Skanowanie dowodu osobistego przez bank - analiza decyzji Prezesa UODO.

Dlaczego została nałożona kara i w jakiej wysokości?

Prezes UODO nałożył na bank karę 18 416 400 zł za niezgodne z prawem skanowanie dowodu osobistego. Bank przetwarzał dane osobowe bez odpowiedniej podstawy prawnej i naruszył kluczowe zasady RODO — w tym zasadę minimalizacji danych i legalności przetwarzania.

Jakie błędy popełnił bank?

1. Skanowanie bez analizy potrzeby

Bank automatycznie kopiował dokumenty tożsamości w niemal każdej interakcji z klientem. Nie analizował, czy w danym przypadku istnieje obowiązek AML, który by to uzasadniał.

2. Nadużycie uprawnienia z ustawy AML

Choć ustawa AML dopuszcza kopiowanie dokumentu w określonych przypadkach, bank stosował tę praktykę niemal mechanicznie — przekraczając granice prawnie dozwolonego przetwarzania.

3. Przetwarzanie zbędnych danych

Skanowanie dowodu osobistego skutkuje pozyskaniem danych, które nie zawsze są potrzebne — jak zdjęcie czy imiona rodziców. W świetle zasady minimalizacji dane te nie powinny być pozyskiwane bez wyraźnej potrzeby.

4. Brak podstawy prawnej

Tam, gdzie nie zachodziły przesłanki ustawowe, przetwarzanie danych nie miało umocowania w art. 6 ust. 1 lit a) RODO. Bank nie zapewnił klientom alternatywy, nie zbierał też zgód w sposób świadomy i dobrowolny.

5. Nieadekwatne procedury i brak przejrzystości

Procedury bankowe nie różnicowały sytuacji, w których skanowanie jest dopuszczalne, od tych, w których nie jest wymagane. Pracownicy nie mieli jasnych wytycznych — co potęgowało ryzyko błędów.

Kontekst europejski: czego uczy nas orzecznictwo z innych państw?

Podobne przypadki miały miejsce również poza Polską. Przykładowo:

• Węgry: tamtejszy organ ochrony danych (NAIH) nałożył karę na firmę pożyczkową za kopiowanie dokumentów klientów bez wyraźnej zgody i bez informowania o celach przetwarzania.

• 
  

• Niemcy: organy krajowe wielokrotnie podkreślały, że kopiowanie dokumentów tożsamości powinno być środkiem ostatecznym — dopuszczalnym tylko w sytuacjach, gdy nie można osiągnąć celu innymi metodami.

Wnioski? Europejskie podejście do ochrony danych jest spójne: instytucje mają obowiązek wykazać, że każde działanie na danych osobowych jest niezbędne, proporcjonalne i legalne.

Skanowanie dowody osobistego - co powinien zrobić każdy podmiot, w tym instytucja finansowa?

✅ Przegląd procedur i wytycznych

Zaktualizuj instrukcje dla pracowników. Wyraźnie określ, kiedy skanowanie dowodu osobistego jest dopuszczalne, a kiedy zabronione.

✅ Podejście oparte na ryzyku (RBA)

Wdrożenie analizy ryzyka przed każdą czynnością kopiowania dokumentów — nie tylko w teorii, ale i w codziennej praktyce operacyjnej.

✅ Audyt przetwarzania danych

Zidentyfikuj procesy, w których pobierasz dokumenty, i oceń, czy są zgodne z RODO i AML. Usuń nielegalnie zgromadzone dane, jeśli to konieczne.

✅ Szkolenia i dokumentacja

Przeszkol personel z zasad minimalizacji danych i odpowiedzialnego przetwarzania. Udokumentuj każdą decyzję, która może być poddana kontroli.

Skanowanie dowodu osobistego - co zyskuje organizacja?

• Ograniczenie ryzyka kar finansowych i reputacyjnych

• Większe zaufanie klientów — transparentność to nowy standard

• Lepsze przygotowanie na kontrolę UODO lub KNF

• Przewagę konkurencyjną — compliance staje się wartością rynkową

Chcesz mieć pewność, że Twoje procedury nie narażają firmy na milionowe kary? Skontaktuj się z naszym zespołem — przeprowadzimy audyt, zaktualizujemy dokumentację i przeszkolimy zespół.