Kara dotyczy skanowania dowodów osobistych nie tylko klientów, ale nawet potencjalnych klientów. Bank zaczął to robić w 2018 r. po wejściu w życie ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (t.j. Dz.U. z 2025 r., poz. 644; dalej: ustawa AML). Jej art. 34 ust. 4 pozwala „przetwarzać informacje zawarte w dokumentach tożsamości klienta i osoby upoważnionej do działania w jego imieniu oraz sporządzać ich kopie”. Zdaniem prezesa Urzędu Ochrony Danych Osobowych nie oznacza to jednak, że bank miał prawo do kopiowania dokumentów tożsamości wszystkich już pozyskanych i potencjalnych klientów. Takie działanie UODO uznał za nadmiarowe i naruszające zasady wynikające z art. 5 RODO (przede wszystkim zgodność z prawem przetwarzania).

- Bank pobierał skany dokumentów tożsamości w sytuacjach, w których było to niezbędne do realizacji obowiązków wynikających z ustawy AML. Skany były pozyskiwane wyłącznie w tym celu. Podkreślamy, że ING Bank Śląski przestrzega obowiązujących przepisów prawa oraz zasad compliance – zapewnia Piotr Utrata, rzecznik prasowy ING Banku Śląskiego.

- Bank zamierza zaskarżyć decyzję, korzystając z prawa złożenia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie – dodaje.

Skanowanie dowodów osobistych w banku. Kiedy jest dozwolone?

Po wejściu w życie wspomnianej ustawy AML bank wydał wewnętrzne wytyczne, w których nakazał swoim pracownikom skanowanie dowodów osobistych. Z dokumentów uzyskanych przez prezesa UODO wynika, że od zgody na taki skan uzależniano nawiązanie relacji z klientem, np. podpisanie umowy kredytowej.

Przyjęto po prostu, że w każdym z przypadków wskazanych ww. procedurach i instrukcjach powinno się wykonać skan dokumentu tożsamości klienta lub potencjalnego klienta – w wielu sytuacjach od jego uzyskania uzależniając wykonanie czynności na rzecz klienta. Bank nie dokonywał więc indywidualnej oceny ryzyka wiążącego z danym klientem i podejmowanymi przez niego działaniami. Stosowanie praktyki banku (…) prowadziło do sytuacji, w których dochodziło do skanowania dokumentów tożsamości w przypadkach niewiążących się z realizacją obowiązków określonych przepisami AML” – podkreślono w decyzji urzędu. Jako przykład ewidentnego braku podstaw do skopiowania dokumentów wskazano przypadek osoby, która chciała złożyć reklamację dotyczącą działania bankomatu znajdującego się w placówce banku. Została ona poinformowana przez pracownika instytucji, że przed przyjęciem reklamacji musi zgodzić się na zeskanowanie dowodu osobistego. Dopiero po ustaleniu, że osoba ta nie była klientem banku, usunięto skan z systemu bankowego.

Prezes UODO uznał w swej decyzji, że ustawa AML nie uprawnia do automatycznego skanowania dokumentów wszystkich osób, które nawiązują kontakt z bankiem. Jej celem jest ograniczenie ryzyka prania pieniędzy i finansowania terroryzmu. Tylko zidentyfikowanie tego ryzyka daje podstawę do zastosowania odpowiednio dobranych środków bezpieczeństwa finansowego. Podkreślił również, że kopiowanie dokumentów jest jedynie uprawnieniem, a nie obowiązkiem banku. Decyzja o skanowaniu dowodu powinna być poprzedzona analizą, czy jest to rzeczywiście niezbędne.

Po kontroli bank zmienił swoje procedury, zapewniając, że będzie kopiował dokumenty wyłącznie w celu stosowania i dokumentowania środków bezpieczeństwa finansowego – przede wszystkim przy zawieraniu umów z nowymi klientami lub zmianie ich danych.

