Przetwarzanie danych osobowych klienta banku w marketingu bezpośrednim

Monitor Prawa Bankowego 2025/04 Kwiecień

Przetwarzanie danych osobowych w celu przeprowadzenia badania satysfakcji klienta po zakończonej rozmowie telefonicznej należy uznać za działanie o charakterze marketingowym.

Zaskarżoną decyzją – przywołując art. 104 k.p.a. oraz art. 58 ust. 2 lit. b rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U. UE L nr 119, s. 1, ze zm., dalej: „RODO”) – wobec skargi K.B. (dalej: „Wnioskodawca”) na nieprawidłowości w procesie przetwarzania danych osobowych przez Bank, polegające na przetwarzaniu danych osobowych Wnioskodawcy na potrzeby marketingu bezpośredniego (w tym profilowania w zakresie związanym z marketingiem bezpośrednim) bez podstawy prawnej, udzielono Bankowi upomnienia za naruszenie art. 6 ust. 1 RODO, polegające na przetwarzaniu danych osobowych Wnioskodawcy w celach marketingu bezpośredniego bez podstawy prawnej – w dniu [...] listopada 2019 r., a następnie w okresie od [...] lutego 2022 r. do [...] marca 2022 r. oraz [...] lipca 2022 r. (w pkt 1). W pozostałym zakresie odmówiono uwzględnienia wniosku (pkt 2). W uzasadnieniu decyzji przywołano następujące okoliczności faktyczne i prawne uwarunkowania sprawy. Wobec skargi Wnioskodawcy ustalono następujący stan faktyczny:

1. W dniu [...] listopada 2019 r. – na skutek skontaktowania się Banku z Wnioskodawcą w celu przeprowadzenia badania satysfakcji klienta – tenże skierował drogą mailową sprzeciw wobec przetwarzania jego danych osobowych w celach marketingowych. Wskazał, że nie wyraża zgody na żaden kontakt marketingowy. W dniu [...] grudnia 2019 r. – w odpowiedzi na to zgłoszenie – Bank potwierdził wycofanie zgód marketingowych. Poinformował Wnioskodawcę, że nie będzie się z nim kontaktował w innych celach niż związane z obsługą umowy rachunku bankowego. Mimo wniesionego sprzeciwu, Wnioskodawca otrzymał – za pośrednictwem aplikacji mobilnej Banku – komunikat dotyczący oferty (…) – oferty lokaty skierowanej do Wnioskodawcy (…). Wobec tego Wnioskodawca zwrócił się do organu o nakazanie Bankowi zaprzestania przetwarzania jego danych osobowych do celów marketingowych oraz zaprzestania profilowania Wnioskodawcy (…).

2. Po wszczęciu postępowania wyjaśniającego w sprawie Bank przesłał Wnioskodawcy – w dniu [...] lipca 2022 r. – wiadomość w formie SMS o treści: „Chcesz jeszcze lepiej kontrolować finanse? Włącz powiadomienia w aplikacji. Dowiesz się od razu, że na konto wpłynęła pensja czy przelew od znajomego. Przejdź do Ustawień >Ustawienia aplikacji >Powiadomienia i włącz powiadomienia. Szczegóły na naszej stronie www. Pozdrawiamy. Zespół Banku [...]”. Wobec tego Wnioskodawca zwrócił się ponownie o nakazanie Bankowi całkowitego zaprzestania przetwarzania jego danych osobowych w celach marketingowych oraz profilowania (…).

3. Bank wyjaśnił, że pozyskał dane osobowe Wnioskodawcy w związku z zawarciem i realizacją umowy rachunków bankowych, karty debetowej oraz dostępu do usług przez kanały bankowości elektronicznej (dalej: „Umowa”) – na podstawie art. 6 ust. 1 lit. b RODO – w zakresie: danych identyfikacyjnych (imię, nazwisko, nr PESEL, data i miejsce urodzenia, seria i numer dokumentu tożsamości, obywatelstwo), kontaktowych (nr telefonu, adres zamieszkania, adres korespondencyjny), socjodemograficznych (stan cywilny, imię ojca, imię matki, nazwisko panieńskie matki) oraz dotyczących formy zatrudnienia.

Wnioskodawca jest nadal klientem Banku i ma tam aktywne produkty uruchomione na podstawie Umowy, jak również na podstawie umów, dotyczących lokat bankowych. Bank przetwarza obecnie jego dane osobowe we wskazanym wcześniej zakresie oraz dane transakcyjne (szczegóły realizowanych transakcji), dane komunikacyjne (pozyskane w związku ze złożonymi reklamacjami) oraz szczegóły zawartych umów z Bankiem. Dane osobowe Bank przetwarza w celach: