Mega Sekurak Hacking Party w Krakowie! 20.10.2025 r. Bilety -30%
Druga największa kara od PUODO. Powodem skanowanie przez ING Bank Śląski dowodów osobistych
Banki od lat chętnie skanują dowody osobiste swoich klientów. Zazwyczaj jako przyczynę wymienia się wewnętrzne procedury bezpieczeństwa czy nawet wymogi prawne. Ostatnia (i notabene druga największa pod względem wysokości – pierwszą została ukarana Poczta Polska) kara nałożona przez UODO na ING Bank Śląski pokazuje, że takie działanie musi być uzasadnione i nie może być rutynową procedurą.
TLDR:
- Prezes Urzędu Ochrony Danych osobowych nałożył karę w wysokości 18,4 mln złotych na ING Bank Śląski.
- Powodem kary jest skanowanie przez bank dowodów osobistych klientów i – co dziwne – także potencjalnych klientów.
- Spółka twierdzi, że realizowała obowiązki z ustawy AML, jednak prezes UODO uznał takie działania za nadmiarowe i niezgodne z RODO.
Bank od 1 kwietnia 2019 r. do 23 września 2020 r. skanował dokumenty tożsamości nie tylko swoich klientów, ale także potencjalnych klientów (czyli osób, którym nie świadczył żadnych usług). Nie przeprowadzano indywidualnej oceny tych działań, nie sprawdzano czy są one faktycznie konieczne w myśl ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (AML).
Kontrola przeprowadzona przez UODO wykazała, że bank nie stosował takich praktyk przed nowelizacją przepisów ustawy AML. Później jednak przyjęto z góry, że w każdym z przypadków wskazanych w procedurach bankowych powinno się wykonać skan dokumentu tożsamości klienta lub potencjalnego klienta. Osoby świadome wad takiego działania często nie mogły nawet zrezygnować ze skanu, bo bez niego bank odmawiał wykonania czynności na ich rzecz.
Głównym problemem jest tu brak indywidualnej oceny ryzyka dla każdego klienta. Dokumenty skanowane były także w przypadkach, których ustawa AML nie obejmuje. Przepisy pozwalają instytucjom finansowym na stosowanie środków bezpieczeństwa finansowego (czyli m.in. przetwarzania danych zawartych w dokumentach tożsamości) w przypadkach:
- nawiązywania stosunków gospodarczych,
- przeprowadzania transakcji okazjonalnej na określone ustawą kwoty,
- obstawiania stawek oraz odbioru wygranych,
- podejrzenia prania pieniędzy lub finansowania terroryzmu,
- wątpliwości co do prawdziwości lub kompletności danych klienta.
Kontrola wykazała jednak, że bank skanował dowody osobiste również np. przy składaniu reklamacji.
W ocenie UODO skanowanie dokumentów przez instytucje jest legalne jedynie wtedy, gdy wiąże się z koniecznym (w myśl ustawy AML) zastosowaniem środków bezpieczeństwa finansowego mających na celu przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu – nie powinno być więc działaniem rutynowym.
Urząd odwołał się też do zasady minimalizacji (art. 5 ust. 1 lit. c RODO), wskazując że identyfikacja klienta (cel wskazany przez ustawę AML) nie wymaga skanowania całego dowodu osobistego. Prezes UODO wskazał również, że instytucja taka jak bank powinna profesjonalnie podchodzić do zgodnego z prawem przetwarzania danych.
Wyjaśnienia ING wskazują, że skanowano dokumenty dużej grupy klientów (4,72 mln w 2020 r.) przez stosunkowo długi czas (ok. 18 miesięcy). Urząd nie uznał jednak, że w wyniku tych działań klienci ponieśli szkodę.
Bank jako administrator danych poprzez swoje działania naruszył przepisy o ochronie danych osobowych (art. 5 ust. 1 lit. a, b i c, a także art. 6 ust. 1 RODO). Mowa przetwarzaniu danych osobowych obecnych i potencjalnych klientów w zakresie skanów dokumentów tożsamości bez podstawy prawnej.
Informacje pozyskane ze skanów dokumentów nie należą co prawda do szczególnych kategorii danych (tzw. dane wrażliwe), jednak UODO stoi na stanowisku, że ich zakres wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych.
Piotr Utrata, rzecznik prasowy ING Banku Śląskiego twierdzi, że działania te były legalne i zasadne:
Bank pobierał skany dokumentów tożsamości w sytuacjach, w których było to niezbędne do realizacji obowiązków wynikających z ustawy AML. Skany były pozyskiwane wyłącznie w tym celu. Podkreślamy, że ING Bank Śląski przestrzega obowiązujących przepisów prawa oraz zasad compliance.
Bank zamierza też zaskarżyć decyzję UODO do Wojewódzkiego Sądu Administracyjnego w Warszawie.
Po kontroli spółka zmieniła swoje procedury – dokumenty będą skanowane wyłącznie w celu stosowania i dokumentowania środków bezpieczeństwa finansowego. Urząd z kolei uznał, że taka zmiana udowadnia brak konieczności wykonywania takich działań, co oznacza że wcześniejsze procedury nie były zgodne z ustawą AML.
Źródła:
~Tymoteusz Jóźwiak
Wszystkie banki skanują dowody i je trzymają. Nie widzę w tym żadnego uzasadnienia.
Najlepsza była moja wizyta w oddziale Pekao, gdzie zeskanowano mi dowód i do tego go wydrukowano.
Gdzie to będzie trzymane i po co?!
A Alior?
Kilka lat temu jak aktualizowałem zwykłą umowę o prowadzenie RORa również skanowali mój dowód. Gdy próbowałem wyrazić sprzeciw powiedziano mi że takie mają procedury i w przypadku odmowy umowa wygaśnie. Oddział w Warszawie, al. Solidarności.
REvolut robi dokładnie to samo. Co gorsze robi to przypadkowy człowiek przez kamerkę z niewiadomo jakiego kraju.
Przecież każdy Fintech tak robi. Nie jest to przypadkowy pracownik, tylko pracownik revoluta bądź firmy która zajmuje się weryfikacjami na masową skalę
Podoba mi się ten fragment, że skanowali dowody na potrzeby… reklamacji. Pachnie mi to wręcz złośliwą przewlekłością procedur, żeby czasem tej reklamacji nie złożyć :) Stary numer – dodajmy pełno nadmiarowych obowiązków, powołajmy się na jakieś tam ustawy, skomplikujmy proces i nie będzie reklamacji :)
Banki postepuja gorzej niz powolywanie sie na jakies ustawy.
Mialem kilka razy sytuacje, ze powolywali sie na WEWNETRZNE zarzadzenia i tych postanowien nie bylo w regulaminie ani w umowie.
Zatem poprosilem o konkretny fragment z tych mitycznych zarzadzen, na ktory sie powolywali. Odmowili! Pod pretekstem, ze te zarzadzenia sa tajne!
Czyli banki rzadza klientami na podstawie regul, ktorych rzadzeni nie maja nawet prawa poznac!