RODO ważniejsze od AML? Ostrzeżenie dla sektora bankowego

Prezes Urzędu Ochrony Danych Osobowych nałożył karę administracyjną w wysokości ponad 18 mln zł na ING Bank Śląski S.A. Organ zarzucił mu nieuprawnione kopiowanie dowodów osobistych - klientów i potencjalnych klientów.

Kluczowym elementem rozstrzygnięcia nie jest jednak sam wymiar sankcji, lecz sposób, w jaki PUODO zinterpretował relację pomiędzy przepisami Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. (RODO) a obowiązkami wynikającymi z ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu (AML). Organ uznał, że w strukturach banku zabrakło wewnętrznych mechanizmów, które pozwalałyby ocenić, czy kopiowanie dokumentów tożsamości było faktycznie konieczne w ramach stosowania środków bezpieczeństwa finansowego.

Między RODO a AML

Decyzja ta uwypukla napięcie między dwiema grupami regulacji – ochroną danych osobowych a obowiązkami instytucji zobowiązanych do identyfikacji i weryfikacji tożsamości klienta. O ile bowiem AML wymaga szczególnej staranności w zakresie oceny ryzyka i stosowania adekwatnych do niego środków bezpieczeństwa finansowego, o tyle RODO kładzie nacisk na zasadę minimalizacji danych i proporcjonalność działań. W praktyce banki, a szerzej – cały sektor finansowy – znalazły się w sytuacji, w której niejasne granice między tymi regulacjami generują istotne ryzyko prawne.

Dyskusja o hierarchii i właściwym stosowaniu norm RODO i AML zapewne nie zakończy się na tej jednej decyzji. Przeciwnie – może stanowić początek szerszej debaty o tym, w jaki sposób godzić ochronę prywatności jednostki z...