Czy bank może kopiować dowody osobiste klientów? Wnioski z najnowszej decyzji PUODO
UODO ustalił, że ING Bank Śląski w okresie od 1 kwietnia 2019 r. do 23 września 2020 r. kopiował i przechowywał skany dowodów osobistych klientów oraz osób zainteresowanych ofertą. W wyniku kontroli organ ustalił, że działanie to było realizowane bez należytego uzasadnienia w przepisach prawa, w szczególności w przepisach dotyczących przeciwdziałania praniu pieniędzy oraz finansowania terroryzmu (AML).
Wątpliwości PUODO
W toku kontroli ustalono, że w oparciu o wewnętrzne procedury Bank wymagał skanu dokumentu tożsamości klienta lub potencjalnego klienta również w sytuacjach, gdy nie było to uzasadnione. Dodatkowo, Bank uzależniał wykonanie czynności na rzecz klienta od zrobienia skanu dowodu. Dokumenty tożsamości były skanowane także wtedy, gdy nie wiązało się to z realizacją obowiązków AML, np. w przypadku reklamacji dotyczącej bankomatu.
Wnioski PUODO
W ocenie organu Bank nie wykazał, aby sporządzanie i przechowywanie skanów dowodów było niezbędne dla realizacji obowiązków ustawowych. Bank nie dokonywał indywidualnej oceny ryzyka wiążącego się z danym klientem ani podejmowanymi przez niego działaniami co sprawiło, że organ uznał praktykę za wykraczającą poza granice prawa. Bank naruszył swoim działaniem m.in. zasadę minimalizacji danych wynikającą z RODO.
Rola regulacji AML
Banki muszą stosować środki bezpieczeństwa finansowego wynikające z przepisów AML, m.in. identyfikować klienta. Przepisy te nie nakazują jednak rutynowego skanowania dokumentów. Każde takie działanie wymaga uzasadnienia prawnego i dokonania indywidualnej oceny ryzyka. Dopiero gdy instytucja wykaże, że przetwarzanie informacji zawartych w dokumencie tożsamości oraz sporządzenie jego kopii jest konieczna dla celów AML, może żądać jej wykonania.
Przepisy naruszone przez Bank
RODO wymaga, by dane osobowe były zbierane wyłącznie zgodnie z prawem i w zakresie niezbędnym do osiągnięcia jasno określonego celu. Kopiowanie całego dowodu tożsamości, bez podstawy prawnej i realnej potrzeby, narusza zasadę minimalizacji danych. Bank, skanując dokumenty tożsamości w sytuacjach niezwiązanych z obowiązkami AML, przetwarzał dane bezpodstawnie i nadmiarowo, czym naruszył interesy obecnych i potencjalnych klientów.
Skala naruszenia
Choć dane ze skanów dowodów nie należą do szczególnych kategorii danych osobowych, ich zakres (m.in. imię, nazwisko, PESEL, wizerunek, data urodzenia, imiona rodziców, nazwisko rodowe, numer i seria dokumentu tożsamości) wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Już sam PESEL z imieniem i nazwiskiem pozwala jednoznacznie zidentyfikować osobę i może posłużyć np. do wyłudzenia pożyczki lub kradzieży tożsamości.
Kara nałożona na Bank
W wyniku przeprowadzonego postępowania PUODO nałożył na Bank karę pieniężną w wysokości ponad 18,4 mln złotych.
Kara zastosowana wobec Banku wpisuje się w dotychczasową praktykę organu, dotyczącą wysokości wymierzania kar pieniężnych dużym podmiotom za przetwarzanie danych polskich obywateli bez podstawy prawnej.
Decyzja jest nieprawomocna, a Bank już ogłosił, że będzie się od niej odwoływał. Jednocześnie Bank zapowiada pełną współpracę z Urzędem.
Wnioski z decyzji PUODO
Interwencja UODO pokazuje, że instytucje finansowe muszą przestrzegać zarówno przepisów AML, jak i zasad RODO przy pozyskiwaniu danych. Przetwarzanie danych osobowych pozyskiwanych poprzez kopiowanie dokumentów tożsamości zawsze musi być poprzedzone analizą celowości i sprawdzeniem, czy taka czynność rzeczywiście jest niezbędna. Sprawa Banku dowodzi, że nawet instytucje cieszące się zaufaniem publicznym nie zawsze działają zgodnie z przepisami.
Wpis powstał w ramach 57. wydania Compliance Insights. W formie graficznej można go znaleźć na naszym LinkedInie i Bazie wiedzy.
