Niedawno Prezes Urzędu Ochrony Danych Osobowych nałożył jedną z najwyższych dotychczas kar administracyjnych w Polsce – ponad 18,4 mln zł. Powodem było niezgodne z prawem kopiowanie dowodów osobistych przez ING Bank Śląski. Sprawa jest istotna nie tylko dla sektora bankowego, ale również dla wszystkich instytucji zobowiązanych do stosowania przepisów o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu (AML).
Dlaczego doszło do kary?
Kontrola UODO wykazała, że bank w latach 2019–2020 wprowadził szeroką praktykę skanowania dokumentów tożsamości klientów i osób potencjalnie zainteresowanych usługami. Co istotne, skanowanie odbywało się nie tylko w sytuacjach wymaganych przepisami AML, ale również w przypadkach zupełnie niezwiązanych z obowiązkami ustawowymi – np. przy przyjmowaniu reklamacji dotyczących bankomatów.
Bank nie przeprowadzał każdorazowej analizy celowości przetwarzania danych. Zamiast podejścia opartego na ryzyku, wdrożono ogólną procedurę przewidującą kopiowanie dokumentów niemal w każdej interakcji z klientem.
RODO i AML – jak powinno to wyglądać?
RODO wprost wymaga, by dane były przetwarzane w sposób adekwatny, celowy i ograniczony do niezbędnego minimum (zasada minimalizacji danych). To oznacza, że administrator powinien każdorazowo uzasadnić, dlaczego potrzebuje określonej kategorii informacji.
W kontekście ustawy AML, skanowanie dowodów osobistych jest dopuszczalne tylko wtedy, gdy:
- istnieje realne ryzyko prania pieniędzy lub finansowania terroryzmu,
- oraz gdy skopiowanie dokumentu jest konieczne do zastosowania środków bezpieczeństwa finansowego.
Innymi słowy – to nie procedura decyduje o kopiowaniu, ale ocena konkretnego przypadku.
Jakie dane były przetwarzane?
Kopia dowodu osobistego zawiera bardzo szeroki zestaw danych: od imienia i nazwiska, przez numer PESEL, aż po wizerunek i dane rodziców. Choć formalnie nie są to tzw. „szczególne kategorie danych” (art. 9 RODO), to ich zakres stwarza wysokie ryzyko naruszenia prywatności. W połączeniu z innymi informacjami mogą prowadzić np. do kradzieży tożsamości czy wyłudzenia kredytów.
Skala naruszenia
Praktyka obejmowała potencjalnie miliony klientów – według danych banku w 2020 r. obsługiwał on blisko 4,7 mln osób. Tak duża skala przetwarzania wiąże się ze szczególną odpowiedzialnością administratora, ponieważ ewentualne uchybienia dotykają ogromnej grupy osób.
Wnioski dla instytucji finansowych
- Indywidualna ocena ryzyka – obowiązek stosowania podejścia opartego na ryzyku nie może być zastąpiony ogólną procedurą przewidującą kopiowanie dokumentów „na wszelki wypadek”.
- Zasada minimalizacji danych – organizacje powinny gromadzić tylko te dane, które są faktycznie niezbędne do realizacji celu przewidzianego prawem.
- Proporcjonalność działań – skanowanie dokumentów tożsamości to daleko idąca ingerencja w prywatność, dlatego wymaga szczególnego uzasadnienia.
- Odpowiedzialność na poziomie zarządczym – przy tak dużej skali działalności bank musi wykazać się szczególną starannością i profesjonalizmem w zakresie zgodności z RODO.
Decyzja UODO stanowi ważny sygnał ostrzegawczy dla sektora finansowego i wszystkich administratorów danych osobowych. Kopiowanie dowodów tożsamości nie może być rutynową czynnością – musi wynikać z realnej potrzeby i być poprzedzone analizą ryzyka. Kara w wysokości ponad 18 mln zł pokazuje, że brak indywidualnej oceny celowości przetwarzania danych może być bardzo kosztowny.
