Darmowy fragment publikacji:
Rozdział I. Świadczenie usług
finansowych, w szczególności bankowych,
a stosowanie przepisów RODO
Chapter I. Provision of financial services,
in particular banking services, and
application of the provisions of the GDPR
Karolina Ciołek*
§ 1. Uwagi wstępne
Celem niniejszego artykułu jest przedstawienie wybranych zagadnień zwią-
zanych z wejściem w życie 25.5.2018 r. nowych przepisów dotyczących ochro-
ny danych osobowych, to jest rozporządzenia Parlamentu Europejskiego i Rady
Nr 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z prze-
twarzaniem danych osobowych i w sprawie swobodnego przepływu takich da-
nych oraz uchylenia dyrektywy Nr 95/46/WE1, a także ustawy z 10.5.2018 r.
o ochronie danych osobowych2, wpływ tych przepisów na świadczenie usług fi-
nansowych, na przykładzie usług bankowych.
Omówiony zostanie m.in. cel i przedmiot ww. rozporządzenia, zakres jego
stosowania, zasady dotyczące przetwarzania danych osobowych, a także prawa
osób, których te dane dotyczą.
* Doktorantka Wydziału Prawa, Prawa Kanonicznego i Administracji Katolickiego Uni-
wersytetu Lubelskiego.
1 Rozporządzenie Parlamentu Europejskiego i Rady Nr 2016/679 z 27.4.2016 r. w sprawie
ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobod-
nego przepływu takich danych oraz uchylenia dyrektywy Nr 95/46/WE (ogólne rozporządzenie
o ochronie danych) (Dz.Urz. L Nr 119, s. 1 ze zm.).
2 Ustawa z 10.5.2018 r. o ochronie danych osobowych (t.j. Dz.U. z 2019 r. poz. 1781 ze zm.).
1
�Wskazany zostanie wpływ tych przepisów na świadczenie usług finansowych
w Polsce na przykładzie usług bankowych. Nakreślone zostaną zmiany w proce-
durze ochrony i przetwarzania danych osobowych przez banki w stosunku do
ich klientów.
Z art. 47 Konstytucji RP z 2.4.1997 r.3, w myśl którego „Każdy ma prawo
do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz
do decydowania o swoim życiu osobistym”, wynika nakaz ochrony przez pań-
stwo życia osoby fizycznej. „Prawo do ochrony danych osobowych, jako jeden
z elementów prawa do ochrony własnej prywatności, ma swoje źródło w przepi-
sach, art. 47, art. 49, art. 50 i art. 51 Konstytucji RP”4. Jednak prawo do ochro-
ny danych osobowych może zostać ograniczone przez uzasadniony interes in-
nych osób fizycznych oraz interes publiczny, który nie ma definicji ustawowej
i jest pojęciem nieostrym, jednak w doktrynie nastąpiły próby jego zdefiniowa-
nia. „Za sprawę szczególnie istotną dla interesu publicznego należy uznać taką,
która – ze względu na rodzaj, czas, miejsce, sposób, okoliczności rozstrzygania
i późniejszej realizacji – w istotnym zakresie wpływa lub może wpływać na wy-
konywanie przez podmioty władzy publicznej ich uprawnień i obowiązków”5.
§ 2. Usługi finansowe a usługi bankowe
Według E. Rutkowskiej-Tomaszewskiej „pojęcie usług finansowych należy
uznać za kluczowe dla identyfikowania i rozróżniania instytucji finansowych.
Dają temu wyraz dyrektywy sektorowe dotyczące rynku finansowego, które
w pierwszej kolejności wskazują rodzaje wykonywanych, dozwolonych usług
finansowych, a dopiero później przyporządkowują im dany rodzaj instytucji
(np. instytucje kredytowe, inwestycyjne, ubezpieczeniowe)”6.
Zgodnie z dyrektywą Nr 2002/65/WE Parlamentu Europejskiego i Rady
z 23.9.2002 r. dotyczącą sprzedaży konsumentom usług finansowych na od-
ległość oraz zmieniającą dyrektywę Rady Nr 90/619/EWG oraz dyrektywy
Nr 97/7/WE i 98/27/WE, która jako pierwsza posłużyła się definicją usługi fi-
nansowej, usługą finansową są wszelkie usługi o charakterze bankowym, kredy-
towym, ubezpieczeniowym, emerytalnym, inwestycyjnym lub płatniczym7.
