Prezes Urzędu Ochrony Danych Osobowych (UODO) nałożył karę w wysokości 18 416 400 złotych na ING Bank Śląski, w związku z nieuzasadnionym gromadzeniem kopii dowodów osobistych klientów i potencjalnych klientów. Organ nadzorczy ustalił, że procedury wprowadzone przez bank w związku z nowelizacją ustawy o AML, wymagały od klientów przedstawiania kopii dowodów osobistych przy wielu czynnościach, w tym, np. przy składaniu reklamacji. Organ nadzorczy uznał, że przetwarzanie danych osobowych przez administratora zdecydowanie wykraczało poza przepisy ustawy AML i w związku z tym odbywało się bez podstawy prawnej.
Nowe przepisy i nowe procedury
W 2018 roku doszło do nowelizacji ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (AML). W związku ze zmianą przepisów, w ING Banku Śląskim zaktualizowano procedury związane z wypełnianiem ustawowych obowiązków banku. W ramach nowych procedur, obowiązujących od kwietnia 2019 do września 2020, bank masowo zbierał kopie dokumentów tożsamości, wymagając ich do realizacji licznych czynności, w tym nieregulowanych przez ustawę AML (np. złożenie reklamacji związanej z działaniem bankomatu). Nowe procedury zakładały pozyskiwanie kopii dowodów osobistych od wszystkich klientów dokonujących danego rodzaju czynności, nie przewidując indywidualnej oceny ryzyka stwarzanego przez danego klienta i danej operacji.
Czy odciski palców z dowodów osobistych powinny zostać usunięte?
Brak analizy celowości
Kontrola przeprowadzona przez Prezesa UODO wykazała, że bank, wprowadzając nowe procedury związane z gromadzeniem kopii dowodów osobistych, nie sprawdził należycie, czy jest to uzasadnione wymogami wprowadzonymi przez ustawę AML. Organ nadzorczy zarzucił administratorowi brak analizy celowości w tym zakresie. Bank nie zweryfikował bowiem, czy przetwarzanie danych jest w tym przypadku rzeczywiście niezbędne i znajduje swoje oparcie w przepisach ustawy AML. Zdaniem organu nadzorczego, w świetle ustawy AML, środki bezpieczeństwa finansowego (m.in. przetwarzanie informacji zawartych w dokumentach tożsamości i sporządzanie ich kopii) powinny być stosowane po wykazaniu konieczności ich zastosowania, na podstawie indywidualnej oceny ryzyka.
Regulator wskazał przy tym, że skanowanie dokumentów w sposób „hurtowy”, również w przypadku czynności nieokreślonych w ustawie AML, zdecydowanie wykraczało poza wymagania zawarte w przepisach prawa. Tym samym, Prezes UODO uznał, że prowadzone przez bank przetwarzanie, było prowadzone bez podstawy prawnej.
Wysokie ryzyko
Prezes UODO wskazał, że przetwarzane przez administratora dane osobowe, pozyskiwane poprzez gromadzenie kopii dowodów osobistych nie należą do szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 i art. 10 RODO. Ich zakres (m.in.: imię i nazwisko, numer PESEL, wizerunek, data urodzenia, imiona rodziców, nazwisko rodowe, numer i seria dowodu osobistego), wiąże się jednak z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. W ocenie regulatora, numer PESEL wraz z imieniem i nazwiskiem w sposób jednoznaczny identyfikuje osobę fizyczną, w sposób pozwalający przypisać negatywne skutki naruszenia tej osobie (np. kradzież tożsamości, wyłudzenie pożyczki).
Źródło:
