Przejdź do głównej zawartości

Bank ukarany za nieuzasadnione skanowanie dowodów osobistych klientów

 

Urząd Ochrony Danych Osobowych (UODO) nałożył na ING Bank Śląski rekordową karę w wysokości 18,4 mln zł za bezpodstawne skanowanie dowodów osobistych klientów i osób potencjalnie zainteresowanych usługami banku.

Dlaczego bank został ukarany?

Od 1 kwietnia 2019 r. do 23 września 2020 r. bank regularnie kopiował dokumenty tożsamości klientów, nie dokonując analizy celowości ani indywidualnej oceny ryzyka. Kopie były wykonywane nawet w sytuacjach całkowicie niezwiązanych z obowiązkami wynikającymi z ustawy AML (o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu). Przykładem może być zwykła reklamacja dotycząca bankomatu.

Naruszenie RODO i zasad przetwarzania danych

Zgodnie z przepisami RODO, bank jako administrator danych powinien wykazać, że gromadzenie i przetwarzanie danych osobowych jest niezbędne oraz zgodne z prawem. W tym przypadku doszło do złamania podstawowych zasad:

  • legalności i celowości (art. 6 RODO),

  • minimalizacji danych (art. 5 ust. 1 lit. c RODO),

  • rzetelności i przejrzystości (art. 5 ust. 1 lit. a RODO).

Zakres pozyskiwanych danych obejmował m.in. imię, nazwisko, numer PESEL, serię i numer dokumentu, wizerunek, datę urodzenia czy imiona rodziców. Tak szeroki zestaw informacji niesie ogromne ryzyko kradzieży tożsamości czy wyłudzeń finansowych.

Brak podejścia opartego na ryzyku

Zgodnie z ustawą AML instytucje obowiązane (np. banki) mogą kopiować dokumenty tożsamości tylko wtedy, gdy rzeczywiście jest to uzasadnione w kontekście przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu. W omawianym przypadku ING Bank Śląski przyjął procedury, które nakazywały skanowanie dokumentów w sposób masowy, bez indywidualnej oceny sytuacji klienta.

Konsekwencje dla klientów i rynku

Choć nie stwierdzono szkód bezpośrednio po stronie klientów, Prezes UODO wskazał, że praktyka banku miała charakter masowy i długotrwały – obejmowała setki tysięcy osób w okresie 18 miesięcy. Kara w wysokości 18,4 mln zł ma charakter odstraszający i proporcjonalny, a jednocześnie stanowi jasny sygnał dla całego sektora finansowego, że ochrona danych osobowych klientów to obowiązek, a nie formalność.

Co to oznacza dla firm i klientów?

  • Każde przetwarzanie danych musi być poprzedzone analizą ryzyka i oceną niezbędności.

  • Banki i instytucje finansowe nie mogą kopiować dokumentów „na zapas”.

  • Odpowiedzialność administratorów danych rośnie wraz ze skalą działalności i liczbą obsługiwanych klientów.

🔒 Jeśli prowadzisz firmę i chcesz mieć pewność, że Twoje procedury RODO i AML są zgodne z prawem – skontaktuj się ze mną.
Pomogę Ci wdrożyć odpowiednie polityki bezpieczeństwa, przeprowadzić analizę ryzyka i uniknąć kar ze strony UODO.

Etykiety:

Komentarze

Prześlij komentarz

Popularne posty z tego bloga

Czym jest narzędzie Cloudflare IP Checker?

  Cloudflare IP Checker to skrypt, który pozwala sprawdzić, czy wskazane adresy IP mieszczą się w oficjalnych zakresach adresowych Cloudflare. Narzędzie pobiera na bieżąco aktualne listy adresów bezpośrednio z serwerów Cloudflare, dzięki czemu wyniki są zawsze zgodne ze stanem rzeczywistym. Takie rozwiązania stosowane są m.in. przez analityków bezpieczeństwa w procesach mapowania sieci i rekonesansu . Obsługiwane są zarówno adresy IPv4 , jak i IPv6 , a elastyczne metody podawania danych (pojedyncze IP, wiele adresów, pliki wejściowe) pozwalają dostosować sposób pracy do sytuacji. Najważniejsze funkcje narzędzia Checker opracowany przez Aardwolf Security posiada szereg praktycznych możliwości: pełna obsługa IPv4 i IPv6, dynamiczne pobieranie zakresów Cloudflare w czasie rzeczywistym, raportowanie z wykorzystaniem kolorów (np. zielony = adres Cloudflare, czerwony = spoza zakresu), obsługa błędów w przypadku niepoprawnych formatów IP, kody wyjścia umożliwiające in...
Prześlij komentarz
Czytaj więcej

Krytyczna luka bezpieczeństwa w HikCentral – CVE-2025-39247

28 sierpnia 2025 r. Hikvision Security Response Center (HSRC) opublikował oficjalne powiadomienie HSRC-202508-01 , informujące o poważnej luce bezpieczeństwa w oprogramowaniu HikCentral Professional , służącym do zarządzania instalacjami systemów bezpieczeństwa. Błąd został oznaczony jako CVE-2025-39247 i dotyczy wersji od v2.3.1 do v2.6.2 . Luka umożliwia nieautoryzowanej osobie uzyskanie dostępu na poziomie administratora , co w praktyce oznacza pełną kontrolę nad systemem monitoringu. Skala zagrożenia jest duża – ocena CVSS wynosi 8.6 , co klasyfikuje ten błąd jako krytyczny. Co to oznacza dla Ciebie? Jeśli Twoja instalacja działa na podatnej wersji HikCentral, istnieje ryzyko, że atakujący uzyska dostęp do wszystkich funkcji platformy – od podglądu kamer, po modyfikację ustawień czy wyłączanie systemu. W środowisku, gdzie monitoring stanowi podstawę bezpieczeństwa, taka sytuacja może prowadzić do poważnych konsekwencji. Hikvision zaleca natychmiastowe zaktualizowanie systemu d...
Prześlij komentarz
Czytaj więcej

5 błędów w komunikacji z biznesem, które sam popełniałem

Prowadząc jednoosobową firmę IT, zajmuję się głównie administracją – serwerami, systemami, bezpieczeństwem, kopią zapasową czy konfiguracją narzędzi. To praca, która z pozoru wydaje się czysto techniczna, ale w praktyce ogromną część mojego czasu zajmuje kontakt z klientem. Muszę tłumaczyć, co robię, dlaczego to robię i co klient z tego będzie miał. Innymi słowy: jestem jednocześnie administratorem, project managerem i marketingowcem. I właśnie w tej komunikacji najłatwiej o błędy, które potrafią zepsuć nawet dobrze wykonaną usługę. Oto pięć, które widzę najczęściej – i które sam również popełniałem. 1. Skupianie się na problemach zamiast na odpowiedzi Klient pyta: „czy możemy podnieść wydajność serwera?” albo „czy da się zrobić kopię zapasową?”. Naturalną reakcją jest zaczęcie wyliczania przeszkód: że system ma ograniczenia, że konfiguracja jest skomplikowana, że trzeba sprawdzić zgodność wersji. Dla klienta brzmi to jak: „nie da się”. A on wcale nie chce znać listy technicznych...
Prześlij komentarz
Czytaj więcej