3 Konstytucja RP z 2.4.1997 r. (Dz.U. Nr 78, poz. 483 ze zm.).
4 A. Krasuski, Ochrona danych osobowych na podstawie RODO, Warszawa 2018, s. 28.
5 Informacje znajdujące się na stronie internetowej: http://opengovernment.pl/baza-wiedzy/
czym-jest-interes-publiczny (dostęp: 8.6.2018 r.).
6 E. Rutkowska-Tomaszewska, Ochrona prawna klienta na rynku usług bankowych, War-
szawa 2013, s. 56.
7 Por. ibidem, s. 57.
2
Rozdział I. Świadczenie usług finansowych, w szczególności bankowych...�§ 2. Usługi finansowe a usługi bankowe
W prawie polskim po raz pierwszy pojęcie usługi finansowej pojawiło się
w art. 16a ustawy z 16.4.2004 r. o zmianie ustawy o ochronie niektórych praw kon-
sumentów oraz odpowiedzialności za produkt niebezpieczny8. Zgodnie z tą usta-
wą do usług finansowych zalicza się w szczególności czynności bankowe, umowy
kredytu konsumenckiego, czynności ubezpieczeniowe oraz umowy uczestnictwa
w funduszu inwestycyjnym otwartym, specjalistycznym funduszu inwestycyjnym
otwartym, funduszu inwestycyjnym zamkniętym, specjalistycznym funduszu in-
westycyjnym zamkniętym i funduszu inwestycyjnym mieszanym.
Obecnie pojęcie usługi finansowej znajduje się ustawie z 30.5.2014 r. o pra-
wach konsumenta. W myśl art. 4 ust. 2 należą do niej: „czynności bankowe,
umowy kredytu konsumenckiego, czynności ubezpieczeniowe, umowy nabycia
lub odkupienia jednostek uczestnictwa funduszu inwestycyjnego otwartego albo
specjalistycznego funduszu inwestycyjnego otwartego i nabycia lub objęcia cer-
tyfikatów inwestycyjnych funduszu inwestycyjnego zamkniętego, usługi płatni-
cze – z wyjątkiem umów dotyczących usług finansowych zawieranych na odle-
głość”9. Jednak jest to katalog otwarty.
Zgodnie z dyrektywą Nr 2004/39/WE Parlamentu Europejskiego i Rady
z 21.4.2004 r. w sprawie rynków instrumentów finansowych zmieniającą dyrek-
tywę Rady Nr 85/611/EWG i 93/6/EWG i dyrektywę Nr 2000/12/WE Parlamen-
tu Europejskiego i Rady oraz uchylającą dyrektywę Rady 93/22/EWG10 do usług
finansowych zalicza się: „przyjmowanie i przekazywanie zleceń w odniesieniu
do jednego, lub większej liczby instrumentów finansowych, realizacje zleceń
w imieniu klientów, zawieranie transakcji na własny rachunek, zarządzanie pa-
kietem akcji, doradztwo inwestycyjne, emisję instrumentów finansowych i/lub
wprowadzanie instrumentów finansowych na zasadzie zaangażowania przedsię-
biorstwa, wprowadzanie instrumentów finansowych bez zaangażowania przed-
siębiorstwa, prowadzenie Wielostronnych Platform Obrotu – Załącznik 1 sekcja
A do MIFID”11.
8 Ustawa z 16.4.2004 r. o zmianie ustawy o ochronie niektórych praw konsumentów oraz
odpowiedzialności za produkt niebezpieczny (t.j. Dz.U. z 2012 r. poz. 1225).
9 Ustawa z 30.5.2014 r. o prawach konsumenta (t.j. Dz.U. z 2020 r. poz. 287 ze zm.).
10 Dyrektywa Nr 2004/39/WE Parlamentu Europejskiego i Rady z 21.4.2004 r. w sprawie
rynków instrumentów finansowych zmieniająca dyrektywę Rady Nr 85/611/EWG i 93/6/EWG
i dyrektywę Nr 2000/12/WE Parlamentu Europejskiego i Rady oraz uchylająca dyrektywę Rady
Nr 93/22/EWG (https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX 3A32004L0039,
dostęp: 24.5.2018 r.).
11 Dyrektywa Nr 2004/39/WE Parlamentu Europejskiego i Rady z 21.4.2004 r. w sprawie
rynków instrumentów finansowych zmieniająca dyrektywę Rady Nr 85/611/EWG i 93/6/EWG
i dyrektywę Nr 2000/12/WE Parlamentu Europejskiego i Rady oraz uchylająca dyrektywę Rady
93/22/EWG (https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX 3A32004L0039,
dostęp: 24.5.2018 r.).
