W ostatnim czasie Urząd Ochrony Danych Osobowych nałożył rekordową karę – ponad 18 mln zł – na ING Bank Śląski za bezpodstawne skanowanie dowodów osobistych klientów i osób zainteresowanych usługami banku. Sprawa ta to ważny sygnał nie tylko dla banków, ale także dla wszystkich biur usług płatniczych (BUP) i innych instytucji obowiązanych do stosowania ustawy AML.

Co ustalił UODO
Kontrola wykazała, że bank rutynowo kopiował dokumenty tożsamości, niezależnie od celu kontaktu z klientem – nawet przy zwykłej reklamacji czy zapytaniu ofertowym. Takie działanie nie wynikało z obowiązków określonych w ustawie o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu (AML), a więc nie miało podstawy prawnej w RODO.
Zgodnie z ustaleniami, od kwietnia 2019 do września 2020 roku bank masowo gromadził skany dowodów osobistych, nie przeprowadzając przy tym indywidualnej oceny ryzyka AML. W praktyce oznaczało to, że klienci byli zobowiązani do okazania i skanowania dowodu także w sytuacjach, gdy nie było to wymagane przez przepisy.
Prezes UODO uznał, że doszło do naruszenia podstawowych zasad przetwarzania danych, m.in. zgodności z prawem, minimalizacji i ograniczenia celu.

Co to oznacza dla biur usług płatniczych
Biura usług płatniczych, podobnie jak banki, są instytucjami obowiązanymi w rozumieniu ustawy AML. Oznacza to, że mogą kopiować dokumenty tożsamości klientów tylko wtedy, gdy:

  • jest to niezbędne do realizacji środków bezpieczeństwa finansowego,
  • wynika to z indywidualnej oceny ryzyka,
  • czynność jest uzasadniona celem przeciwdziałania praniu pieniędzy lub finansowaniu terroryzmu.
    Samo powołanie się na „obowiązki AML” nie wystarczy. Zanim BUP zdecyduje się wykonać kopię lub skan dokumentu, powinien przeprowadzić analizę celowości i udokumentować, że działanie jest konieczne.

Dlaczego to ważne
W świetle przepisów RODO dane z dowodu osobistego, takie jak numer PESEL, wizerunek, czy imiona rodziców, mają wysoką wrażliwość. Ich nieuzasadnione kopiowanie naraża klientów na poważne konsekwencje – od kradzieży tożsamości po wyłudzenia. Dlatego instytucje finansowe muszą wykazać szczególną staranność i zachować zasadę minimalizacji danych.

Wnioski dla praktyki

  1. Nie kopiuj automatycznie – każdorazowo oceń, czy skanowanie dokumentu jest niezbędne z punktu widzenia AML.
  2. Udokumentuj decyzję – przygotuj krótką adnotację w rejestrze decyzji o kopiowaniu, z uzasadnieniem i podpisem osoby odpowiedzialnej.
  3. Aktualizuj procedury AML – sprawdź, czy Twoje instrukcje i wzory dokumentów nie przewidują kopiowania z automatu.
  4. Przeszkol pracowników – aby wiedzieli, kiedy kopiowanie jest uzasadnione, a kiedy stanowi naruszenie RODO.

Gdzie przeczytać więcej
Pełny opis sprawy, wraz z uzasadnieniem decyzji i komentarzem Prezesa UODO, dostępny jest na stronie Urzędu Ochrony Danych Osobowych:
„Bank nie może skanować dowodów osobistych klientów bez stosownej analizy celowości” – komunikat UODO
Decyzja UODO


Jeśli prowadzisz biuro usług płatniczych i chcesz mieć pewność, że Twoje procedury AML i RODO są prawidłowe, warto przeprowadzić krótką analizę wewnętrzną i przygotować rejestr decyzji o kopiowaniu dokumentów – taki rejestr przydaje się przy każdej kontroli KNF lub UODO.

Podobne wpisy

SPR-PF-18 DORA

SPR-PF-18 DORA

Przezadmin

100% naszych Partnerów Biznesowych zdołało skutecznie złożyć wymagane sprawozdania SPR-PF-18 do KNF. Proces walidacji składanych plików zakończony został sukcesem. To były duże emocje chyba u każdego właściciela BUP, z uwagi na fakt, iż to pierwsza…

Limity transakcyjne w Biurze Usług Płatniczych – ile możesz przyjąć od jednego klienta?

Limity transakcyjne w Biurze Usług Płatniczych – ile możesz przyjąć od jednego klienta?

Przezadmin

Jednym z obowiązków, które spoczywają na przedsiębiorcy prowadzącym Biuro Usług Płatniczych (BUP), jest przestrzeganie limitów kwotowych dotyczących transakcji dokonywanych na rzecz jednego klienta. Ustawodawca wprowadził te ograniczenia, aby zwiększyć bezpieczeństwo systemu płatniczego i ograniczyć ryzyko…