Kary dla ING Banku Śląskiego

Minimalizacja danych – lekcja z rekordowej kary dla ING Banku Śląskiego

Zasada minimalizacji danych jest jedną z podstawowych zasad wynikających z RODO. Oznacza, że administratorzy mogą przetwarzać wyłącznie te dane osobowe, które są niezbędne do osiągnięcia konkretnego, jasno określonego celu. Najnowsza decyzja Urzędu Ochrony Danych Osobowych (UODO) wobec ING Banku Śląskiego pokazuje, jak poważne mogą być konsekwencje naruszenia tej zasady.

Rekordowa kara dla ING Banku Śląskiego

W sierpniu 2025 r. Prezes UODO nałożył na ING Bank Śląski karę administracyjną w wysokości 18,4 mln zł. To druga najwyższa sankcja w historii stosowania RODO w Polsce i zarazem najwyższa w sektorze prywatnym.

Powodem było nieuzasadnione i nadmiarowe skanowanie dokumentów tożsamości klientów i potencjalnych klientów w okresie od kwietnia 2019 r. do września 2020 r. Praktyka ta dotyczyła m.in. procesów reklamacyjnych, gdzie skanowanie dowodu osobistego nie było wymagane przepisami prawa.

UODO uznał, że bank naruszył kluczowe zasady RODO:

  • zasadę zgodności z prawem,
  • zasadę celowości,
  • zasadę minimalizacji danych (art. 5 RODO).

Na czym polega minimalizacja danych?

Minimalizacja danych oznacza, że:

  • przetwarzane są tylko niezbędne informacje,
  • administrator powinien dokonywać oceny adekwatności danych do celu,
  • dane zbierane „na zapas” lub „na wszelki wypadek” są niedopuszczalne.

W praktyce oznacza to, że jeśli dana czynność może zostać zrealizowana na podstawie imienia, nazwiska i numeru klienta, nie ma podstaw do kopiowania czy skanowania całego dowodu osobistego.

Wnioski dla administratorów danych

Decyzja UODO wobec ING Banku Śląskiego jest ważnym sygnałem ostrzegawczym dla wszystkich organizacji:

  1. Weryfikuj procedury – każdorazowo sprawdzaj, czy zakres danych zbieranych w procesach biznesowych jest niezbędny.
  2. Unikaj nadmiarowości – nie gromadź danych „na wszelki wypadek”.
  3. Dokumentuj podstawę prawną – pokaż, dlaczego konkretne dane są potrzebne.
  4. Regularnie szkol pracowników – to oni często decydują, jakie dane są pobierane w codziennej pracy.
  5. Reaguj na zmiany – przepisy AML czy podatkowe mogą wymagać gromadzenia określonych danych, ale należy unikać rozszerzania tego obowiązku na inne obszary.

Podsumowanie

Sprawa ING Banku Śląskiego pokazuje, że nawet duże i doświadczone instytucje finansowe mogą ponieść dotkliwe konsekwencje za nieprzestrzeganie podstawowych zasad RODO. Minimalizacja danych nie jest teorią – to praktyczna reguła, która chroni prywatność klientów i buduje zaufanie do organizacji.

  • Lekcja dla każdej firmy: przetwarzaj tylko te dane, które są naprawdę niezbędne. W przeciwnym razie ryzykujesz nie tylko karą finansową, ale także utratą reputacji.