typowo 1-30 dni)- Rozliczenia podatkowe i księgowe — 5 lat od końca roku, w którym wystawiono fakturę- Dochodzenie roszczeń — do końca okresu przedawnienia (typowo 3 lata dla działalności gospodarczej)Po tym terminie dane musisz usunąć — nie zarchiwizować, nie zaszyfrować, nie schować w innym katalogu. Skasować.W praktyce: 5 lat to typowy maksymalny okres dla większości danych klienta wypożyczalni. Po 5 latach — usuwasz albo anonimizujesz.## Co z monitoringiem i nagrywaniem rozmów?Monitoring wewnętrzny wypożyczalni jest dozwolony, ale tylko jako środek bezpieczeństwa mienia. Musisz:- Oznaczyć obszar — tabliczki "obiekt monitorowany" w widocznych miejscach- Mieć politykę — kto ma dostęp do nagrań, jak długo są przechowywane- Uzasadnić cel — bezpieczeństwo, nie "obserwacja klientów"- Usuwać po 30 dniach — chyba że nagranie dokumentuje incydentNagrywanie rozmów telefonicznych z klientami wymaga uprzedzenia klienta ("rozmowa może być nagrywana w celach jakościowych") i jego dorozumianej zgody (kontynuowanie rozmowy = zgoda). Bez tego — łamiesz prawo nawet, jeśli "zawsze tak robiłeś".## Klient zaginął ze sprzętem — czy mogę pokazać jego dane policji?Tak, i to jest jedyna sytuacja, w której dane klienta wypożyczalnia może swobodnie udostępnić.Policja działa na podstawie ustawy o policji i ustawy o postępowaniu karnym, które stanowią podstawę prawną w rozumieniu RODO (art. 6 ust. 1 lit. c). Jeśli funkcjonariusz przedstawia legitymację i pisemne wezwanie (lub w trybie pilnym — ustne, w obecności prokuratora), masz obowiązek udostępnić dane.Co dać policji? Wszystko, co masz — imię, nazwisko, PESEL (jeśli zebrałeś), adres, numer dowodu, dane kontaktowe, historię wynajmu. Nie potrzebujesz zgody klienta. Nie potrzebujesz szczególnej procedury. Po prostu przekaż.Pamiętaj, że żądanie ustne bez nakazu też jest dopuszczalne w pilnych sprawach kryminalnych. Ale poproś o pisemne potwierdzenie po fakcie — w Twoich aktach.## Jak udokumentować zgodność z RODO bez prawnika?Minimalna dokumentacja, którą każda wypożyczalnia powinna mieć:1. Klauzula informacyjna RODO — jednostronicowy dokument dla klienta, który podpisuje przy pierwszej umowie. Musi zawierać: kim jesteś jako administrator, jakie dane zbierasz, w jakim celu, jak długo przechowujesz, jakie ma prawa.2. Polityka przetwarzania danych — wewnętrzny dokument, który opisuje twoje procedury. Kto ma dostęp do danych, jak są zabezpieczone, co robicie w razie naruszenia.3. Rejestr czynności przetwarzania — wymagany od firm zatrudniających pracowników. Lista wszystkich procesów, w których przetwarzasz dane (rejestracja klienta, fakturowanie, marketing).4. Procedura naruszeń — co robić, gdy ktoś włamie się do bazy klientów albo pracownik zgubi laptopa z danymi. Masz 72 godziny na zgłoszenie do UODO.To brzmi jak biurokracja, ale to kilkanaście stron dokumentów, które piszesz raz i aktualizujesz raz na rok. Koszt prawnika: 1500-3000 zł. Koszt kary UODO: do 4% rocznego obrotu lub 20 mln euro.## Co z klientami zagranicznymi — paszport, prawo jazdy?Paszport możesz traktować jak dowód osobisty — nie skanuj, spisz dane (imię, nazwisko, numer paszportu, data ważności, kraj wydania).Prawo jazdy to dokument nie do weryfikacji tożsamości. Możesz je sprawdzić, jeśli klient wynajmuje pojazd lub maszynę wymagającą uprawnień (np. wózek widłowy), ale nie może być jedynym dokumentem identyfikującym stronę umowy.Klient z innego kraju UE — zasady RODO są te same. Klient spoza UE (np. z Ukrainy, Białorusi) — też te same, RODO obowiązuje administratora w UE niezależnie od narodowości klienta.

## Praktyczna ściąga — co zmienić w wypożyczalni od jutraJeśli czytasz to i właśnie zorientowałeś się, że twoja procedura była niezgodna z RODO — oto trzy ruchy, które wykonasz w tygodniu:Ruch 1. Przestań skanować i kopiować dowody. Od jutra. Spisuj dane ręcznie z oryginału.Ruch 2. Przejrzyj swoją bazę klientów — co tam jest? Skany dowodów sprzed 3 lat, których cel przetwarzania dawno minął? Usuń.Ruch 3. Zaktualizuj klauzulę informacyjną i regulamin. Powiedz klientowi wprost, jakich danych nie zbierasz i dlaczego. To budzi zaufanie.Branża wypożyczalniowa w Polsce dopiero dojrzewa do RODO. Większość właścicieli ma świadomość przepisów, ale stosuje praktyki sprzed RODO z 2018 roku. UODO zaczyna kontrolować ten sektor i kary są realne.Lepiej dostosować się dziś, niż tłumaczyć się jutro.---Jeśli szukasz systemu, w którym możesz prowadzić wypożyczalnię bez skanowania dowodów, Toolero zbiera tylko dane minimalne i automatycznie usuwa je po okresie retencji. 7 dni za darmo, bez karty kredytowej.