Bezpodstawne przetwarzanie danych osobowych klienta banku

Monitor Prawa Bankowego 2025/10 Październik

Niedopuszczalne jest przetwarzanie danych osobowych niejako „na zapas” z założeniem, że mogą być one ewentualnie przydatne w przyszłości oraz z odwołaniem się do przepisów dotyczących przedawnienia roszczeń cywilnoprawnych.

Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z 13.01.2021 r. (II SA/Wa 607/20) oddalił skargę Banku [...] S.A. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z [...] stycznia 2020 r. nr [...] w przedmiocie przetwarzania danych osobowych. Wyrok zapadł w następującym stanie faktycznym i prawnym sprawy.

W dniu 9.07.2018 r. (data wpływu do organu) H.K. i T.K. (dalej: „wnioskodawcy”) wnieśli do Prezesa Urzędu Ochrony Danych Osobowych (dalej: „Prezes UODO”, „organ”) skargę na nieprawidłowości w procesie przetwarzania ich danych osobowych przez Bank [...] S.A. (dalej: „bank”, „skarżący”), polegające na przetwarzaniu danych osobowych wnioskodawców bez podstawy prawnej oraz do celów marketingowych. W treści skargi wnioskodawcy wnieśli o zakazanie bankowi posługiwania się, przetwarzania i archiwizowania wszelkich danych osobowych ich dotyczących.

Prezes UODO decyzją z [...] stycznia 2020 r. znak [...], działając na podstawie art. 104 § 1 k.p.a., art. 6 ust. 1, art. 21 ust. 3 oraz art. 58 ust. 2 lit. b i c rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U. UE L nr 119, s. 1, ze zm., dalej: „RODO”), orzekł:

- w pkt 1 – o nakazie usunięcia przez bank danych osobowych wnioskodawców w zakresie ich imion, nazwiska, typu dokumentów tożsamości, numerów dokumentów tożsamości, dat ważności dokumentów tożsamości, kraju wydania dokumentów tożsamości, numerów identyfikacyjnych PESEL, dat urodzenia, miejsc urodzenia, kraju urodzenia, statusów rezydencji, obywatelstwa, imion rodziców, stanu cywilnego, nazwisk panieńskich matek, płci, adresu zamieszkania, adresu korespondencyjnego, numeru telefonu komórkowego, numeru telefonu domowego, formy zatrudnienia i preferowanego języka kontaktu, danych dotyczących posiadanych produktów banku, numerów CIF (numer identyfikacyjny nadawany klientom banku);

- w pkt 2 – o udzieleniu bankowi upomnienia za naruszenie art. 6 ust. 1, art. 12 ust. 2 i 3 oraz art. 21 ust. 3 RODO polegające na: a) nieuwzględnieniu w terminie sprzeciwu wnioskodawców, wyrażonego w piśmie z 23.05.2018 r., z naruszeniem przepisu, zgodnie z którym administrator ułatwia osobie, której dane dotyczą, wykonanie praw przysługujących jej na mocy art. 15-22, b) przetwarzaniu danych osobowych wnioskodawców w celach marketingowych bez podstawy prawnej, pomimo zgłoszonego sprzeciwu.

W uzasadnieniu podjętej decyzji organ wskazał na następujące ustalenia stanu faktycznego sprawy. W związku z zawarciem umowy Konta Osobistego i umowy Konta Oszczędnościowego bank pozyskał dane osobowe wnioskodawców w zakresie: imion, nazwisk, typu dokumentu tożsamości, numeru dokumentu tożsamości, daty ważności dokumentu tożsamości, kraju wydania dokumentu tożsamości, numeru identyfikacyjnego PESEL, daty urodzenia, miejsca urodzenia, kraju urodzenia, statutu, rezydencji, obywatelstwa, imion rodziców, stanu cywilnego, nazwiska panieńskiego matki, płci, adresu zamieszkania, adresu korespondencyjnego, numeru telefonu komórkowego, numeru telefonu domowego, formy (...)