3
�Usługi bankowe zaliczane są do jednej z odmian usług finansowych. W celu
dokonania prawidłowej interpretacji usług bankowych niezbędne było odnie-
sienie się do pojęcia usług finansowych, w tym do dyrektywy Nr 2005/65 /WE,
co uczyniono powyżej12. W najbardziej ogólnym i generalnym ujęciu usługa-
mi finansowymi (w tym bankowymi) są określone rodzaje aktywności instytu-
cji finansowych (tj. instytucji kredytowych, ubezpieczeniowych, inwestycyjnych
i płatniczych) na rynku finansowym13.
Polski ustawodawca podobnie jak przy usłudze finansowej nie stworzył le-
galnej definicji usługi bankowej, jednak można ją definiować jako usługę świad-
czoną przez banki klientom indywidualnym, czyli konsumentom oraz innym
podmiotom gospodarczym w sposób tradycyjny, czyli w oddziale banku, a tak-
że w sposób nowoczesny – przez telefon czy drogą elektroniczną14. Może być to
również definiowane jako „produkt marketingowy”15, który jest oferowany przez
pracowników banku klientowi.
Usługi bankowe mają charakter pieniężny i odpłatny, najczęściej występują
w formie umów16. Usługi bankowe, a zwłaszcza wykonywane w ich ramach czyn-
ności, często nazywane również są operacjami bankowymi, co jest błędne z racji
tego, iż nie wszystkie czynności bankowe mają charakter operacji, np. doradztwo
na rzecz klientów17.
Czynności bankowe dzielą się na:
1) „czynności bankowe sensu stricto – zastrzeżone wyłącznie dla banków, m.in.
udzielanie kredytów i gwarancji, przyjmowanie wkładów, emitowanie banko-
wych papierów wartościowych,
2) czynności bankowe sensu largo – które mogą być wykonywane zarówno przez
banki, jak i podmioty niebankowe, np. udzielanie pożyczek pieniężnych, naby-
wanie i zbywanie wierzytelności, operacje czekowe i wekslowe, poręczenia itp.”18.
Obecnie, w myśl art. 5 PrBank, „czynnościami bankowymi są:
1) przyjmowanie wkładów pieniężnych płatnych na żądanie lub z nadejściem
oznaczonego terminu oraz prowadzenie rachunków tych wkładów,
12 Por. E. Rutkowska-Tomaszewska, Nieuczciwe praktyki na rynku bankowych usług kon-
sumenckich, Warszawa 2011, s. 21.
13 W. Srokosz, Czynności bankowe zastrzeżone dla banków, [w:] E. Fojcik- Mastalska (red.),
Prawo bankowe w zarysie, Bydgoszcz–Wrocław 2003, s. 197.
14 Por. S. Flejterski, A. Panasiuk, J. Perenc, G. Rosa (red.), Współczesna ekonomika usług,
Warszawa 2008, s. 330.
PB 2000, Nr 9, s. 80 i nast.
15 Por. W. Srokosz, Pojęcie usług finansowych w regulacjach prawnych Unii Europejskiej,
16 Por. S. Flejterski, A. Panasiuk, J. Perenc, G. Rosa (red.), op. cit., s. 330.
17 Por. Z. Krzyżkiewicz, Podręcznik do nauki bankowości, Biblioteka Menedżera i Bankowca,
Warszawa 1999, s. 69.
18 S. Flejterski, A. Panasiuk, J. Perenc, G. Rosa (red.), op. cit., s. 332.
4
Rozdział I. Świadczenie usług finansowych, w szczególności bankowych...�§ 2. Usługi finansowe a usługi bankowe
2) prowadzenie innych rachunków bankowych,
3) udzielanie i potwierdzanie gwarancji bankowych oraz otwieranie i potwier-
4) emitowanie bankowych papierów wartościowych,
5) przeprowadzanie bankowych rozliczeń pieniężnych,
6) wykonywanie innych czynności przewidzianych wyłącznie dla banku w od-
7) udzielanie pożyczek pieniężnych,
8) operacje czekowe i wekslowe oraz operacje, których przedmiotem są war-
dzanie akredytyw,
rębnych ustawach,
ranty,
9) świadczenie usług płatniczych oraz wydawanie pieniądza elektronicznego,
10) terminowe operacje finansowe,
11) nabywanie i zbywanie wierzytelności pieniężnych,
12) przechowywanie przedmiotów i papierów wartościowych oraz udostępnianie
13) prowadzenie skupu i sprzedaży wartości dewizowych,
14) udzielanie i potwierdzanie poręczeń,
15) wykonywanie czynności zleconych, związanych z emisją papierów warto-
16) pośrednictwo w dokonywaniu przekazów pieniężnych oraz rozliczeń w ob-
skrytek sejfowych,
ściowych,
rocie dewizowym,
17) pośrednictwo w zawieraniu umów lokaty strukturyzowanej,
18) doradztwo w odniesieniu do lokat strukturyzowanych”.
