Szanowni Państwo,
Informujemy, że na stronie internetowej UODO pojawił się komunikat o wydaniu przez Prezesa UODO decyzji w stosunku do ING Banku Śląskiego nakładającej na bank karę w kwocie 18 mln 416 tys. 400 zł. za nieuprawnione skanowanie dowodów osobistych klientów banku, w oparciu o wewnętrzne procedury AML.
Prezes UODO wskazał, że przetwarzanie danych osobowych pozyskiwanych poprzez kopiowanie (skanowanie) dokumentów tożsamości przez bank musi być poprzedzone analizą celowości, tj. zweryfikowaniem, czy rzeczywiście taka czynność jest niezbędna. Bank tego nie robił i nadmiernie skanował dowody osobiste klientów i potencjalnych klientów nawet wtedy, gdy ci składali np. reklamacje. Bank nie sprawdzał, czy działania takie są uzasadnione wymogiem stosowania przez bank środków bezpieczeństwa finansowego na podstawie ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (AML).
W wyniku kontroli dokonanej przez Prezesa UODO w banku okazało się, że bank przyjął w swoich procedurach, że w każdym z przypadków wskazanych w tych procedurach i instrukcjach powinno się wykonać skan dokumentu tożsamości klienta lub potencjalnego klienta – w wielu sytuacjach od jego uzyskania uzależniając wykonanie czynności na rzecz klienta.
Prezes UODO podkreśli, że skanowanie dowodów tożsamości przez instytucje obowiązane jest legalne w kontekście ustawy AML jedynie wtedy, gdy wiąże się z koniecznym z punktu widzenia tej ustawy zastosowaniem środków bezpieczeństwa finansowego mających na celu przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu. Podmiot obowiązany powinien zatem przeprowadzić indywidualną ocenę ryzyka prania pieniędzy i finansowania terroryzmu i zaprojektować środki bezpieczeństwa odpowiednie do jej wyniku. Jak wskazuje Prezes UODO: „Dopiero jeśli instytucja obowiązana wykaże, że w celu przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu konieczne jest stosowanie środków bezpieczeństwa finansowego wiążące się z przetwarzaniem informacji zawartych w dokumentach tożsamości oraz sporządzaniem ich kopii (skanów), wtedy ma prawo żądać ich wykonania.”
Mając na uwadze powyższą decyzję, jeśli jesteście Państwo podmiotem obowiązanym w rozumieniu ustawy AML, to projektując w swoich procedurach środki bezpieczeństwa finansowego mające na celu przeciwdziałanie praniu pieniędzy i finansowania terroryzmu musicie Państwo dokonać indywidualnej oceny/analizy ryzyka prania pieniędzy i finansowania terroryzmu i dobrać takie środki bezpieczeństwa, które są odpowiednie do wyniku takiej oceny/analizy w odniesieniu do przetwarzania danych konkretnych osób/kategorii osób, których dane dotyczą i wykonywanych w odniesieniu do tych danych czynności faktycznych i prawnych. W razie braku posiadania takiej udokumentowanej analizy, rekomendujemy uzupełnienie tego braku.
W razie potrzeby, służymy pomocą.
Zespół Kancelarii Kulczycki, Puławska s. c.