Bank nie może skanować dowodów osobistych klientów bez stosownej analizy celowości

Przetwarzanie danych osobowych pozyskiwanych poprzez kopiowanie (skanowanie) dokumentów tożsamości przez bank musi być poprzedzone analizą celowości, tj. zweryfikowaniem, czy rzeczywiście taka czynność jest niezbędna. Bank tego nie robił i nadmiernie skanował dowody osobiste klientów i potencjalnych klientów nawet wtedy, gdy ci składali np. reklamacje. Stąd kara nałożona przez Prezesa UODO Mirosława Wróblewskiego w kwocie 18 mln 416 tys. 400 zł.

Od 1 kwietnia 2019 r. do 23 września 2020 r. ING Bank Śląski skanował dokumenty tożsamości klientów i potencjalnych klientów. Nie sprawdzano czy działania takie są uzasadnione wymogiem stosowania przez bank środków bezpieczeństwa finansowego na podstawie ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (AML).

Urząd Ochrony Danych Osobowych przeprowadził kontrolę, która dotyczyła przetwarzania przez bank danych osobowych klientów oraz potencjalnych klientów. Chodziło o kopie (skany) dokumentów tożsamości. W trakcie kontroli sprawdzono w szczególności: podstawę prawną przetwarzania danych osobowych, zakres i rodzaj przetwarzanych danych osobowych, a także sposób oraz cel zbierania i udostępniania danych.

Okazało się, że przed nowelizacją przepisów ustawy AML, co nastąpiło 13 lipca 2018 r., bank nie kopiował dokumentów tożsamości klientów. Potem jednak, po przeprowadzeniu analiz, uzgodnień i wprowadzeniu zmian w procesach bankowych, nastąpiła zmiana w praktyce i w procedurach. Przyjęto, że w każdym z przypadków wskazanych w tych procedurach i instrukcjach powinno się wykonać skan dokumentu tożsamości klienta lub potencjalnego klienta – w wielu sytuacjach od jego uzyskania uzależniając wykonanie czynności na rzecz klienta.

Bank nie dokonywał więc indywidualnej oceny ryzyka wiążącego się z danym klientem i podejmowanymi przez niego działaniami. Dokumenty tożsamości skanowane były także w przypadkach niewiążących się z realizacją obowiązków określonych przepisami ustawy AML (np. przy reklamacji dotyczącej bankomatu).

Skanowanie dowodów tożsamości przez instytucje obowiązane jest legalne w kontekście ustawy AML jedynie wtedy, gdy wiąże się z koniecznym z punktu widzenia tej ustawy zastosowaniem środków bezpieczeństwa finansowego mających na celu przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu.

Zadaniem banku jest przeprowadzenie indywidualnej oceny ryzyka prania pieniędzy i finansowania terroryzmu i zaprojektowanie środków bezpieczeństwa odpowiednich do jej wyniku (podejście oparte na ryzyku). Dopiero jeśli instytucja obowiązana wykaże, że w celu przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu konieczne jest stosowanie środków bezpieczeństwa finansowego wiążące się z przetwarzaniem informacji zawartych w dokumentach tożsamości oraz sporządzaniem ich kopii (skanów), wtedy ma prawo żądać ich wykonania.

Bank jako administrator danych poprzez swoje działania naruszył przepisy o ochronie danych osobowych (art. 5 ust. 1 lit. a, b i c, a także art. 6 ust. 1 RODO). Naruszenie polegało na bezpodstawnym przetwarzaniu danych osobowych obecnych i potencjalnych klientów pozyskiwanych poprzez skanowanie dokumentów tożsamości w sytuacjach niepowiązanych z jego obowiązkami wynikającymi z ustawy AML.

Jak wynika z raportów banku, np. w 2020 r. liczba klientów wynosiła 4,72 mln, w tym 4,24 mln klientów indywidualnych oraz 486 tys. klientów korporacyjnych. Masowe przetwarzanie musi się wiązać z wyższym poziomem odpowiedzialności administratora i z wyższym poziomem należytej staranności wymaganej od niego, gdyż może skutkować negatywnymi konsekwencjami dla wielu osób.

Należy także podnieść, że od Banku należy oczekiwać profesjonalnego podejścia do kwestii podstaw prawnych przetwarzania danych.

Z wyjaśnień Banku wynika, że praktyka kopiowania dokumentów tożsamości dotyczyła potencjalnie dużej grupy klientów w stosunkowo długim czasie (tj. przez okres ok. 18 miesięcy: od 1 kwietnia 2019 r. do 23 września 2020 r.), co wskazuje na dużą skalę tego przetwarzania, natomiast nie stwierdzono, aby klienci ponieśli z tego tytułu szkodę.

Przetwarzane przez Bank dane osobowe, pozyskiwane poprzez skanowanie dokumentów tożsamości, wprawdzie nie należą do szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 i art. 10 RODO, jednakże ich zakres (tj. m.in.: imię i nazwisko, numer PESEL, wizerunek, data urodzenia, imiona rodziców, nazwisko rodowe, numer i seria dokumentu tożsamości), wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych.

Numer PESEL wraz z imieniem i nazwiskiem w sposób jednoznaczny identyfikuje osobę fizyczną, w sposób pozwalający przypisać negatywne skutki naruszenia (np. kradzież tożsamości, wyłudzenie pożyczki) tej konkretnej osobie.

W ocenie Prezesa UODO zastosowana administracyjna kara pieniężna jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.

DKN.5112.6.2020