W rozpatrywanej sprawie, jak wykazało postępowanie, ING Bank Śląski postanowił skanować dokumenty tożsamości klientów i potencjalnych klientów po wejściu w życie nowelizacji ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (tzw. ustawa AML od ang. Anti-Money Laundering) z 2018 r. Wewnętrzne ustalenia skłoniły bank do wniosku, że w świetle tych przepisów powinno się wykonywać skany. Na tej podstawie pozyskiwano je od 1 kwietnia 2019 r. do 23 września 2020 r. Jak podaje UODO, w wielu sytuacjach od uzyskania takiego skanu bank uzależniał wykonanie czynności na rzecz klienta.

Skany dowodów nie zawsze legalne
Według UODO, bank nie może skanować dowodów osobistych klientów bez stosownej analizy celowości. Dopiero jeśli taka analiza wykaże, że w celu realizacji obowiązków wynikających z ustawy AML konieczne jest stosowanie środków bezpieczeństwa wiążących się z przetwarzaniem informacji zawartych w dokumentach tożsamości oraz sporządzaniem ich kopii (skanów), wtedy ma prawo żądać ich wykonania.

– Skanowanie dowodów tożsamości przez instytucje obowiązane jest legalne w kontekście ustawy AML jedynie wtedy, gdy wiąże się z koniecznym z punktu widzenia tej ustawy zastosowaniem środków bezpieczeństwa finansowego mających na celu przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu – podsumowuje zatem w komunikacie urząd.

W omawianym postępowaniu dotyczącym ING postanowił sprawdzić w szczególności: podstawę prawną przetwarzania danych osobowych, zakres i rodzaj przetwarzanych danych osobowych, a także sposób oraz cel zbierania i udostępniania danych.

Czytaj także: ​CEIDG z ograniczonym dostępem do adresów? Prezes UODO apeluje o zmiany

Kontrola UODO w ING
Kontrola wykazała, że bank przed wykonaniem skanów nie dokonywał indywidualnej oceny ryzyka wiążącego się z danym klientem i podejmowanymi przez niego działaniami.

Według UODO dokumenty tożsamości skanowane były także w przypadkach niewiążących się z realizacją obowiązków określonych przepisami ustawy AML. Bank wykonywał je np. przy reklamacji dotyczącej bankomatu.

Praktyka kopiowania dokumentów tożsamości dotyczyła potencjalnie dużej grupy klientów, nie stwierdzono natomiast, aby klienci ci ponieśli z tego tytułu szkodę. Bank pozyskiwał z dowodów i przetwarzał dane, które wprawdzie nie należą do szczególnych kategorii danych osobowych (o których mowa w art. 9 ust. 1 i art. 10 RODO), jednakże ich zakres wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Dowód osobisty zawiera wszak imię i nazwisko, numer PESEL, wizerunek, datę urodzenia, imiona rodziców, nazwisko rodowe, numer i serię. UODO dodaje, że od podmiotu takiego jak bank „należy oczekiwać profesjonalnego podejścia do kwestii podstaw prawnych przetwarzania danych”.

Kara za naruszenie RODO

Prezes UODO Mirosław Wróblewski stwierdził, że bank jako administrator danych poprzez swoje działania naruszył przepisy o ochronie danych osobowych (art. 5 ust. 1 lit. a, b i c, a także art. 6 ust. 1 RODO).

– Naruszenie polegało na bezpodstawnym przetwarzaniu danych osobowych obecnych i potencjalnych klientów pozyskiwanych poprzez skanowanie dokumentów tożsamości w sytuacjach niepowiązanych z jego obowiązkami wynikającymi z ustawy AML – tłumaczy urząd.

Karę nałożoną na bank urząd obliczył na 18 416 400 zł.