Prezes Urzędu Ochrony Danych Osobowych (UODO) nałożył na ING Bank Śląski karę w wysokości 18,4 mln zł. Powód? Masowe skanowanie dokumentów tożsamości, które urząd uznał za naruszenie zasady minimalizacji danych. Bank broni się, wskazując na obowiązki wynikające z ustawy o przeciwdziałaniu praniu pieniędzy (AML) i zapowiada odwołanie do sądu.
Spór koncentruje się wokół interpretacji przepisów. ING, od wejścia w życie ustawy AML w 2018 roku, wdrożył wewnętrzne procedury nakazujące skanowanie dowodów osobistych klientów, a nawet osób, które dopiero miały nimi zostać. Bank utrzymuje, że działał w oparciu o art. 34 ustawy AML, który pozwala instytucjom finansowym na „sporządzanie kopii” dokumentów tożsamości w celu weryfikacji klienta.
Zdaniem UODO bank nadinterpretował te uprawnienia. Regulator zarzuca, że ING stosował tę praktykę automatycznie, bez indywidualnej oceny ryzyka związanego z danym klientem. Urząd podkreśla, że kopiowanie dokumentów jest uprawnieniem, a nie obowiązkiem, i powinno być stosowane tylko wtedy, gdy jest to niezbędne do wypełnienia obowiązków AML. Jako skrajny przykład podano sytuację, w której bank zażądał skanu dowodu od osoby niezwiązanej z bankiem, chcącej jedynie złożyć reklamację dotyczącą bankomatu.
Kwota 18,4 mln zł jest drugą co do wysokości karą nałożoną przez polski organ nadzorczy i najwyższą w sektorze prywatnym. UODO uzasadnia jej wysokość kilkoma czynnikami:
Masowa skala: proceder dotyczył milionów osób.
Umyślny charakter: naruszenie wynikało ze świadomie przyjętych procedur wewnętrznych.
Wcześniejsze naruszenia: w decyzji przywołano kilkadziesiąt wcześniejszych przypadków, w których bank naruszał przepisy o ochronie danych.
Dodatkowym czynnikiem branym pod uwagę był roczny obrót banku, który stanowi punkt odniesienia przy wymierzaniu sankcji finansowych.
Decyzja UODO porusza również głębszy problem – nawet w sytuacjach, gdy skanowanie jest uzasadnione, pozyskiwanie wizerunku całego dokumentu może być nadmiarowe. Urząd sugeruje, że gromadzenie wszystkich danych z dowodu, jak wizerunek czy wzrost, wykracza poza cel, jakim jest identyfikacja klienta na potrzeby AML.
Po kontroli ING zmienił swoje procedury, ograniczając skanowanie dokumentów głównie do sytuacji zakładania konta lub zmiany danych. Dla UODO jest to dowód, że wcześniejsza, szeroko zakrojona praktyka nie była konieczna. Sprawa, która trafi teraz do sądu administracyjnego, stanie się ważnym precedensem dla całego sektora finansowego, próbującego pogodzić rygorystyczne wymogi AML z równie surowymi zasadami RODO.
