Decyzja nakładająca karę ponad 18 mln zł na ING Bank Śląski dobitnie pokazuje konflikt między dwiema, wydawałoby się, równorzędnymi regulacjami. W tej sprawie górę wzięły przepisy o ochronie danych osobowych.
Bank został ukarany przez prezesa Urzędu Ochrony Danych Osobowych za nieuprawnione kopiowanie dowodów osobistych klientów i osób potencjalnie zainteresowanych usługami banku. Organ wskazał, że w strukturach brakowało mechanizmów weryfikujących, czy tego rodzaju praktyka jest rzeczywiście uzasadniona obowiązkiem stosowania środków bezpieczeństwa finansowego (ŚBF) wynikających z ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (ustawa AML). To jednak nie wysokość sankcji, lecz interpretacja relacji między przepisami RODO a ustawą AML wywołała gorącą dyskusję wśród prawników, banków i regulatorów.
Prezes UODO przyznaje prymat RODO
Decyzja prezesa UODO unaocznia istotny problem normatywny wynikający z relacji między wskazanymi normami. Istota sporu sprowadza się do tego, czy wykonywanie i przechowywanie kopii dokumentów tożsamości klientów stanowi działanie nadmiarowe w świetle RODO, czy też obowiązek ustawowy wynikający z AML, realizowany w ramach stosowania ŚBF. Status instytucji obowiązanej nie oznacza bowiem pełnej swobody w zakresie przetwarzania danych osobowych, ale równocześnie ochrona danych osobowych nie powinna prowadzić do faktycznego paraliżu systemu AML. Skuteczne przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu wymaga bowiem, aby instytucje obowiązane miały realne, szerokie kompetencje do samodzielnego kształtowania ŚBF.
Decyzja prezesa UODO może mieć dalekosiężne skutki – nie tylko dla banków, lecz także dla wszystkich instytucji zobowiązanych do stosowania przepisów AML. Można się spodziewać, że sprawa stanie się przedmiotem wnikliwej kontroli sądowej i wyznaczy kierunek dalszej praktyki na styku prawa ochrony danych i regulacji przeciwdziałania praniu pieniędzy.
Według komunikatu UODO decyzja oparta została na konsekwentnej linii interpretacyjnej, tej samej, którą UODO prezentował już w 2019 r. (pismo ZSPR.027.306.2019 do prezesa Związku Banków Polskich): instytucje obowiązane, takie jak banki, mogą kopiować dokumenty tożsamości wyłącznie wtedy, gdy istnieje ku temu wyraźne i niezbędne uzasadnienie wynikające z ustawy AML. Sama praktyka profilaktycznego skanowania dokumentów – bez powiązania z indywidualną oceną ryzyka – ma być sprzeczna z zasadami RODO, w szczególności z art. 5 ust. 1 lit. b i c, dotyczącymi celowości i minimalizacji przetwarzania danych.
W komunikacie UODO padło jednoznaczne stwierdzenie: „Skanowanie dowodów tożsamości przez instytucje obowiązane jest legalne jedynie wtedy, gdy wiąże się z koniecznym z punktu widzenia ustawy AML zastosowaniem ŚBF”. Podkreślono przy tym, że bank powinien wdrożyć podejście oparte na ryzyku i dopiero na tej podstawie projektować ŚBF. Oznacza to, że instytucja musi najpierw przeprowadzić ocenę ryzyka prania pieniędzy i finansowania terroryzmu, a dopiero później – jeśli rzeczywiście wykaże taką konieczność – kopiować dokumenty tożsamości jako element uzasadnionych działań AML.
Załóż konto lub zaloguj się
i zyskaj dostęp na 14 dni za darmo.
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone.
Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję.