Przetwarzanie danych osobowych przez bank – uwagi ogólne

Bank Sign over Entrance Door in Black and White Sepia Tone

Z treści Sprawozdania Generalnego Inspektora Ochrony Danych Osobowych z roku 2008 wynika, iż najwięcej problemów w działalności banków pojawia przy udostępnianiu danych osobowych przedsiębiorstwom windykacyjnym, Biuru Informacji Kredytowej S.A.

Przetwarzanie danych osobowych przez banki – wprowadzenie do tematu. Banki przetwarzają dane osobowe w oparciu o przepisy ustawy z 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2002 r. Nr 72, poz. 665 z późn. zm.)1 oraz przepisy aktów wykonawczych wydanych na podstawie tej ustawy, które wprowadzają, jako przepisy szczególne w stosunku do przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.)2 , dodatkowe regulacje dotyczące przetwarzania danych osobowych.

Z treści Sprawozdania Generalnego Inspektora Ochrony Danych Osobowych z roku 2008 wynika, iż najwięcej problemów w działalności banków pojawia przy udostępnianiu danych osobowych przedsiębiorstwom windykacyjnym, Biuru Informacji Kredytowej S.A. (BIK) i do bankowego rejestru prowadzonego przez Związek Banków Polskich (ZBP), prowadzeniu działalności marketingowej oraz pozyskiwaniu danych osobowych w zbyt szerokim zakresie, przy spełnianiu obowiązku informacyjnego przez banki, sposobie postępowania przez banki na wnioski osób, których dane dotyczą w zakresie przekazania im stosownych informacji w trybie wskazanym w art. 33 ustawy o ochronie danych osobowych.

Bank, tak jak każdy inny administrator danych, powinien się legitymować jedną z przesłanek przetwarzania danych osobowych określonych w art. 23 ust. 1 ustawy o ochronie danych osobowych. W przypadku przetwarzania przez bank danych osobowych swoich klientów, jako podstawę prawną przetwarzania tych danych należy wskazać art. 23 ust. 1 pkt 2 (przepis prawa) i pkt 3 ustawy o ochronie danych osobowych (dane są przetwarzane w celu zawarcia i wykonania umów zawartych przez klientów z bankiem). Ww. przesłanki stanowią wystarczającą podstawę przetwarzania danych klientów i dlatego niezasadna jest praktyka, stosowana czasami przez banki, pozyskiwania od klientów zgody na przetwarzanie ich danych w celu wykonania umowy. Jednakże w umowie zawartej z klientem bank powinien poinformować o warunkach przetwarzania danych osobowych, a więc m.in. o wszystkich celach ich zbierania, a zwłaszcza o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach3 bądź kategoriach odbiorców danych (np. BIK S.A. lub ZBP)4 . Po rozwiązaniu umowy banki są zobowiązane do dalszego przetwarzania danych, ale odbywa się to w innych celach, czyli np. dla celów archiwalnych bądź rachunkowych, lub za odrębną zgodą byłego klienta – w celach marketingowych5 , o czym szerzej napisano poniżej.

Banki przetwarzają dane osobowe klientów oraz potencjalnych klientów również w celach marketingowych. W przypadku prowadzenia przez bank marketingu własnych produktów lub usług wobec własnych klientów podstawę prawną przetwarzania stanowi art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych. Natomiast w przypadku przetwarzania danych potencjalnych klientów bank powinien pozyskiwać od tych osób zgodę na przetwarzanie danych ich dotyczących w celach marketingowych. Podobnie w przypadku przetwarzania danych osobowych w celu prowadzenia marketingu cudzych produktów i usług bądź też przekazywania w celach marketingowych innym podmiotom, bank powinien uzyskać odrębną zgodę od osób, których te dane dotyczą. To ostatnie jest kontrowersyjnym i rygorystycznym stanowiskiem GIODO, ale ze względu na przyjętą praktykę należałoby uznać konieczność pozyskiwania zgody, chociażby ze względu na to, że jest to „bezpieczne” z punktu widzenia administratora.

