Prezes Urzędu Ochrony Danych Osobowych nałożył na ING Bank Śląski karę w wysokości 18,4 mln zł za naruszenie przepisów RODO. Decyzja dotyczyła bezprawnego kopiowania dowodów osobistych zarówno klientów, jak i osób, które dopiero rozważały skorzystanie z usług banku.

Skanowanie dokumentów

Praktyka skanowania dokumentów rozpoczęła się w 2018 roku, po wejściu w życie ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu (ustawa AML). Bank, powołując się na przepisy, wydał wewnętrzne wytyczne nakazujące pracownikom sporządzanie skanów dowodów. Jak ustalił UODO, w wielu przypadkach było to warunkiem zawarcia umowy, a nawet złożenia reklamacji.

Urząd uznał jednak, że przepisy AML pozwalają jedynie na przetwarzanie danych zawartych w dokumentach, a nie na ich automatyczne kopiowanie we wszystkich sytuacjach. Prezes UODO wskazał, że kopiowanie dokumentów powinno być stosowane wyłącznie wtedy, gdy rzeczywiście występuje ryzyko prania pieniędzy lub finansowania terroryzmu. W decyzji podkreślono także zasadę minimalizacji danych – zbieranie pełnych skanów dowodów osobistych wykraczało poza zakres niezbędny do identyfikacji klienta.

Jako przykład naruszenia wskazano sytuację osoby, która chciała złożyć reklamację dotyczącą działania bankomatu. Została poinformowana, że bez zgody na skan dowodu nie będzie mogła tego zrobić. Dopiero później, gdy ustalono, że nie była klientem banku, usunięto jej dane z systemu.

Bank odpowiada

Bank utrzymuje, że działał zgodnie z prawem i powołuje się na przepisy AML. Rzecznik prasowy Piotr Utrata zapowiedział zaskarżenie decyzji do Wojewódzkiego Sądu Administracyjnego w Warszawie. ING wskazuje, że skany były pozyskiwane wyłącznie w celu realizacji obowiązków ustawowych i zapewnia, że procedury zostały już zmienione.

Wysokość kary UODO tłumaczy m.in. masowym charakterem naruszeń – skanowano dane milionów osób. Pod uwagę wzięto także wcześniejsze przypadki złamania przepisów przez bank. Kara 18,4 mln zł to druga najwyższa grzywna w Polsce za naruszenie RODO, a jednocześnie najwyższa nałożona na prywatny podmiot.