Czynności zawarte w pkt 1–6 przewidziane są wyłącznie dla banku, czyli
w myśl art. 2 PrBank „osoby prawnej utworzonej zgodnie z przepisami ustaw,
działającej na podstawie zezwoleń uprawniających do wykonywania czynności
bankowych obciążających ryzykiem środki powierzone pod jakimkolwiek tytu-
łem zwrotnym”, „inni przedsiębiorcy, podejmując się próby oferowania czynno-
ści zarezerwowanych dla banków, mogą zostać ukarani grzywną do 5 mln zł lub
karą pozbawienia wolności do lat trzech19”. W przypadku czynności wymienio-
nych w pkt 7–18 to banki nie mają na nie monopolu, lecz muszą rywalizować
z innymi przedsiębiorcami o klienta.
Usługi bankowe to kategoria usług o charakterystycznych cechach, do któ-
rych zalicza się:
1) niematerialność, czyli niemożność dotknięcia, obejrzenia produktu,
2) niejednorodność, czyli zróżnicowanie ze względu na znaczący udział perso-
nelu bankowego w procesie sprzedaży,
19 https://www.nbportal.pl/slownik/pozycje-slownika/czynnosci-bankowe (dostęp:
27.5.2018 r.).
5
�3) charakter abstrakcyjny, czyli potrzeba wyjaśnienia klientowi, na czym polega
jego potrzeba,
4) rozłożenie w czasie konsumpcji – oznacza to, że usługi bankowe mogą być
dobrami o rozłożonej w czasie konsumpcji, np. kredyt hipoteczny,
5) brak rozdzielności procesu świadczenia i konsumpcji usługi, czyli konsumpcja
w czasie bezpośredniej obecności klienta w banku,
6) obarczenie usług bankowych ryzykiem – ryzyko bankowe jest obarczone ry-
zykiem handlowym i ma swoją cenę,
7) usługi bankowe jako pakiet usług – klient z reguły nie jest zainteresowany po-
jedynczymi usługami, lecz pakietem usług, np. do konta osobistego dołączana
jest karta płatnicza,
8) brak ochrony patentowej – oznacza to, że mogą być kopiowane przez konku-
rentów20.
§ 3. RODO – ochrona danych osobowych
Przez określenie „RODO” mamy na myśli rozporządzenie Parlamentu Euro-
pejskiego i Rady Nr 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych
w związku z przetwarzaniem danych osobowych i w sprawie swobodnego prze-
pływu takich danych oraz uchylenia dyrektywy Nr 95/46/WE21. Rozporządzenie
obowiązuje w Polsce od 25.5.2018 r., jest to akt o zasięgu ogólnym, wiążącym
w całości i bezpośrednio wszystkie państwa członkowskie UE, co oznacza, że
nie potrzebuje implementacji do krajowych porządków prawnych22. Adresatami
rozporządzeń są nie tylko państwa członkowskie, ale także wszelkie instytucje,
organy oraz osoby fizyczne i prawne23. „RODO” zastąpiło obowiązującą ustawę
z 29.8.1997 r. o ochronie danych osobowych.
„Przedmiotem regulacji jest ochrona osób fizycznych w związku z przetwa-
rzaniem danych osobowych. Zagwarantowanie ochrony osób, których dane pod-
dawane są przetwarzaniu, ma umożliwić swobodny przepływ danych osobowych
w Unii Europejskiej. Prawo do ochrony danych osobowych, do którego odnosi
20 Por. S. Flejterski, A. Panasiuk, J. Perenc, G. Rosa (red.), op. cit., s. 334.
21 Rozporządzenie Parlamentu Europejskiego i Rady Nr 2016/679 z 27.4.2016 r. w sprawie
ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobod-
nego przepływu takich danych oraz uchylenia dyrektywy Nr 95/46/WE (ogólne rozporządzenie
o ochronie danych) (Dz.Urz. L Nr 119, s. 1 ze zm.).
22 Por. A. Szachoń, Źródła prawa Unii Europejskiej, [w:] A. Kuś (red.), Prawo Unii Europej-
skiej z uwzględnieniem Traktatu z Lizbony, Lublin 2010, s. 181.
