ING Bank Śląski planuje odwołać się od kary w wysokości 18,4 mln zł nałożonej przez Prezesa Urzędu Ochrony Danych Osobowych (UODO) za digitalizację dokumentów tożsamości klientów, poinformował Piotr Utrata, przedstawiciel banku. Instytucja twierdzi, że gromadzenie takich skanów jest zgodne z wymogami przeciwdziałania praniu pieniędzy (AML).
W poniedziałek „Dziennik Gazeta Prawna” ujawnił, że prezes UODO ukarał ING Bank Śląski za naruszenie przepisów RODO poprzez powielanie materiałów identyfikacyjnych klientów. W publikacji zauważono, że uchwalona w 2018 roku ustawa o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu skłoniła bank do rozpoczęcia praktyki pozyskiwania zdjęć z dowodów osobistych, w tym zdjęć potencjalnych klientów. UODO stwierdził, że działania te były zbyt rozległe i niezgodne ze standardami RODO, o czym poinformował DGP.
Rzecznik ING Banku Śląskiego poinformował PAP, że orzeczenie prezesa UODO „dotyczy procedury skanowania dokumentów tożsamości prowadzonej między kwietniem 2019 a wrześniem 2020 roku”. „Instytucja zamierza zaskarżyć tę decyzję, składając skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie. Podkreślamy, że Bank na wszystkich etapach postępowania w sprawie utrzymywał pełną współpracę z PUODO” – powtórzył Utrata.
Wyjaśnił również, że kopie dokumentów były gromadzone tylko wtedy, gdy było to „niezbędne do wypełnienia obowiązków wynikających z Ustawy”. „Te skany zostały pozyskane wyłącznie w tym celu. Oświadczamy, że ING Bank Śląski ściśle przestrzega obowiązujących norm prawnych i protokołów zgodności (środków zapewniających przestrzeganie przepisów – PAP)” – oświadczył przedstawiciel.
Jak wskazano w decyzji UODO, na którą powołuje się „DGP”, zawarcie umowy kredytowej wymagało na przykład zgody klientów na skanowanie dokumentów. „Bank systematycznie zakładał, że skany identyfikatorów klientów lub potencjalnych klientów powinny być rejestrowane we wszystkich scenariuszach określonych w wytycznych – często uzależniając świadczenie usług od uzyskania takich kopii. W konsekwencji instytucja nie przeprowadzała spersonalizowanych ocen ryzyka dla klientów ani ich transakcji. Takie podejście (…) skutkowało niepotrzebnym skanowaniem dokumentów, niezwiązanym z obowiązkami AML” – podkreślono w decyzji Urzędu.
Gazeta dodała, że prezes UODO wyjaśnił, że przepisy AML nie zezwalają na powszechną digitalizację dokumentów wszystkich osób kontaktujących się z bankiem. „Identyfikacja konkretnych ryzyk jest warunkiem wstępnym wdrożenia odpowiednich zabezpieczeń finansowych” – poinformował DGP. Urząd podkreślił również, że kopiowanie dokumentów jest dyskrecjonalnym prawem banku, wymagającym wcześniejszej analizy w celu ustalenia jego adekwatności.
Po kontroli instytucja otrzymała polecenie zrewidowania swoich protokołów, ograniczając duplikację dokumentów do przypadków związanych z bezpieczeństwem finansowym – głównie podczas rejestracji nowych klientów lub aktualizacji danych. „Późniejsze zaprzestanie skanowania dokumentów tożsamości w wybranych sytuacjach przez bank dowodzi, że takie działania były w tych przypadkach nieuzasadnione, co potwierdza, że wcześniejsze wytyczne operacyjne były sprzeczne z przepisami ustawy o przeciwdziałaniu praniu pieniędzy” – zauważył prezes UODO w decyzji o nałożeniu kary. (PAP)
jls/ mmu/
