Obowiązek informacyjny rodo

KOMPAS FORSAFE 2025/26

Kraj:

Polska

Data wydania decyzji:

23.07.2025 r.

Podmiot kontrolowany:

ING Bank Śląski

Wysokość kary (EUR):

4.375.273,21

Podstawa prawna naruszenia

Art. 5 ust. 1 lit. a), lit. b), lit. c), art. 6 ust. 1 RODO.

Niewystarczająca podstawa prawna przetwarzania danych.

 

Przyczyna naruszenia

Po nowelizacji ustawy AML w 2018 r. ING Bank Śląski przyjął procedury wymagające skanowania dowodów osobistych w każdym przypadku określonym w instrukcjach – bez weryfikacji, czy dana czynność naprawdę wymaga identyfikacji klienta poprzez kopię dokumentu. Pracownicy byli instruowani, by skanować dokumenty nawet przy czynnościach niezwiązanych z ustawą AML, np. zgłaszaniu reklamacji dotyczącej bankomatu. Brakowało indywidualnej oceny ryzyka, a bank zaniechał analizy celu skanowania i odpowiedniej minimalizacji danych.

 

Opis wydarzeń

  1. Wprowadzenie obowiązkowych skanów: Po nowelizacji ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (AML) Bank zmienił procedury, nakazując pracownikom skanowanie dowodów osobistych przy większości czynności, nawet jeśli nie było to wymagane przepisami.

  2. Bezrefleksyjne stosowanie procedur: Instrukcje wewnętrzne Banku nie rozróżniały sytuacji wymagających identyfikacji od tych, w których wystarcza okazanie dokumentu; efektem było skanowanie również przy zgłaszaniu reklamacji czy prośbach o informację.

  3. Brak analizy ryzyka: Bank nie przeprowadzał oceny ryzyka prania pieniędzy i finansowania terroryzmu; pracownicy nie sprawdzali, czy skanowanie jest konieczne, co stoi w sprzeczności z obowiązkiem indywidualnej oceny ryzyka AML.

  4. Nadmierne przetwarzanie danych: Skanowane dokumenty zawierały pełen zestaw danych osobowych (imię, nazwisko, numer PESEL, zdjęcie, numer i seria dowodu), co narażało klientów na ryzyko kradzieży tożsamości.

  5. Duża skala naruszenia: Proceder trwał od 1 kwietnia 2019 r. do 23 września 2020 r. i dotyczył ogromnej liczby klientów – w 2020 r. bank obsługiwał około 4,72 mln osób, w tym 4,24 mln klientów indywidualnych oraz 486 tys. klientów korporacyjnych. Masowe przetwarzanie danych bez podstawy prawnej zwiększało odpowiedzialność banku i ryzyko dla praw osób, których dane dotyczą.

  6. Kontrola i nałożenie kary: W lutym 2020 r. Urząd Ochrony Danych Osobowych przeprowadził w banku kontrolę, która wykazała naruszenia przepisów RODO. Prezes UODO stwierdził, że bank przetwarzał dane bez podstawy prawnej i, biorąc pod uwagę skalę oraz brak analizy celu skanowania, nałożył administracyjną karę pieniężną w wysokości 18 416 400 zł.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Przeprowadzaj ocenę ryzyka AML przed skanowaniem: Instytucje obowiązane powinny każdorazowo ustalić, czy wykonanie skanu jest niezbędne w ramach stosowania środków bezpieczeństwa finansowego; kopiowanie dokumentów jest legalne tylko w takiej sytuacji.

  2. Stosuj zasadę minimalizacji danych: Zbieraj wyłącznie te informacje, które są konieczne do realizacji celu; w większości przypadków wystarcza okazanie dokumentu do wglądu, bez wykonywania jego kopii.

  3. Wdrażaj ochronę danych już na etapie projektowania: Zgodnie z art. 25 RODO należy wdrożyć odpowiednie środki techniczne i organizacyjne jeszcze przed rozpoczęciem przetwarzania; należy regularnie weryfikować skuteczność tych środków i dostosowywać je do ryzyka.

  4. Ujednolicaj procedury i przeprowadzaj szkolenia pracowników: Instrukcje powinny jasno określać, kiedy wolno skanować dokumenty, a kiedy nie; pracownicy powinni być cyklicznie szkoleni w zakresie ochrony danych i przepisów AML.

  5. Zwiększ transparentność wobec klientów: Administrator danych powinien informować osoby, których dane dotyczą, o podstawie prawnej skanowania i celu przetwarzania; jawne komunikowanie buduje zaufanie i ułatwia realizację praw osób.

  6. Prowadź regularne audyty i aktualizuj procedury: Systematyczne kontrole wewnętrzne pozwalają wykrywać nieprawidłowości i wprowadzać korekty; organizacje powinny na bieżąco aktualizować procedury w oparciu o wytyczne EROD oraz rekomendacje organów nadzorczych.

  7. Zapewnij udział Inspektora Ochrony Danych: Inspektor powinien nadzorować projektowanie i stosowanie procedur skanowania, monitorować zgodność z RODO i AML oraz uczestniczyć w szkoleniu personelu.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. Traktorowej 170. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO