Urząd Ochrony Danych Osobowych poinformował o nałożeniu rekordowej kary na ING Bank Śląski. Instytucja została obciążona kwotą 18,4 mln zł za nieuzasadnione skanowanie dokumentów tożsamości klientów i osób potencjalnie zainteresowanych ofertą banku.
Gdzie leży problem?
Kontrola UODO wykazała, że od kwietnia 2019 r. do września 2020 r. bank rutynowo kopiował dowody osobiste klientów i osób składających wnioski lub reklamacje – bez analizy, czy takie działanie rzeczywiście było konieczne. W praktyce oznaczało to, że nawet przy zgłaszaniu problemu z bankomatem klient musiał zgodzić się na zeskanowanie dokumentu, mimo że przepisy tego nie wymagały.
Zgodnie z ustawą o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu (AML) skanowanie dokumentów tożsamości jest dopuszczalne tylko wtedy, gdy jest to niezbędne do zastosowania środków bezpieczeństwa finansowego. Bank powinien każdorazowo dokonywać indywidualnej oceny ryzyka i dopiero na jej podstawie decydować o konieczności wykonania kopii dokumentu. ING Bank Śląski przyjął jednak praktykę „z automatu”, nie różnicując sytuacji klientów.
Skala i konsekwencje
Według danych banku, w 2020 r. posiadał on ponad 4,7 mln klientów, z czego 4,24 mln stanowili klienci indywidualni. Tak duża skala przetwarzania danych zwiększa ryzyko naruszeń prywatności – zwłaszcza że skany zawierały pełne dane identyfikacyjne: imię, nazwisko, numer PESEL, wizerunek, datę urodzenia czy serię i numer dokumentu. Jak wskazuje UODO, tego typu dane mogą posłużyć do kradzieży tożsamości lub wyłudzeń finansowych, co dla klienta oznacza realne ryzyko poważnych konsekwencji.
Choć urząd nie stwierdził, by klienci faktycznie ponieśli szkody, podkreślono, że bank jako administrator danych powinien działać z najwyższą starannością. Od instytucji finansowych oczekuje się szczególnej dbałości o zgodność z prawem – zarówno z przepisami RODO, jak i krajowymi regulacjami AML.
Uzasadnienie kary
Prezes UODO Mirosław Wróblewski wskazał, że bank naruszył podstawowe zasady przetwarzania danych osobowych określone w RODO: zgodności z prawem, minimalizacji danych oraz ograniczenia celu. W ocenie urzędu kara w wysokości 18,4 mln zł jest skuteczna, proporcjonalna i ma charakter odstraszający.
Wnioski dla branży finansowej i obsługi klienta
Sprawa ING Banku Śląskiego to wyraźny sygnał dla całego sektora bankowego i instytucji finansowych: kopiowanie dowodów osobistych nie może być praktyką rutynową, a każdorazowo musi wynikać z realnej potrzeby prawnej i przeprowadzonej oceny ryzyka.
Dla managerów odpowiedzialnych za obsługę klienta oznacza to konieczność przeglądu i aktualizacji procedur związanych z gromadzeniem danych, a także szkolenia pracowników w zakresie stosowania środków bezpieczeństwa finansowego. Przekroczenie granicy między wymaganym a nadmiernym przetwarzaniem danych grozi nie tylko wysokimi karami finansowymi, lecz także utratą zaufania klientów.
Decyzja UODO powinna więc stać się impulsem do budowania bardziej odpowiedzialnych i transparentnych procesów obsługi, w których równoważy się wymogi prawa, bezpieczeństwa i komfort klienta.