Gigantyczna kara dla banku za skanowanie dowodów osobistych klientów

Od 1 kwietnia 2019 r. do 23 września 2020 r. ING Bank Śląski skanował dokumenty tożsamości klientów, a nawet potencjalnych klientów. Robił to  nawet wtedy, gdy klienci składali np. reklamacje. Bank nie przeprowadził żadnej analizy celowości tj. nie sprawdził, czy rzeczywiście skanowanie dowodów jest niezbędne, np.  uzasadnione wymogiem stosowania przez bank środków bezpieczeństwa finansowego na podstawie ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (AML). 

Czytaj więcej:

Biznes

(Nie)dopuszczalność kopiowania dowodów tożsamości i innych dokumentów

Nie wszystkie podmioty uprawnione do...

Pro

Bank skanował dowody wszystkim, nawet składającym reklamacje na działanie bankomatu

UODO przeprowadził kontrolę, która wykazała, że przed nowelizacją przepisów ustawy AML, co nastąpiło 13 lipca 2018 r., bank nie kopiował dokumentów tożsamości klientów. Potem jednak, po przeprowadzeniu analiz, uzgodnień i wprowadzeniu zmian w procesach bankowych, nastąpiła zmiana w praktyce i w procedurach. Przyjęto, że w każdym z przypadków wskazanych w tych procedurach i instrukcjach powinno się wykonać skan dokumentu tożsamości klienta lub potencjalnego klienta – w wielu sytuacjach od jego uzyskania uzależniając wykonanie czynności na rzecz klienta.

Jak podkreśla UODO, Bank nie dokonywał więc indywidualnej oceny ryzyka wiążącego się z danym klientem i podejmowanymi przez niego działaniami. Dokumenty tożsamości skanowane były także w przypadkach niewiążących się z realizacją obowiązków określonych przepisami ustawy AML, np. przy reklamacji dotyczącej bankomatu.

- Skanowanie dowodów tożsamości przez instytucje obowiązane jest legalne w kontekście ustawy AML jedynie wtedy, gdy wiąże się z koniecznym z punktu widzenia tej ustawy zastosowaniem środków bezpieczeństwa finansowego mających na celu przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu – wskazuje Urząd. - Zadaniem banku jest przeprowadzenie indywidualnej oceny ryzyka prania pieniędzy i finansowania terroryzmu i zaprojektowanie środków bezpieczeństwa odpowiednich do jej wyniku (podejście oparte na ryzyku). Dopiero jeśli instytucja obowiązana wykaże, że w celu przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu konieczne jest stosowanie środków bezpieczeństwa finansowego wiążące się z przetwarzaniem informacji zawartych w dokumentach tożsamości oraz sporządzaniem ich kopii (skanów), wtedy ma prawo żądać ich wykonania – wyjaśnił UODO.

Czytaj więcej

Dane osobowe

mWeryfikator - aplikacja na smartfona do sprawdzania tożsamości klienta

Udowodnienie tożsamości przy zakupie fajerwerków, meldowaniu w hotelu, czy wypożyczeniu sprzętu s...

Jaką karę zapłaci  ING Bank Śląski za nieuzasadnione skanowanie dowodów osobistych

Organ nadzorczy uznał, że ING Bank Śląski jako administrator danych naruszył przepisy RODO: bezpodstawnie przetwarzał dane osobowe obecnych i potencjalnych klientów pozyskiwane poprzez skanowanie dokumentów tożsamości w sytuacjach niepowiązanych z jego obowiązkami wynikającymi z ustawy AML.

Dlatego Prezes UODO Mirosław Wróblewski nałożył na ING Bank Śląski karę 18 mln 416 tys. 400 zł. Kara wydaje się wysoka, ale skala naruszenia także. Jak wynika z raportów banku, np. w 2020 r. liczba klientów wynosiła 4,72 mln, w tym 4,24 mln klientów indywidualnych oraz 486 tys. klientów korporacyjnych. - Masowe przetwarzanie musi się wiązać z wyższym poziomem odpowiedzialności administratora i z wyższym poziomem należytej staranności wymaganej od niego, gdyż może skutkować negatywnymi konsekwencjami dla wielu osób – zaznaczył Prezes UODO.

Czytaj więcej

Dane osobowe

Czy banki mogą kserować dowody osobiste klientów? Eksperci odpowiadają

Do "Rzeczpospolitej" zgłaszają się czytelnicy zaniepokojeni praktyką kserowania dowodów osobistyc...

Kara za skanowanie dowodów osobistych przez bank: nie musi być wymiernej szkody

PUODO wbił też jednemu z największych w Polsce banków szpilkę wskazując, że od takiego podmiotu należy oczekiwać profesjonalnego podejścia do kwestii podstaw prawnych przetwarzania danych.

UODO przekazał też, że z wyjaśnień Banku wynika, iż kopiowanie dokumentów tożsamości dotyczyła potencjalnie dużej grupy klientów w stosunkowo długim czasie (tj. przez okres ok. 18 miesięcy: od 1 kwietnia 2019 r. do 23 września 2020 r.), co wprawdzie wskazuje na dużą skalę tego procederu, natomiast nie stwierdzono, aby klienci ponieśli z tego tytułu szkodę.