Granice przetwarzania danych w świetle obowiązków AML. Przypadek ING Banku Śląskiego

26 sierpnia 2025 r. Urząd Ochrony Danych Osobowych („UODO”) opublikował komunikat dotyczący decyzji  wydanej przez Prezesa UODO, nakładającej na ING Bank Śląski S.A. karę pieniężną w kwocie 18.416.400 zł. Kara dotyczy nieuprawnionego – zdaniem Prezesa UODO skanowania dokumentów tożsamości klientów i potencjalnych klientów Banku. Zdaniem PUODO, w strukturze Banku nie sprawdzano, czy działania takie są uzasadnione wymogiem stosowania przez Bank środków bezpieczeństwa finansowego na podstawie ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz.U. z 2025 r. poz. 644) – dalej jako: „ustawa AML”.

Z perspektywy prawnej stanowisko PUODO rodzi poważne wątpliwości. O ile bowiem w relacji między ustawą AML a Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (dalej jako: „RODO”) nie sposób przyjąć zasady bezwzględnego pierwszeństwa jednego aktu nad drugim (status instytucji obowiązanej nie oznacza bowiem prawa do całkowitego „ignorowania” RODO), o tyle prawidłowe i zgodne z prawem funkcjonowanie systemu AML/CFT wymaga przyznania instytucjom obowiązanym szerokich kompetencji w zakresie kształtowania stosowanych środków bezpieczeństwa finansowego.

Decyzja PUODO nie została jeszcze opublikowana, bazując jednak na opublikowanym przez UODO komunikacie prasowym, można wnioskować, że jest ona oparta o konsekwentnie przyjmowaną przez ten organ wykładnię, zgodnie z którą kopia dokumentu tożsamości klienta może być wykonana wyłącznie w przypadku, w którym istnieje stosowne ku temu uzasadnienie (zob. Pismo ZSPR.027.306.2019 z sierpnia 2019 skierowane do Prezesa Związku Banków Polskich). W komunikacie pojawiają się bowiem w szczególności następujące sformułowania:

„Skanowanie dowodów tożsamości przez instytucje obowiązane jest legalne w kontekście ustawy AML jedynie wtedy, gdy wiąże się z koniecznym z punktu widzenia tej ustawy zastosowaniem środków bezpieczeństwa finansowego mających na celu przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu.

Zadaniem banku jest przeprowadzenie indywidualnej oceny ryzyka prania pieniędzy i finansowania terroryzmu i zaprojektowanie środków bezpieczeństwa odpowiednich do jej wyniku (podejście oparte na ryzyku). Dopiero jeśli instytucja obowiązana wykaże, że w celu przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu konieczne jest stosowanie środków bezpieczeństwa finansowego wiążące się z przetwarzaniem informacji zawartych w dokumentach tożsamości oraz sporządzaniem ich kopii (skanów), wtedy ma prawo żądać ich wykonania”.

Rozumowanie PUODO zdaje się w tym kontekście być następujące – instytucja obowiązana powinna w pierwszej kolejności zastosować normy wynikające z art. 5 ust. 1 lit. b i c RODO (zasady celowości i minimalizacji danych) i ustanowić takie zasady przetwarzania danych, aby gromadzić i przetwarzać wyłącznie niezbędne dane osobowe. Dopiero niejako w drugiej kolejności, instytucja jest zobowiązana wywiązać się ze swoich obowiązków istniejących na gruncie ustawy AML, poprzez takie zastosowanie środków bezpieczeństwa finansowego, aby zminimalizować zakres przetwarzanych danych.

PUODO de facto tworzy „quasi-pierwszeństwo” RODO wobec AML, choć ustawodawca unijny i krajowy konstruują AML jako szczególny reżim wobec instytucji obowiązanych.

W naszej ocenie, takie podejście może skutkować naruszeniem ducha ustawy AML. Dobrą praktyką przy stosowaniu ustawy AML jest bowiem w pierwszej kolejności wdrażanie adekwatnych środków bezpieczeństwa finansowego. W ich ramach instytucja obowiązana powinna jednocześnie pamiętać o przepisach nakazujących minimalizację gromadzenia i przetwarzania danych – tak, aby z jednej strony skutecznie realizować cel ustawy, a z drugiej ograniczać nadmiarowe obciążenia związane z przetwarzaniem informacji.

