ING Bank Śląski zapłaci ogromną karę. Druga największa w historii
Urząd Ochrony Danych Osobowych nałożył na ING Bank Śląski grzywnę w wysokości 18,4 mln zł. Powodem jest naruszenie przepisów RODO poprzez bezprawne kopiowanie dowodów osobistych klientów i osób dopiero zainteresowanych ofertą banku. To druga najwyższa kara w Polsce za złamanie przepisów o ochronie danych osobowych i jednocześnie najwyższa nałożona na prywatny podmiot.
Decyzja UODO dotyczy działań banku sięgających 2018 roku, kiedy to – po wejściu w życie ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu – pracownicy otrzymali wewnętrzne wytyczne nakazujące skanowanie dowodów osobistych. Jak ustalono, w wielu przypadkach klienci i potencjalni klienci musieli wyrazić zgodę na skan dokumentu, aby podpisać umowę lub nawet złożyć reklamację.
Urząd uznał, że przepisy AML pozwalają na przetwarzanie danych z dokumentu jedynie w sytuacji uzasadnionego ryzyka prania pieniędzy bądź finansowania terroryzmu. Zdaniem regulatora, praktyka banku naruszała zasadę minimalizacji danych, ponieważ obejmowała pełne skany dowodów w każdej sytuacji – także w przypadkach, gdy było to zbędne. W decyzji przywołano m.in. incydent, gdy osoba zgłaszająca reklamację dotyczącą działania bankomatu musiała zgodzić się na skan dowodu, mimo że nie była klientem banku.
Masowe naruszenia i konsekwencje
Podstawą wymiaru kary był nie tylko charakter działań banku, lecz także ich skala. Jak wskazał UODO, kopiowaniu poddano dane milionów osób. W ocenie organu nadzorczego masowość naruszeń, a także wcześniejsze przypadki uchybień w zakresie ochrony danych osobowych po stronie banku, przesądziły o wysokości sankcji.
Prezes UODO podkreślił, że kopiowanie dokumentów to czynność dopuszczalna jedynie w uzasadnionych sytuacjach, a w pozostałych przypadkach wystarczy zapis danych niezbędnych do potwierdzenia tożsamości. "Skanowanie dowodów w każdej procedurze bankowej rażąco naruszało zasadę ograniczenia celu oraz minimalizacji danych" – wskazano w decyzji urzędu.
Stanowisko ING Banku Śląskiego
ING Bank Śląski nie zgadza się z decyzją UODO i zapowiada złożenie skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie. Rzecznik prasowy banku Piotr Utrata stwierdził, że instytucja działała w zgodzie z przepisami prawa, a pozyskiwanie kopii dokumentów miało służyć wyłącznie realizacji obowiązków wynikających z ustawy AML. Bank podkreśla, że zasady wewnętrzne zostały już zmienione. Jednocześnie zaznacza, iż jego działania wynikały bezpośrednio z konieczności dostosowania procedur do wymogów ustawowych.
Najwyższe kary w sektorze prywatnym
Grzywna nałożona na ING Bank Śląski to druga pod względem wysokości sankcja w Polsce za naruszenie RODO. Dotąd wyższa kara została nałożona tylko raz – na spółkę z sektora publicznego. W przypadku banku to najwyższa dotychczas grzywna dotycząca prywatnej instytucji.
Druga najwyższa kara w historii Polski
Najwyższa kara za naruszenie RODO w Polsce została nałożona w 2025 roku na Pocztę Polską i wyniosła 27 milionów złotych. Ta decyzja była bezpośrednim skutkiem nielegalnego przetwarzania danych osobowych około 30 milionów obywateli w związku z przygotowaniami do tzw. wyborów kopertowych w 2020 roku, gdzie Poczta Polska, na polecenie administracji rządowej, uzyskała dostęp do bazy PESEL bez odpowiedniej podstawy prawnej.
