Obrazek okładka Case study (14)

UODO nakłada karę 18,4 mln zł na ING – kolejny sygnał, że RODO nie zna wyjątku nawet dla dużych firm

„Rekordowa kara RODO: 18,4 mln zł dla ING Banku Śląskiego za masowe skanowanie dowodów osobistych”

Wprowadzenie:

W sierpniu 2025 roku Prezes Urzędu Ochrony Danych Osobowych (UODO) nałożył na ING Bank Śląski karę w wysokości 18 416 400 zł. To jedna z najwyższych grzywien w historii (a najwyższa w sektorze prywatnym) za naruszenie przepisów RODO i znaczący sygnał dla wszystkich jednostek przetwarzających dane osobowe.Gazeta PrawnaUODO

Co się wydarzyło?

  • W okresie od 1 kwietnia 2019 r. do 23 września 2020 r., ING Bank Śląski skanował dowody osobiste nie tylko swoich klientów, ale również osób potencjalnie zainteresowanych usługami banku – bez przeprowadzania indywidualnej oceny ryzyka.
  • Praktyka ta obejmowała sytuacje, które nie były związane z obowiązkami wynikającymi z ustawy AML – np. przyjmowanie reklamacji, nawet od osób niebędących klientami.
  • Prezes UODO uznał takie skanowanie za przetwarzanie nadmiarowe, naruszające zasady RODO, w szczególności zasadę legalności, minimalizacji danych oraz ograniczenia celu. Skanowanie dokumentów tożsamości jest dopuszczalne tylko wtedy, gdy faktycznie istnieje ryzyko prania pieniędzy i konieczność zastosowania środków bezpieczeństwa.

Skala i znaczenie kary:

  • Kwota wynosząca 18,4 mln zł to druga co do wielkości kara RODO w Polsce i pierwsza nałożona na prywatny podmiot (większą dostała tylko Poczta Polska).
  • Decyzja UODO podkreśla, że automatyczne rutynowe działania bez analizy, choćby ustawowo dopuszczalne, mogą zostać uznane za naruszające RODO i skutkować poważnymi sankcjami.

Reakcja ING Banku Śląskiego:

Bank zapowiedział, że zaskarży decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie. Przedstawiciele ING podkreślają, że działania były podejmowane w celu realizacji obowiązków wynikających z przepisów AML i deklarują pełną współpracę z UODO

Sprawa ING pokazuje, że RODO nie jest formalnością, ale realnym obowiązkiem, którego naruszenie wiąże się z ogromnym ryzykiem finansowym i reputacyjnym.

  • Nawet duże i doświadczone instytucje mogą narazić się na kary, jeśli automatyzują procesy bez właściwej analizy ryzyka. Minimalizacja danych i celowość przetwarzania to podstawowe zasady – każde dodatkowe kopiowanie, archiwizowanie czy skanowanie dokumentów powinno być uzasadnione konkretnym przepisem prawa lub realną potrzebą biznesową. Regularne audytowanie procedur, szkolenia pracowników i bieżące monitorowanie decyzji UODO mogą pomóc w uniknięciu błędów i sankcji.

    PRODUKTY

APLIKACJE BIZNESOWE

Przejdź do kategorii
Ebook Cyfryzacja w HR

    PRODUKTY

APLIKACJE BIZNESOWE

Przejdź do kategorii
Ebook Cyfryzacja w HR