Aktualności

Kara od UODO dla ING: Zderzenie przepisów RODO i AML

K C

K C

2 min read
ING bank śląski
źródło: Unsplash

Prezes Urzędu Ochrony Danych Osobowych (UODO) nałożył na ING Bank Śląski karę w wysokości 18,4 mln zł. Powód? Masowe skanowanie dokumentów tożsamości, które urząd uznał za naruszenie zasady minimalizacji danych. Bank broni się, wskazując na obowiązki wynikające z ustawy o przeciwdziałaniu praniu pieniędzy (AML) i zapowiada odwołanie do sądu.

Spór koncentruje się wokół interpretacji przepisów. ING, od wejścia w życie ustawy AML w 2018 roku, wdrożył wewnętrzne procedury nakazujące skanowanie dowodów osobistych klientów, a nawet osób, które dopiero miały nimi zostać. Bank utrzymuje, że działał w oparciu o art. 34 ustawy AML, który pozwala instytucjom finansowym na „sporządzanie kopii” dokumentów tożsamości w celu weryfikacji klienta.

Zdaniem UODO bank nadinterpretował te uprawnienia. Regulator zarzuca, że ING stosował tę praktykę automatycznie, bez indywidualnej oceny ryzyka związanego z danym klientem. Urząd podkreśla, że kopiowanie dokumentów jest uprawnieniem, a nie obowiązkiem, i powinno być stosowane tylko wtedy, gdy jest to niezbędne do wypełnienia obowiązków AML. Jako skrajny przykład podano sytuację, w której bank zażądał skanu dowodu od osoby niezwiązanej z bankiem, chcącej jedynie złożyć reklamację dotyczącą bankomatu.

Kwota 18,4 mln zł jest drugą co do wysokości karą nałożoną przez polski organ nadzorczy i najwyższą w sektorze prywatnym. UODO uzasadnia jej wysokość kilkoma czynnikami:

Masowa skala: proceder dotyczył milionów osób.

Umyślny charakter: naruszenie wynikało ze świadomie przyjętych procedur wewnętrznych.

Wcześniejsze naruszenia: w decyzji przywołano kilkadziesiąt wcześniejszych przypadków, w których bank naruszał przepisy o ochronie danych.

Dodatkowym czynnikiem branym pod uwagę był roczny obrót banku, który stanowi punkt odniesienia przy wymierzaniu sankcji finansowych.

Decyzja UODO porusza również głębszy problem – nawet w sytuacjach, gdy skanowanie jest uzasadnione, pozyskiwanie wizerunku całego dokumentu może być nadmiarowe. Urząd sugeruje, że gromadzenie wszystkich danych z dowodu, jak wizerunek czy wzrost, wykracza poza cel, jakim jest identyfikacja klienta na potrzeby AML.

Po kontroli ING zmienił swoje procedury, ograniczając skanowanie dokumentów głównie do sytuacji zakładania konta lub zmiany danych. Dla UODO jest to dowód, że wcześniejsza, szeroko zakrojona praktyka nie była konieczna. Sprawa, która trafi teraz do sądu administracyjnego, stanie się ważnym precedensem dla całego sektora finansowego, próbującego pogodzić rygorystyczne wymogi AML z równie surowymi zasadami RODO.

Read more

cyberbezpieczeństwo

AI demokratyzuje cyberprzestępczość. Windows na celowniku hakerów

Sztuczna inteligencja, powszechnie uznawana za motor napędowy innowacji w biznesie, stała się równie potężnym narzędziem w rękach przestępców. Najnowszy Elastic 2025 Global Threat Report, oparty na analizie ponad miliarda punktów danych, rzuca światło na niepokojący trend: bariera wejścia do świata cyberprzestępczości drastycznie maleje, a zautomatyzowane ataki stają się nowym standardem

By Natalia Zębacka