Bank żąda skanów dowodu osobistego? To niezgodne z prawem
Surowa kara dla ING Banku Śląskiego. Urząd Ochrony Danych Osobowych ukarał ING Bank Śląski kwotą ponad 18,4 mln zł za bezpodstawne skanowanie dokumentów tożsamości klientów i potencjalnych klientów. Zdaniem UODO bank naruszył przepisy o ochronie danych osobowych, nie dokonując indywidualnej oceny ryzyka i kopiując dowody nawet przy składaniu reklamacji.
Kontrola urzędu wykazała, że od 1 kwietnia 2019 r. do 23 września 2020 r. ING Bank Śląski skanował dokumenty tożsamości klientów i potencjalnych klientów. Nie sprawdzano, czy działania takie są uzasadnione wymogiem stosowania przez bank środków bezpieczeństwa finansowego na podstawie ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (AML). Kara nałożona przez prezesa UODO jest surowa: chodzi o kwotę ponad 18,4 mln zł.
W trakcie kontroli sprawdzono w szczególności: podstawę prawną przetwarzania danych osobowych, zakres i rodzaj przetwarzanych danych osobowych, a także sposób oraz cel zbierania i udostępniania danych.
Nadmierne i bezpodstawne gromadzenie danych
Jak wyjaśnia UODO, przed nowelizacją przepisów ustawy AML, co nastąpiło 13 lipca 2018 r., bank nie kopiował dokumentów tożsamości klientów.
Potem jednak, po przeprowadzeniu analiz, uzgodnień i wprowadzeniu zmian w procesach bankowych, nastąpiła zmiana w praktyce i w procedurach. Przyjęto, że w każdym z przypadków wskazanych w tych procedurach i instrukcjach powinno się wykonać skan dokumentu tożsamości klienta lub potencjalnego klienta – w wielu sytuacjach od jego uzyskania uzależniając wykonanie czynności na rzecz klienta - wyjaśnia urząd.
Zdaniem UODO bank nie dokonywał więc indywidualnej oceny ryzyka, wiążącego się z danym klientem i podejmowanymi przez niego działaniami. Ponadto UODO twierdzi, że bank nadmiernie skanował dowody osobiste klientów i potencjalnych klientów nawet wtedy, gdy ci składali np. reklamacje.
Więcej o RODO przeczytasz na Bizblog.pl:
Skanowanie dowodów tożsamości przez instytucje obowiązane jest legalne w kontekście ustawy AML jedynie wtedy, gdy wiąże się z koniecznym z punktu widzenia tej ustawy zastosowaniem środków bezpieczeństwa finansowego mających na celu przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu.
Naruszenie polegało na bezpodstawnym przetwarzaniu danych osobowych obecnych i potencjalnych klientów pozyskiwanych poprzez skanowanie dokumentów tożsamości w sytuacjach niepowiązanych z jego obowiązkami wynikającymi z ustawy AML.
Bank zapowiada odwołanie do sądu
To jednak nie kończy sprawy. Jak zapowiedział Piotr Utrata, rzecznik prasowy ING Banku Śląskiego, bank zamierza zaskarżyć decyzję, korzystając z prawa złożenia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie.
Podkreślamy, że bank w pełni współpracował z prezesem UODO na każdym etapie postępowania – zaznacza Piotr Utrata.
I dodaje, że ING Bank Śląski pobierał skany dokumentów tożsamości w sytuacjach, w których "było to niezbędne do realizacji obowiązków wynikających z ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu".
Skany były pozyskiwane wyłącznie w tym celu. Podkreślamy, że ING Bank Śląski przestrzega obowiązujących przepisów prawa oraz zasad compliance – podkreśla rzecznik banku.
Tymczasem w ocenie prezesa UODO „zastosowana administracyjna kara pieniężna jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca”.