Prawo bankowe zawiera również regulacje precyzujące zasady przetwarzania informacji objętych tajemnicą bankową, a dotyczących osób fizycznych będących kredytobiorcami, już po wygaśnięciu zobowiązania. I tak w myśl art. 105a ust. 1 przetwarzanie przez banki informacji stanowiących tajemnicę bankową w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, art. 105 i art. 106-106c, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Bank może przetwarzać informacje stanowiące tajemnicę bankową w zakresie dotyczącym osób fizycznych, po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, pod warunkiem uzyskania pisemnej zgody osoby, której informacje te dotyczą. Zgoda ta może być w każdym czasie odwołana.

Jednakże banki mogą przetwarzać ww. informacje po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank lub inną instytucję ustawowo upoważnioną do udzielania kredytów o zamiarze przetwarzania dotyczących jej informacji stanowiących tajemnicę bankową, bez jej zgody. W takim przypadku banki mogą przetwarzać te informacje przez okres nie dłuższy niż 5 lat od dnia wygaśnięcia zobowiązania.

Ponadto banki mogą przetwarzać powyższe informacje bez zgody osoby, której informacje dotyczą, dla celów stosowania metod statystycznych do obliczania wymogów kapitałowych, przez okres 12 lat od dnia wygaśnięcia zobowiązania. Zakres przetwarzanych informacji, które bank może przetwarzać bez zgody osoby, której dane dotyczą, może obejmować dane dotyczące osoby fizycznej lub dane dotyczące zobowiązania. Tak na marginesie, należy zauważyć że przyjęty okres 12 lat jest niezmiernie długi i można sobie postawić pytanie czy nie narusza zasady przechowywania danych na zapas, naszym zdaniem tak jest.

Rozporządzenie Ministra Finansów z dnia 27 marca 2007 r. w sprawie szczegółowego zakresu przetwarzanych informacji dotyczących osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów oraz trybu usuwania tych informacji (Dz. U. Nr 56, poz. 373) określa w § 3 zakres informacji przetwarzanych w celu oceny zdolności kredytowej i analizy ryzyka kredytowego lub dla celów stosowania metod statystycznych do obliczania wymogów kapitałowych. W dniu wygaśnięcia zobowiązania osoby fizycznej bank jest obowiązany wprowadzić do zbioru, w którym przetwarzane są informacje, komunikat dotyczący daty usunięcia informacji. W dniu określonym w komunikacie bank jest zobowiązany usunąć informacje ze zbioru.

Także przepisy ustawy z 16 listopada 2000 r. o przeciwdziałaniu wprowadzaniu do obrotu finansowego wartości majątkowych pochodzących z nielegalnych lub nieujawnionych źródeł oraz o przeciwdziałaniu finansowaniu terroryzmu (Dz. U. z 2003 r. Nr 153, poz. 1505 z późn. zm.), nakładają na banki obowiązki, których realizacja wymaga prowadzenia zbiorów danych osobowych. Banki, jako instytucje obowiązane, prowadzą dla potrzeb Generalnego Inspektora Informacji Finansowej (GIIF) określone tą ustawą rejestry transakcji i są zobowiązane przekazywać informacje o ww. transakcjach GIIF. Podstawę prawną przetwarzania ww. danych oraz zakres danych, jakie bank może przetwarzać, określają przepisy ww. ustawy.


1. Zwanej dalej Prawo bankowe.
2. Zwanej dalej ustawą o ochronie danych osobowych.
3. Za odbiorców danych nie mogą być uznawane podmioty, którym bank jedynie powierzył (zlecił) przetwarzanie danych osobowych (art. 7 pkt 6 ustawy o ochronie danych osobowych) lub przekazał je w związku z toczącymi się postępowaniami, np. policja, sądy, prokuratura.
4. Generalny Inspektor Ochrony Danych Osobowych, ABC przetwarzania danych osobowych w sektorze bankowym, Warszawa 2009, s. 7.
5. Patrz wyrok NSA z 4 marca 2002 r., sygn. akt II SA 3144/01.

About Redakcja 310 Articles
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.