„Późniejsze odejście przez bank od praktyki pozyskiwania kopii (skanów) dokumentów tożsamości klientów w części sytuacji potwierdza, że takiej konieczności nigdy w tych przypadkach nie było, że wcześniejsze zasady działania w tym zakresie były – w ocenie samego nawet banku – niezgodne z przepisami ustawy AML” – uznał w decyzji o nałożeniu kary prezes UODO.

Rekordowa kara RODO w Polsce. ING Bank Śląski w centrum uwagi

Kara wysokości 18,4 mln zł jest drugą w historii pod względem wysokości nałożoną za naruszenie przepisów RODO i pierwszą, gdy weźmie się pod uwagę tylko prywatne firmy (wyższą wymierzono jedynie Poczcie Polskiej; patrz: grafika).

- Kara jest wyjątkowo wysoka i w pierwszym momencie może zdumiewać – przyznaje dr hab. Marlena Sakowska-Baryła, prof. UŁ, radczyni prawna, partnerka w kancelarii Sakowska-Baryła, Czaplińska.

- Jeśli jednak rozłożymy ją na czynniki pierwsze, to można znaleźć argumenty za tą wyjątkową wysokością. Przede wszystkim masowość przetwarzanych niezgodnie z prawem danych. Mówimy o danych milionów osób. Po drugie charakter naruszenia przepisów – nieuprawnione działanie banku dotyczy fundamentalnych z perspektywy przetwarzania danych osobowych zasad, a to przecież nie może umykać uwadze, dodatkowo umyślny charakter naruszenia wynikający ze świadomie podjętych przez bank decyzji oraz liczne wcześniejsze naruszenia prawa przywołane w decyzji prezesa UODO – wylicza prawniczka.

W decyzji wskazano kilkadziesiąt wcześniejszych naruszeń, które kończyły się nakazami usunięcia danych czy zakazu przetwarzania danych osobowych oraz upomnieniami. Dodatkowo odwołano się do rocznych obrotów banku, które stanowiły punkt odniesienia do wysokości kary.

Minimalizacja danych osobowych w bankach. Zasady i wymogi RODO

Prezes UODO nie tylko uznał, że w części przypadków nie było podstaw do skanowania dokumentów, ale odwołał się też do zasady minimalizacji zakresu zbieranych danych. Z kilku fragmentów uzasadnienia wynika, że nawet jeśli skanowanie dowodów jest dopuszczalne, to nie powinno dotyczyć wszystkich informacji widniejących na dokumencie.

Cel przetwarzania determinuje niezbędny zakres przetwarzanych danych osobowych. Pomiędzy celem przetwarzania a zakresem przetwarzanych danych powinien istnieć związek, który administrator powinien móc wykazać. Praktyczne zastosowanie analizowanej zasady wiąże się ze zbieraniem wyłącznie danych osobowych niezbędnych do osiągnięcia celu, usuwaniem danych w sytuacji, gdy są one już niepotrzebne do osiągnięcia celu” – można przeczytać w uzasadnieniu decyzji. Dalej prezes pisze, że skanowanie całego dowodu osobistego oznacza wyjście poza zakres niezbędny do identyfikacji klienta, a to właśnie identyfikacja jest celem wskazanym przez ustawę AML.

- Z tym fragmentem uzasadnienia decyzji mam w pewnej mierze problem. Nie chodzi nawet o to, że bank musiałby znaleźć sposób uniemożliwiający skanowanie pewnych informacji z dowodu, bo z tym pewnie za pomocą jakichś środków technicznych można sobie poradzić. Bardziej zastanawiam się, jakich danych bank nie powinien kopiować w sytuacji, gdy kopiowanie dokumentu ma stanowić środek bezpieczeństwa finansowego, więc chodzi o to, aby bank posiadał odwzorowanie tego dokumentu właśnie w tym celu – mówi prof. Marlena Sakowska-Baryła.

- Ustawa AML literalnie daje możliwość skanowania całego dowodu osobistego. I wydaje się, że pozyskanie kopii dowodu jako takiego, a nie pozyskanie z niego wybranych informacji, jest wskazanym wprost ustawie środkiem bezpieczeństwa finansowego – dodaje.