Prezes Urzędu Ochrony Danych Osobowych (UODO) nałożył na ING Bank Śląski rekordową karę – ponad 18 milionów złotych. Powodem była nieuzasadniona praktyka masowego skanowania dowodów osobistych klientów oraz potencjalnych klientów. UODO wskazał, że bank nie wykazał celowości i proporcjonalności takiego działania, naruszając tym samym podstawowe zasady RODO.

Choć sprawa dotyczy jednego z największych banków w Polsce, powinna być sygnałem ostrzegawczym dla całego rynku – także dla sektora MŚP, który często nie dysponuje rozbudowanymi działami prawnymi czy compliance.

Dlaczego dane z dowodu osobistego są tak wrażliwe?

Dowód osobisty zawiera pełen zestaw danych identyfikacyjnych, m.in. imię i nazwisko, PESEL, numer dokumentu, serię, datę ważności, a nawet wizerunek. Posiadanie skanu dowodu w niepowołanych rękach otwiera drogę do poważnych nadużyć:

• wyłudzeń kredytów i pożyczek,
• fałszowania tożsamości,
• rejestracji fikcyjnych działalności gospodarczych,
• dostępu do usług na cudze nazwisko.

Dlatego zarówno klienci, jak i przedsiębiorcy muszą być szczególnie ostrożni przy udostępnianiu i przetwarzaniu tego dokumentu.

Kiedy można skanować dowód osobisty zgodnie z prawem?

RODO i przepisy szczególne dopuszczają skanowanie lub kopiowanie dowodu osobistego tylko w ściśle określonych sytuacjach, gdy istnieje wyraźna podstawa prawna. Przykłady:

• Banki i instytucje finansowe – w zakresie wynikającym z ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu (AML).
• Operatorzy telekomunikacyjni – przy zawieraniu umów na usługi telekomunikacyjne, gdy wymagają tego przepisy.
• Pracodawcy – tylko w szczególnych przypadkach, np. przy zatrudnianiu cudzoziemców, jeśli wymaga tego prawo.
• Notariusze i podmioty rynku kapitałowego – w ramach realizacji obowiązków ustawowych.

W każdym innym przypadku administrator danych powinien ograniczyć się do spisania niezbędnych danych z dokumentu, bez jego kopiowania.

Wnioski dla przedsiębiorców z sektora MŚP

Sprawa ING Banku Śląskiego pokazuje, jak istotne jest:

• weryfikowanie, czy istnieje podstawa prawna do kopiowania dokumentu,
• wdrażanie zasady minimalizacji danych (zbieramy tylko te dane, które są rzeczywiście potrzebne),
• dokumentowanie podstaw prawnych w politykach i procedurach,
• szkolenie pracowników, aby wiedzieli, kiedy wolno, a kiedy nie wolno kopiować dokumentów tożsamości.

Kara 18 mln zł dla dużego banku unaocznia również, że UODO nie bagatelizuje naruszeń w tym obszarze. Dla MŚP konsekwencje finansowe mogłyby być równie dotkliwe – proporcjonalnie do skali działalności.

Wniosek: Wdrożenie RODO w praktyce to nie tylko obowiązek formalny, ale realna ochrona klientów i samego biznesu. Nieuzasadnione kopiowanie dowodów osobistych to ryzyko, na które żadna firma nie powinna sobie pozwolić. Fundacja Entropia i jej eksperci posiadają wieloletnie doświadczenie we wdrażaniu rozwiązań z obszaru przetwarzania danych osobowych (RODO) w sektorze MŚP. Dzięki naszej pomocy wiele organizacji nie musi się martwić, czy ich procesy są zgodne z przepisami oraz czy nie narażają działalności na ryzyko naruszenia ochrony danych osobowych a co za tym idzie kar finansowych nakładanych przez PUODO.

W celu wypracowania indywidualnych rozwiązań dostosowanych do Twojej organizacji, skontaktuj się z Fundacją Entropia. Nie ryzykuj kary. Postaw na zgodność z RODO – audyty, wdrożenia i szkolenia szyte na miarę Twojej firmy.

Szybki kontakt możliwy jest z wykorzystaniem formularza kontaktowego:

Artykuł ING Bank Śląski ukarany za RODO – lekcja dla całego rynku pochodzi z serwisu .

Tym razem 201 tys. zł kary dostała spółka ClickQuickNow, która zdaniem UODO utrudniała realizację prawa do wycofania zgody na przetwarzanie danych.

O co chodzi?

Jak dobrze wiecie, zgoda jest jedną z podstaw przetwarzania danych osobowych i zgodnie z przepisami RODO powinna ona być dobrowolna, świadoma, konkretna i jednoznaczna.

Dalej przepisy RODO w sposób wyraźny akcentują możliwość wycofania udzielonej zgody na przetwarzanie swoich danych osobowych. Wymagania jakie stawia unijny ustawodawca to przede wszystkim obowiązek poinformowania – jeszcze przed wyrażeniem zgody – :

1. – o możliwości jej wycofania;
2. – o tym, że wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem,
3. oraz obowiązek zapewnienia przez administratora, aby wycofanie zgody było równie łatwe co jej wyrażenie.

W odniesieniu do punktu trzeciego możemy powiedzieć, że administrator planując pozyskanie zgody powinien już na etapie projektowania przewidzieć mechanizm jej wycofania, a więc zastanowić się, jak zgodę tę będzie można odwołać. (przykład polityki privacy by design, o której pisaliśmy tutaj).

Generalnie kluczowe do zapamiętania jest tutaj to, że proces wycofania zgody na przetwarzanie danych ma być równie łatwy co proces jej wyrażenia. Tymczasem stosowany przez spółkę mechanizm polegał na użyciu linku zamieszczonego w treści informacji handlowej, który to link prowadził do komunikatów wprowadzających w błąd. Spółka wymuszała też podanie przyczyny wycofania zgody, co zdaniem UODO było zbędnym utrudnieniem. Z decyzji wynika też, że spółka ignorowała e-maile wyraźnie świadczące o wycofaniu zgód (zdaniem spółki te e-maile nie identyfikowały dobrze osób i nie dawały wyraźnej informacji o żądaniu).

UODO nałożył karę w wysokości 201 559,50 zł. Nakazał też zmodyfikować proces odwoływania zgody oraz usunąć dane osób, które nie są klientami firmy i jednocześnie zażądały zaprzestania przetwarzania danych osobowych.

Co ciekawe, UODO ustalając wysokość administracyjnej kary pieniężnej nie uwzględnił żadnej okoliczności łagodzącej i stanął na stanowisku, że działanie Spółki było umyślne.

Treść decyzji znajdą Państwo tutaj: (ZSPR.421.7.2019).

Artykuł Nie wolno utrudniać wycofania zgody na przetwarzanie danych – 200 tys. zł kary za RODO pochodzi z serwisu .