Urząd Ochrony Danych Osobowych (UODO) nałożył na ING Bank Śląski rekordową karę w wysokości 18,4 mln zł za nieuprawnione skanowanie dokumentów tożsamości klientów i potencjalnych klientów. Jak ustalono w trakcie kontroli, bank przetwarzał dane osobowe w sposób nadmierny, bez przeprowadzenia wymaganej analizy celowości.
Skala naruszenia
Praktyka kopiowania dokumentów trwała od 1 kwietnia 2019 r. do 23 września 2020 r. i obejmowała szeroką grupę klientów – zarówno indywidualnych, jak i korporacyjnych. Według raportów banku w 2020 roku obsługiwał on 4,72 mln klientów, w tym ponad 4,2 mln osób fizycznych.
Kontrola UODO wykazała, że skany dokumentów były wykonywane nie tylko w sytuacjach przewidzianych przez przepisy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu (AML), ale także w przypadkach niezwiązanych z tymi obowiązkami – np. podczas składania reklamacji dotyczących bankomatów.
Naruszenie przepisów RODO
Zgodnie z art. 5 i art. 6 RODO administrator danych ma obowiązek działać zgodnie z zasadą minimalizacji i legalności. Oznacza to, że przetwarzanie danych powinno być ograniczone wyłącznie do niezbędnego zakresu i oparte na wyraźnej podstawie prawnej.
Prezes UODO, Mirosław Wróblewski, podkreślił, że skanowanie dokumentów tożsamości jest dopuszczalne tylko wtedy, gdy jest konieczne z punktu widzenia ustawy AML. Bank nie przeprowadzał jednak indywidualnej oceny ryzyka prania pieniędzy ani finansowania terroryzmu, stosując automatyczną praktykę kopiowania dokumentów w niemal każdej procedurze.
Wysokie ryzyko dla klientów
Choć dane zawarte w dowodzie osobistym nie należą do tzw. szczególnych kategorii danych osobowych, ich zakres – obejmujący m.in. imię i nazwisko, PESEL, wizerunek, datę urodzenia, numer i serię dokumentu – stwarza poważne ryzyko naruszenia praw i wolności obywateli.
Jak wskazuje UODO, połączenie numeru PESEL z innymi danymi identyfikacyjnymi umożliwia jednoznaczną identyfikację osoby, a w razie wycieku – ułatwia kradzież tożsamości, wyłudzenia kredytów czy inne nadużycia.
Kara proporcjonalna i odstraszająca
W decyzji podkreślono, że masowe i długotrwałe naruszenie przepisów wymagało zastosowania wysokiej kary. UODO uznał, że kwota ponad 18 mln zł jest skuteczna, proporcjonalna i odstraszająca – ma nie tylko ukarać bank, ale także zapobiec podobnym praktykom w przyszłości.
Co istotne, urząd zaznaczył, że od instytucji finansowych należy oczekiwać szczególnej staranności i profesjonalizmu w zakresie przetwarzania danych osobowych.
