Czy bank może skanować dowód osobisty klienta? Tak, ale wcale nie w każdej sytuacji

Przekroczenie granic ustawowych obowiązków 

Analiza naruszenia dokonanego przez jeden z banków wskazuje na systemowy błąd w projektowaniu procedur. W okresie od kwietnia 2019 r. do września 2020 r. instytucja przyjęła praktykę masowego skanowania dokumentów tożsamości, czyniąc z tej czynności warunek konieczny do realizacji wielu usług.  

Problem polega na tym, że prawo do kopiowania dokumentu na podstawie ustawy AML jest legalne wyłącznie wtedy, gdy jest to niezbędne do zastosowania środków bezpieczeństwa finansowego w konkretnym, uzasadnionym przypadku. 

Bank zaniechał indywidualnej oceny ryzyka, stosując podejście ujednolicone. Dochodziło do sytuacji absurdalnych z punktu widzenia ochrony danych: dowody skanowano nawet przy czynnościach tak niskiego ryzyka, jak składanie reklamacji dotyczącej działania bankomatu.  

Weryfikacja celowości wykazała, że bank gromadził dane nadmiarowe, naruszając zasady minimalizacji i legalności przetwarzania określone w art. 5 oraz art. 6 RODO. Przetwarzanie danych takich jak wizerunek, numer PESEL, imiona rodziców czy nazwisko rodowe bez wyraźnego związku z obowiązkiem przeciwdziałania terroryzmowi lub praniu pieniędzy, zostało uznane za działanie bezpodstawne. 

Odpowiedzialność administratora w skali makro 

Skala naruszenia jest tu istotnym czynnikiem dla wysokości nałożonej kary. Bank operuje na ogromnej bazie klientów, przekraczającej 4,7 mln osób. Prezes UODO słusznie podniósł, że masowy charakter przetwarzania danych musi wiązać się z wyższym poziomem należytej staranności. Choć w toku postępowania nie stwierdzono, aby klienci ponieśli bezpośrednią szkodę majątkową, samo ryzyko naruszenia ich praw i wolności uznano za wysokie. 

Należy pamiętać, że zestaw danych zawartych w skanie dowodu osobistego – z numerem PESEL na czele – pozwala na pełną identyfikację osoby fizycznej. W rękach niepowołanych osób takie informacje stanowią fundament do kradzieży tożsamości czy wyłudzenia finansowania. Bank jako profesjonalny uczestnik obrotu, od którego oczekuje się szczególnej dbałości o standardy prawne, nie może zasłaniać się wewnętrznymi procedurami, jeśli stoją one w sprzeczności z konstytucyjną i ustawową ochroną prywatności. 

Sygnał dla sektora finansowego i ostrzeżenie w jednym 

W tym konkretnym przypadku Prezes UODO podjął decyzję o ukaraniu banku kwotą ponad 18 mln złotych. Decyzja ta ma charakter odstraszający i wyznacza nową granicę weryfikacji przejrzystości działań instytucji obowiązanych. Potwierdza ona tzw. podejście oparte na ryzyku (risk-based approach). Bank ma prawo do sporządzenia kopii dokumentu, ale dopiero po wykazaniu, że w danym procesie – na przykład przy otwieraniu rachunku lub transakcji powyżej progów ustawowych – jest to środek adekwatny i konieczny. 

Dla klientów jest to sygnał, że nadmierna dociekliwość banku przy prostych czynnościach administracyjnych może być kwestionowana. Instytucja finansowa nie jest urzędem o nieograniczonych uprawnieniach, lecz administratorem danych, który za błędy w analizie celowości płaci wymierną cenę fiskalną.  

Obserwuj nas w Google Discover

Podobają Ci się nasze treści?

Google Discover

Obserwuj