Ponad 18,4 mln zł kary dla banku za nielegalne skanowanie dowodów osobistych klientów

Prezes Urzędu Ochrony Danych Osobowych nałożył na ING Bank Śląski karę w wysokości 18 416 400 zł za nielegalne przetwarzanie danych osobowych. Bank skanował dokumenty tożsamości klientów i potencjalnych klientów bez uprzedniej analizy celowości, co jest sprzeczne z wymogami RODO i ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (AML).

Zgodnie z ustawą o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu (AML) instytucje finansowe mogą kopiować dokumenty tylko wtedy, gdy jest to niezbędne do realizacji środków bezpieczeństwa finansowego i wynika z indywidualnej oceny ryzyka. W przypadku ING Banku skanowanie następowało mechanicznie, m.in. podczas przyjmowania reklamacji, co było działaniem nadmiarowym i niezgodnym z prawem.

Bank kopiował dowody osobiste klientów, a więc przetwarzał dane takie jak: imię i nazwisko, PESEL, wizerunek, data urodzenia, imiona rodziców czy numer i seria dokumentu. Zakres ten łączy się z wysokim ryzykiem naruszenia praw osób fizycznych, w tym z zagrożeniem kradzieży tożsamości lub wyłudzeń finansowych.

Urząd wskazał, że masowe przetwarzanie danych wrażliwych wymaga wyjątkowej staranności ze strony administratora. W ocenie UODO nałożona kara ma charakter proporcjonalny, skuteczny i odstraszający. Bank, jako profesjonalny administrator danych, powinien wprowadzać procedury zgodne z prawem i każdorazowo analizować podstawę prawną przetwarzania danych.

Decyzja to istotny sygnał dla całego sektora finansowego i administratorów danych: kopiowanie dokumentów tożsamości nie może być czynnością „rutynową”. Konieczne jest oparcie każdej operacji na przepisach prawa, zastosowanie podejścia opartego na ryzyku i udokumentowanie niezbędności przetwarzania.