W dniu 26 sierpnia 2025 roku Prezes Urzędu Ochrony Danych Osobowych poinformował na stronie urzędu o wydaniu decyzji nakładającej karę w wysokości ponad 18 mln zł na ING Bank Śląski za nieuprawnione kopiowanie dokumentów tożsamości klientów i potencjalnych klientów.
Cieszy mnie ta decyzja. O kilkunastu lat zajmuję się zarówno tematyką ochrony danych osobowych jak również tematyką AML. Nagminną praktyką banków jest skanowanie dowodów osobistych klientów banku w każdej sytuacji. Zdarzają się takie kuriozalne sytuacje jak wskazana przez Prezesa UODO praktyka skanowania dowodów przez ING Bank Śląski w przypadku zgłaszania reklamacji czy też sytuacja jaka mi się osobiście przydarzyła. Bank skanował po raz drugi mój dowód osobisty ponieważ mam dwa konta w jednym banku (prywatne i dla działalności gospodarczej). Pracownicy banku w ogóle nie są informowani w jakim celu skanowane są dowody. Jedyna informacja jakiej udzielają jest taka: bank ma obowiązek. W mojej opinii przepisy AML, w szczególności przepisy ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, nie dają bankom podstawy prawnej do skanowania dowodów osobistych klientów w każdej sytuacji.
Stosownie do przepisów art. 33 ust. 4 ustawy AML instytucje obowiązane stosują środki bezpieczeństwa finansowego w zakresie i z intensywnością uwzględniającymi rozpoznane ryzyko prania pieniędzy oraz finansowania terroryzmu związane ze stosunkami gospodarczymi lub z transakcją okazjonalną oraz jego ocenę. Natomiast stosownie do przepisów art. 34 ust. 1 ustawy AML wśród środków bezpieczeństwa finansowego bank zobowiązany jest zidentyfikować klienta oraz zweryfikować jego tożsamość. W mojej ocenie weryfikacja tożsamości nie polega na zeskanowaniu dowodu osobistego ale na weryfikacji czy dane które klient podaje są tożsame z danymi osobowymi widniejącymi na dokumencie z wizerunkiem klienta. Potwierdza to przepis art. 37 ust. 1 ustawy AML, zgodnie z którym weryfikacja tożsamości klienta polega na potwierdzeniu ustalonych danych identyfikacyjnych na podstawie dokumentu stwierdzającego tożsamość osoby fizycznej, dokumentu zawierającego aktualne dane z wyciągu z właściwego rejestru lub innych dokumentów, danych lub informacji pochodzących z wiarygodnego i niezależnego źródła. Przepis ten nie wymaga ani nawet nie sugeruje kopiowania dokumentów potwierdzających tożsamość.
Zatem kopiowanie dokumentów powinno się odbywać w wyjątkowych sytuacjach, jak wskazał to Prezes UODO, na podstawie indywidualnej oceny ryzyka oraz wtedy kiedy „w celu przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu konieczne jest stosowanie środków bezpieczeństwa finansowego wiążące się z przetwarzaniem informacji zawartych w dokumentach tożsamości oraz sporządzaniem ich kopii (skanów)”. W każdym innym przypadku kopiowanie dokumentów osobistych klientów powinno być uznane za nadmierne przetwarzanie danych osobowych przez banki.
Link do strony UODO: https://uodo.gov.pl/pl/138/3854