Decyzja Prezesa Urzędu Ochrony Danych Osobowych (UODO) z lipca 2025 roku odbiła się szerokim echem w środowisku biznesowym. ING Bank Śląski został ukarany rekordową kwotą 18,4 mln zł za naruszenie przepisów RODO. Sprawa ta stanowi cenne ostrzeżenie dla wszystkich przedsiębiorców – nie tylko z sektora finansowego.
Dlaczego UODO nałożył karę na ING Bank Śląski?
Prezes UODO stwierdził, że bank bezpodstawnie kopiował dokumenty tożsamości klientów i potencjalnych klientów, naruszając w ten sposób podstawowe zasady przetwarzania danych osobowych.
W decyzji wskazano naruszenie:
- art. 5 ust. 1 lit. a), b) i c) RODO – zasad: zgodności z prawem, celowości i minimalizacji danych,
- art. 6 ust. 1 RODO – określającego przesłanki legalności przetwarzania danych.
Problem polegał na tym, że bank skanował dowody osobiste również w sytuacjach niezwiązanych z obowiązkami wynikającymi z ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (tzw. ustawa AML) – np. przy reklamacjach bankomatowych czy obsłudze reklamacji klientów.
UODO podkreślił, że:
„Skanowanie dokumentów tożsamości przez instytucje obowiązane jest legalne tylko w zakresie niezbędnym do realizacji obowiązków wynikających z ustawy AML.”
Innymi słowy, jeśli działanie nie jest bezpośrednio wymagane przepisami, nie można gromadzić nadmiarowych danych „na wszelki wypadek”.
Co dokładnie zarzucono bankowi?
Według ustaleń organu, ING:
- nie dokonywał indywidualnej oceny ryzyka związanego z konkretnym klientem,
- nie dokumentował powodów, dla których uznawał skan dowodu za niezbędny,
- nie uzasadnił, dlaczego kopiowanie dokumentów było konieczne do realizacji celów ustawowych.
Choć identyfikacja klienta jest obowiązkowa, samo kopiowanie dokumentów – już nie. Brak uzasadnienia i dokumentacji doprowadził do uznania działań banku za niezgodne z RODO.
Skutki decyzji – nie tylko finansowe
Sama kara finansowa – 18,4 mln zł – jest ogromnym obciążeniem, nawet dla dużej instytucji. UODO uznał ją jednak za:
„skuteczną, proporcjonalną i odstraszającą – zgodnie z art. 83 ust. 1 RODO.”
To oznacza, że sankcja ma pełnić funkcję nie tylko represyjną, ale także prewencyjną – by inne podmioty unikały podobnych naruszeń.
Dodatkowo bank poniósł:
- straty wizerunkowe – sprawa została szeroko nagłośniona w mediach, co wpływa na zaufanie klientów,
- koszty operacyjne – konieczność zmiany procedur, przeszkolenia pracowników,
- spadek zaufania – zarówno wśród klientów, jak i partnerów biznesowych.
📄 Przykład:
Wyobraźmy sobie, że firma telekomunikacyjna „TeleMax” kopiuje dowody osobiste klientów przy każdej zmianie taryfy, mimo że nie wymaga tego żaden przepis. Gdyby UODO skontrolował taką praktykę, mógłby nałożyć podobną sankcję, ponieważ zbieranie nadmiarowych danych narusza zasadę minimalizacji.
Szerszy kontekst prawny – dotychczasowe decyzje UODO i orzecznictwo
UODO od lat podkreśla, że kopiowanie dokumentów tożsamości przez instytucje finansowe jest dopuszczalne tylko wtedy, gdy jest to konieczne do stosowania środków bezpieczeństwa finansowego (ustawa AML).
📚 Przykład wcześniejszej decyzji:
W decyzji z 10 czerwca 2022 r. dotyczącej kopiowania dowodów przez banki UODO wskazał, że dopuszcza kopiowanie, ale wyłącznie pod warunkiem indywidualnej oceny i tylko w sytuacjach „uzasadnionych” (źródło: Poradnik Przedsiębiorcy).
Warto też przytoczyć niedawne orzeczenie Naczelnego Sądu Administracyjnego (NSA), które potwierdziło, że banki oraz Biuro Informacji Kredytowej (BIK) muszą zaprzestać przetwarzania danych osób, które były jedynie potencjalnymi klientami – np. złożyły zapytanie o kredyt, ale nie zawarły umowy.
Te rozstrzygnięcia pokazują, że organy i sądy coraz częściej ograniczają praktyki gromadzenia danych „na zapas”, nawet w sektorze, w którym wymogi AML są szczególnie surowe.
Wnioski dla przedsiębiorców
Decyzja w sprawie ING Banku Śląskiego powinna być traktowana jako przestroga. Nawet jeśli Twoja firma działa w mniejszej skali, obowiązki wynikające z RODO są identyczne.
Oto kluczowe wnioski:
1. Przetwarzaj tylko niezbędne dane
Zbieraj wyłącznie te informacje, które są potrzebne do osiągnięcia konkretnego celu. Jeśli nie masz podstawy prawnej – nie gromadź dodatkowych danych. Zasada minimalizacji to jeden z filarów RODO.
2. Dokumentuj swoje działania
Zawsze miej uzasadnienie, dlaczego i w jakim zakresie przetwarzasz dane. To realizacja zasady rozliczalności z art. 5 ust. 2 RODO.
📌 W praktyce: sporządź notatkę lub zapis w procedurze, dlaczego konkretny dokument jest potrzebny i na jakiej podstawie prawnej.
3. Aktualizuj procedury i szkolenia
Przepisy i interpretacje zmieniają się. To, co kilka lat temu było dopuszczalne, dziś może zostać uznane za naruszenie. Regularnie przeglądaj polityki bezpieczeństwa i dokumentację.
4. Zachowuj równowagę między przepisami
Często przedsiębiorcy muszą godzić różne obowiązki – np. te wynikające z ustawy AML i RODO. Kluczem jest spójne podejście i unikanie działań „na zapas”.
5. Dbaj o świadomość pracowników
Wielu naruszeń można uniknąć, jeśli osoby przetwarzające dane wiedzą, co wolno, a czego nie. Szkolenia z RODO nie są formalnością, ale inwestycją w bezpieczeństwo organizacji.
Podsumowanie
Sprawa ING Banku Śląskiego pokazuje, że nawet największe i najbardziej doświadczone instytucje mogą popełnić poważne błędy w ochronie danych.
Najważniejszy wniosek dla każdej organizacji jest prosty:
Przetwarzaj tylko te dane, które są niezbędne, w sposób uzasadniony i udokumentowany.
RODO to nie tylko obowiązek prawny, ale także element budowania zaufania klientów, kontrahentów i pracowników.
Podstawa prawna
- art. 5 ust. 1 lit. a), b), c) oraz art. 6 ust. 1 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO)
- art. 83 ust. 1 – RODO
- ustawa z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (t.j. Dz.U. z 2023 r. poz. 1124)
Tematy poradnika
- kara UODO dla ING Banku 2025
- skanowanie dowodów osobistych a RODO
- zasada minimalizacji danych RODO
- kopiowanie dokumentów tożsamości w firmie
- jak uniknąć kary za przetwarzanie danych osobowych