„Głębokość” stosowanych ŚBF jest ustalana przez instytucję w oparciu o ocenę ryzyka (zarówno tę, o której mowa w art. 27 jak i w art. 33 ust. 2 i 4 ustawy AML), przy czym w razie wątpliwości stosowane muszą być środki bardziej intensywne, bowiem stosowanie wzmożonych ŚBF jest obowiązkiem (art. 43 ust. 1), a uproszczonych – prawem (art. 42 ust. 1) danej instytucji. Sformułowanie przywołanych przepisów ustawy AML stoi w jawnej sprzeczności ze stanowiskiem PUODO – skoro pierwotną normą, do której należy odnosić się w sytuacjach wątpliwych jest zasada z art. 5 ust. 1 lit. c RODO, zastosowanie uproszczonych (a ogólniej – „mniej intensywnych”) środków bezpieczeństwa finansowego również jest obowiązkiem instytucji obowiązanej w każdym przypadku, w których w toku stosowania ŚBF przetwarzane są dane osobowe (czyli zasadniczo zawsze).

Porządkując przedmiotowe zagadnienia, stwierdzić należy, że ustawa AML wyraźnie stanowi, że instytucje obowiązane stosują wobec swoich klientów wszystkie ustawowe środki bezpieczeństwa finansowego (art. 33 ust. 1). Istnienie relacji z klientem wymaga od instytucji – zasadniczo w każdym przypadku – zastosowania pełnego katalogu ŚBF, który obejmuje w szczególności weryfikację tożsamości klienta (art. 34 ust. 1 pkt. 1) w sposób wybrany przez instytucję, zgodnie z ustawowymi zasadami.

Na gruncie obowiązujących przepisów, pojęcie klienta rozumiane jest szeroko. Jak stanowi art. 2 ust. 2 pkt. 10 ustawy AML, ilekroć mowa o kliencie – rozumie się przez to osobę fizyczną, osobę prawną lub jednostkę organizacyjną nieposiadającą osobowości prawnej, której instytucja obowiązana świadczy usługi lub dla której wykonuje czynności wchodzące w zakres prowadzonej przez nią działalności zawodowej, w tym z którą instytucja obowiązana nawiązuje stosunki gospodarcze, lub na zlecenie której przeprowadza transakcję okazjonalną (…). Co do zasady, przepisy AML nie dają w tym zakresie instytucjom obowiązanym podstaw do różnicowania klientów i charakteru świadczonych usług – w każdym przypadku istnienia relacji z klientem stosowane muszą być wszystkie ŚBF, których intensywność jest uzależniona od ryzyka wiążącego się z daną relacją gospodarczą.

Zgodnie z art. 37 ust. 1 ustawy AML: „Weryfikacja tożsamości klienta, osoby upoważnionej do działania w jego imieniu oraz beneficjenta rzeczywistego polega na potwierdzeniu ustalonych danych identyfikacyjnych na podstawie dokumentu stwierdzającego tożsamość osoby fizycznej, dokumentu zawierającego aktualne dane z wyciągu z właściwego rejestru lub innych dokumentów, danych lub informacji pochodzących z wiarygodnego i niezależnego źródła, w tym, o ile są dostępne, ze środków identyfikacji elektronicznej lub z odpowiednich usług zaufania określonych w rozporządzeniu 910/2014”. Na potrzeby stosowania ŚBF, ustawa AML nadaje w tym zakresie instytucjom obowiązanym prawo do przetwarzania informacje zawarte w dokumentach tożsamości klienta i osoby upoważnionej do działania w jego imieniu oraz sporządzania ich kopii (art. 34 ust. 4).

Przyjąć należy, że przepis art. 34 ust. 4 ustawy AML ma charakter służebny wobec generalnego obowiązku stosowania środków bezpieczeństwa finansowego. W każdym przypadku, w którym, stosując wymogi AML/CFT instytucja obowiązana uzna za stosowne wykonanie kopii dokumentu klienta, ma ona prawo wykonać kopię. Innymi słowy, przepis ten odczytywać należy w pierwszej kolejności w związku z merytorycznymi zasadami stosowania ŚBF, a dopiero w drugiej kolejności z przepisami RODO.

Oczywiście nie oznacza to dowolności w wykonywaniu kopii dokumentu tożsamości. W braku zaistnienia relacji z klientem lub przy braku obowiązku zastosowania ŚBF, odpada podstawa przetwarzania danych osoby fizycznej, w tym w szczególności wykonania kopii dokumentu. Również w przypadku, w którym instytucja, stosując zasadę podejścia opartego na ryzyku (risk based approach) stwierdzi brak konieczności dokonania kopii (i przykładowo, ograniczenie się do spisania danych o których mowa w art. 36 ust. 1 pkt. 1 ustawy AML w notatce służbowej sporządzonej przez pracownika na podstawie okazanego do wglądu dowodu tożsamości), nie ma możliwości wykonania kopii dokumentu tożsamości, będąc związana zasadami powoływanego powyżej art. 5 RODO.

