Bezpodstawne przetwarzanie danych osobowych klienta banku

Monitor Prawa Bankowego 2025/10 Październik

Niedopuszczalne jest przetwarzanie danych osobowych niejako „na zapas” z założeniem, że mogą być one ewentualnie przydatne w przyszłości oraz z odwołaniem się do przepisów dotyczących przedawnienia roszczeń cywilnoprawnych.

Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z 13.01.2021 r. (II SA/Wa 607/20) oddalił skargę Banku [...] S.A. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z [...] stycznia 2020 r. nr [...] w przedmiocie przetwarzania danych osobowych. Wyrok zapadł w następującym stanie faktycznym i prawnym sprawy.

W dniu 9.07.2018 r. (data wpływu do organu) H.K. i T.K. (dalej: „wnioskodawcy”) wnieśli do Prezesa Urzędu Ochrony Danych Osobowych (dalej: „Prezes UODO”, „organ”) skargę na nieprawidłowości w procesie przetwarzania ich danych osobowych przez Bank [...] S.A. (dalej: „bank”, „skarżący”), polegające na przetwarzaniu danych osobowych wnioskodawców bez podstawy prawnej oraz do celów marketingowych. W treści skargi wnioskodawcy wnieśli o zakazanie bankowi posługiwania się, przetwarzania i archiwizowania wszelkich danych osobowych ich dotyczących.

Prezes UODO decyzją z [...] stycznia 2020 r. znak [...], działając na podstawie art. 104 § 1 k.p.a., art. 6 ust. 1, art. 21 ust. 3 oraz art. 58 ust. 2 lit. b i c rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U. UE L nr 119, s. 1, ze zm., dalej: „RODO”), orzekł:

- w pkt 1 – o nakazie usunięcia przez bank danych osobowych wnioskodawców w zakresie ich imion, nazwiska, typu dokumentów tożsamości, numerów dokumentów tożsamości, dat ważności dokumentów tożsamości, kraju wydania dokumentów tożsamości, numerów identyfikacyjnych PESEL, dat urodzenia, miejsc urodzenia, kraju urodzenia, statusów rezydencji, obywatelstwa, imion rodziców, stanu cywilnego, nazwisk panieńskich matek, płci, adresu zamieszkania, adresu korespondencyjnego, numeru telefonu komórkowego, numeru telefonu domowego, formy zatrudnienia i preferowanego języka kontaktu, danych dotyczących posiadanych produktów banku, numerów CIF (numer identyfikacyjny nadawany klientom banku);

- w pkt 2 – o udzieleniu bankowi upomnienia za naruszenie art. 6 ust. 1, art. 12 ust. 2 i 3 oraz art. 21 ust. 3 RODO polegające na: a) nieuwzględnieniu w terminie sprzeciwu wnioskodawców, wyrażonego w piśmie z 23.05.2018 r., z naruszeniem przepisu, zgodnie z którym administrator ułatwia osobie, której dane dotyczą, wykonanie praw przysługujących jej na mocy art. 15-22, b) przetwarzaniu danych osobowych wnioskodawców w celach marketingowych bez podstawy prawnej, pomimo zgłoszonego sprzeciwu.

W uzasadnieniu podjętej decyzji organ wskazał na następujące ustalenia stanu faktycznego sprawy. W związku z zawarciem umowy Konta Osobistego i umowy Konta Oszczędnościowego bank pozyskał dane osobowe wnioskodawców w zakresie: imion, nazwisk, typu dokumentu tożsamości, numeru dokumentu tożsamości, daty ważności dokumentu tożsamości, kraju wydania dokumentu tożsamości, numeru identyfikacyjnego PESEL, daty urodzenia, miejsca urodzenia, kraju urodzenia, statutu, rezydencji, obywatelstwa, imion rodziców, stanu cywilnego, nazwiska panieńskiego matki, płci, adresu zamieszkania, adresu korespondencyjnego, numeru telefonu komórkowego, numeru telefonu domowego, formy zatrudnienia i preferowanego języka kontaktu, w celu przygotowania i zawarcia ww. umów, jak również ich realizacji.

W dniu 7.04.2017 r. wnioskodawcy złożyli w banku dyspozycję zmiany rodzaju rachunku oszczędnościowo-rozliczeniowego z Konta Osobistego na Konto Techniczne. W dniu 4.05.2018 r. bank przesłał wnioskodawcom „informacje dotyczące przetwarzania danych osobowych w Banku [...] S.A.”, które zawierają cele i terminy przetwarzania danych w banku. Pismem z 23.05.2018 r., podpisanym odręcznie przez wnioskodawców i zawierającym ich imiona i nazwiska oraz adres, wnioskodawcy zwrócili się do banku o zaprzestanie przesyłania na ich adres materiałów reklamowych i wyciągów bankowych oraz wycofali zgodę na przetwarzanie ich danych osobowych przez bank, które to wycofanie zgody obejmowało cyt.: „używanie, przetwarzanie i archiwizowanie wszelkich naszych danych osobowych przez Bank [...] S.A.”.

W dniu 20.06.2018 r. bank poinformował wnioskodawców o niezastosowaniu się do żądania wyrażonego w piśmie z 23.05.2018 r. ze względu na brak możliwości potwierdzenia tożsamości wnioskodawców, ponadto o możliwości złożenia żądania osobiście w dowolnej placówce banku lub poprzez przesłanie wniosku o tej treści poprzez infolinię lub kanał internetowy banku. Bank wyjaśnił także, iż otrzymywaną przez wnioskodawców korespondencję stanowiły wyciągi bankowe w związku z prowadzonym na rzecz wnioskodawców Kontem Technicznym oraz Kontem Oszczędnościowym. W piśmie z 29.06.2018 r. wnioskodawcy odmówili skorzystania z kanałów komunikacji wskazanych im przez bank w piśmie z 20.06.2018 r. i ponowili swoje oświadczenie o wycofaniu zgody na przetwarzanie ich danych osobowych przez bank, wzywając skarżącego do zastosowania się do ich żądania wyrażonego w piśmie z 23.05.2018 r.: „za (...)