Ochrona danych osobowych warta miliony
Urząd Ochrony Danych Osobowych cyklicznie prowadzi kontrole w instytucjach, które zbierają i przetwarzają dane osobowe. Działania takie mają na celu uniknięcie nieprawidłowego przetwarzania danych osobowych i zapewnienie tym danym bezpieczeństwo – wiadomo, żyjemy przecież w czasach, kiedy nieuprawniony dostęp do danych może nas naprawdę słono kosztować.
Wymagania prawne względem pracy z danymi osobowymi są naprawdę wygórowane – wszystko dla zapewnienia bezpieczeństwa w tym zakresie. Tym razem kontrola UODO nie zakończyła się dobrze dla jednego z wiodących banków, działających na terenie Polski. ING Bank Śląski, zdaniem PUODO nieprawidłowo przetwarzał dane osobowe, co zakończyło się nałożeniem na tę instytucję finansową kary w kwocie 18 mln 416 tys. 400 zł.
ING Bank Śląski przekroczył uprawnienia
Nieprawidłowości dotyczyły czasów niemalże zamierzchłych, ponieważ zgodnie z informacjami, zawartymi na stronie Urzędu Ochrony Danych Osobowych:
Sprawdź polecane oferty
RRSO 21,36%
Od 1 kwietnia 2019 r. do 23 września 2020 r. ING Bank Śląski skanował dokumenty tożsamości klientów i potencjalnych klientów. Nie sprawdzano czy działania takie są uzasadnione wymogiem stosowania przez bank środków bezpieczeństwa finansowego na podstawie ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (AML).
Konkretnie chodzi o sytuację, w której bank zmienił swoje wewnętrzne procedury, które w niektórych przypadkach zakładały skanowanie dokumentów tożsamości klientów lub potencjalnych klientów, a od zgody klienta (bądź potencjalnego klienta) na wykonanie takiego skanu, ING Bank Śląski uzależniał wykonanie odpowiednich czynności. Nie zawsze jednak bank miał ku temu dobry powód. Jak podkreśla PUODO:
Bank nie dokonywał więc indywidualnej oceny ryzyka wiążącego się z danym klientem i podejmowanymi przez niego działaniami. Dokumenty tożsamości skanowane były także w przypadkach niewiążących się z realizacją obowiązków określonych przepisami ustawy AML (np. przy reklamacji dotyczącej bankomatu). Skanowanie dowodów tożsamości przez instytucje obowiązane jest legalne w kontekście ustawy AML jedynie wtedy, gdy wiąże się z koniecznym z punktu widzenia tej ustawy zastosowaniem środków bezpieczeństwa finansowego mających na celu przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu.
Dane nie wyciekły, PUODO jest jednak bezlitosny
Jak widać, ING Bank Śląski przekroczył w tym przypadku uprawnienia. Jak wynika z informacji przekazanej przez UODO, zadaniem banku jest przeprowadzenie indywidualnej oceny ryzyka prania pieniędzy i finansowania terroryzmu i zaprojektowanie środków bezpieczeństwa odpowiednich do jej wyniku (podejście oparte na ryzyku). Dopiero na podstawie takiej analizy ryzyka bank może zastosować środki bezpieczeństwa finansowego, związane z przetwarzaniem informacji zawartych w dokumentach, w tym skanów takich dokumentów.
Można więc stwierdzić, że w tym przypadku ING Bank Śląski chciał być bardziej papieski od papieża. Dane były odpowiednio chronione, gdyż PUODO nałożył karę jedynie za gromadzenie skanów dokumentów, nie zaś za incydenty związane z naruszeniem bezpieczeństwa danych. Jak podkreśla PUODO:
Bank jako administrator danych poprzez swoje działania naruszył przepisy o ochronie danych osobowych (art. 5 ust. 1 lit. a, b i c, a także art. 6 ust. 1 RODO). Naruszenie polegało na bezpodstawnym przetwarzaniu danych osobowych obecnych i potencjalnych klientów pozyskiwanych poprzez skanowanie dokumentów tożsamości w sytuacjach niepowiązanych z jego obowiązkami wynikającymi z ustawy AML (…). Z wyjaśnień Banku wynika, że praktyka kopiowania dokumentów tożsamości dotyczyła potencjalnie dużej grupy klientów w stosunkowo długim czasie (tj. przez okres ok. 18 miesięcy: od 1 kwietnia 2019 r. do 23 września 2020 r.), co wskazuje na dużą skalę tego przetwarzania, natomiast nie stwierdzono, aby klienci ponieśli z tego tytułu szkodę.