W okolicznościach niniejszej sprawy – przynajmniej w części sytuacji, które badał PUODO – decyzja była prawidłowa – przypadki, w których Bank np. odmawiał przyjęcia reklamacji bez zgody osoby fizycznej na skserowanie jej dowodu osobistego są nadmiarowe i nie spełniają przesłanek stosowania wymogów AML, a być może z uwagi na brak nawiązania stosunków gospodarczych przez Bank z taką osobą wręcz niedopuszczalne. Wystarczające w takich przypadkach będzie bowiem porównanie danych wskazanych przez klienta z danymi, które wynikają z okazanego dowodu osobistego, wraz z oświadczeniem pracownika instytucji obowiązanej np. w formie krótkiej notatki służbowej, o tym, że porównanie miało miejsce.

Wskazać przy tym należy, że przepisy AML zezwalają wyłącznie na przetwarzanie ograniczonego zakresu danych osobowych (nawet w stosunku do klientów, co do których prawo do dokumentu tożsamości może być stosowane) nie zezwalają bowiem na przetwarzanie danych o płci czy imionach rodziców.

Niezależnie od powyższego – przetwarzanie danych zawartych w kopiach dowodów osobistych (imię, nazwisko, wizerunek, obywatelstwo, data urodzenia, numer PESEL) może prowadzić do znacznego ryzyka kradzieży tożsamości osoby, której dowód tożsamości został skopiowany i jest przechowywany w Banku, co również musi być wzięte pod uwagę przez Bank.

Od strony praktycznej jednak, przyjęcie restrykcyjnego stanowiska PUODO może oznaczać zbyt daleko idące ograniczenie swobody instytucji obowiązanej w stosowaniu środków bezpieczeństwa finansowego. Z jednej strony bowiem instytucja musi wykazywać się (art. 130 ustawy AML) przed jednostką analityki finansowej (GIIF) i nadzorcą (KNF) prawidłowym – tj. dostatecznie intensywnym i głębokim – stosowaniem ŚBF, z drugiej strony musi wykazać przed PUODO ich stosowanie nienazbyt intensywne i nienazbyt głębokie. W razie zajścia sytuacji „przeniknięcia się” przedmiotowych zakresów kontroli, czego – obserwując praktykę – nie można z całą pewnością wykluczyć, decydenci prowadzący sprawy instytucji obowiązanej znajdą się w sytuacji, którą można kolokwialnie określić „i tak źle, i tak niedobrze”. W konsekwencji brak spójnych wytycznych między organami nadzoru prowadzi do efektu „compliance trap” – instytucje obowiązane, nawet przy dobrej wierze, nie są w stanie jednocześnie w pełni zadowolić obu regulatorów. Niemniej jednak, należy także wskazać, że przedmiotowa decyzja, pozostaje w zgodzie z dotychczasowym stanowiskiem PUODO, zgodnie z którym sporządzanie kopii dowodów tożsamości przez instytucje finansowe jest legalne jedynie wtedy, kiedy konieczne jest zastosowanie środków bezpieczeństwa mających na celu przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu, ale nie w każdej sytuacji[1].

Jedynie na marginesie autorzy wskazują, że praktyka w innych niż Polska unijnych jurysdykcjach pokazuje, że tamtejsze organy nadzoru stawiają AML na pierwszym miejscu a co za tym idzie instytucje obowiązane standardowo w swoich procesach Know Your Customer żądają kopiują dowody osobiste nawet potencjalnych klientów, albo żądają przedstawienia poświadczonej kopii dowodu osobistego.

Podsumowanie

Zasada Zaufania Obywatela do Państwa płynąca z art. 2 Konstytucji Rzeczpospolitej Polskiej wymaga od organów władzy publicznej (tak ustawodawczej jak i wykonawczej) niedopuszczenia do sytuacji, w której Państwo „zastawia pułapkę” na podmiot praw. Wobec istnienia szczegółowej regulacji ustawy AML, dotyczącej wyłącznie wybranej grupy podmiotów (instytucji obowiązanych o których mowa w art. 2 ust. 1 tej ustawy), prawo o charakterze bardziej generalnym (RODO) musi być wykładane i stosowane w myśl reguły kolizyjnej lex specialis derogat legi generali. Nie oznacza to, jak było to już wielokrotnie podkreślone, eliminacji przepisów RODO jako norm właściwych do kształtowania sposobu postępowania instytucji obowiązanych, jednak przepisy te muszą być zastosowane tam, gdzie „zatrzymało się” zastosowanie przepisów ustawy AML. Instytucja obowiązana, która prawidłowo zastosowała zasadę risk based approach i podjęła decyzję o intensywności ŚBF, może zostać rozliczona ze zgodności z RODO wyłącznie w ramach ich zastosowania, bowiem w takich przypadkach będzie korzystała z przesłanek legalności przetwarzania. Zawsze jednak musi ona pamiętać o zasadzie proporcjonalności przetwarzania i minimalizacji danych osobowych.

[1] https://uodo.gov.pl/pl/138/2476,