23 Ibidem, s. 181.
6
Rozdział I. Świadczenie usług finansowych, w szczególności bankowych...�§ 3. RODO – ochrona danych osobowych
się komentowany przepis, jest jednym z podstawowych praw i wolności chronio-
nych na mocy rozporządzenia”24.
Artykuł 4 rozporządzenia zawiera katalog pojęć użytych w akcie prawnym,
który w dużej części zawiera novum co do wcześniejszych regulacji. „Nowo-
ściami są np. pojęcia profilowania (pkt 4), pseudonimizacji (pkt 5), ogranicze-
nia przetwarzania (pkt 3), danych genetycznych (pkt 13) czy biometrycznych
(pkt 14), a także naruszenia ochrony danych osobowych (pkt 12). Istotnej mo-
dyfikacji uległa definicja zgody (pkt 11). Nadal, co oczywiste, centralną pozycję
zajmuje pojęcie danych osobowych (pkt 1)”25.
Profilowanie oznacza każdą formę przetwarzania danych osobowych, polega-
jącą na wykorzystaniu posiadanych danych osobowych w celu dokonania oceny
niektórych czynników osobowych (np. w celu dokonania analizy bądź też pro-
gnozy aspektów dotyczących efektywności pracy tej osoby, sytuacji ekonomicz-
nej).
Pseudonimizacja polega na takim przetworzeniu danych osobowych, aby
uniemożliwić identyfikację tych danych z konkretną osobą.
Ograniczenie przetwarzania oznacza takie przechowywanie danych osobo-
wych, by ograniczyć ich przetwarzanie w przyszłości.
Dane genetyczne to nic innego jak cechy nabyte bądź odziedziczone, ujaw-
niające niepowtarzalne informacje fizjologiczne bądź zdrowotne danej osoby po-
zyskane z próbek biologicznych danej osoby.
Dane biometryczne natomiast są danymi osobowymi danej osoby fizycznej
(np. dane daktyloskopijne czy wizerunek twarzy) pozwalające jednoznacznie po-
twierdzić identyfikację danej osoby.
W myśl rozporządzenia naruszeniem ochrony danych osobowych jest na-
ruszenie bezpieczeństwa prowadzące do zniszczenia, utracenia, przypadkowego
ujawnienia bądź też nieuprawnionego dostępu do danych osobowych.
Zgodą w rozumieniu rozporządzenia jest natomiast dobrowolne i w peł-
ni świadome wyrażenie zgody osoby, której dane dotyczą, mogącej mieć postać
oświadczenia lub działania, z którego ta zgoda wynika, na przetwarzanie danych
osobowych26.
24 P. Fajgielski, Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycz-
nych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu
takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych),
[w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komen-
tarz, Warszawa 2018, wersja elektr.
25 Por. E. Bielak-Jomaa, D. Lubasz (red.), RODO. Ogólne rozporządzenie o ochronie danych.
Komentarz, Warszawa 2018, wersja elektr.
26 Por. art. 4, Dz.Urz. L Nr 119, s. 1 ze zm.
7
�Zgodnie z art. 4 pkt 1 rozporządzenia „dane osobowe oznaczają wszelkie in-
formacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej
(„osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to
osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności
na podstawie identyfikatora, takiego jak: imię i nazwisko, numer identyfikacyjny,
dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych
czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekono-
miczną, kulturową lub społeczną tożsamość osoby fizycznej”.
RODO wymienia enumeratywnie warunki, na podstawie których mogą być
przetwarzane dane osobowe zgodnie z prawem. Według art. 6 rozporządzenia
„Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim
zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
1) osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych
osobowych w jednym lub większej liczbie określonych celów,
2) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba,
której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane
dotyczą, przed zawarciem umowy,
3) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego
na administratorze,
4) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której
dane dotyczą, lub innej osoby fizycznej,
5) przetwarzanie jest niezbędne do wykonania zadania realizowanego w inte-
resie publicznym lub w ramach sprawowania władzy publicznej powierzonej
administratorowi,
6) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnio-
nych interesów realizowanych przez administratora lub przez stronę trzecią,
z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów
mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą,
wymagające ochrony danych osobowych, w szczególności gdy osoba, której
dane dotyczą, jest dzieckiem”27.
Jest to katalog zamknięty, co oznacza, że tylko na tej podstawie dane mogą
być przetwarzane.
„Rozporządzenie w art. 17 daje uprawnienie do żądania usunięcia danych
osobowych (inaczej zwane prawem do bycia zapomnianym). Na mocy tego prze-
pisu osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocz-
nego usunięcia dotyczących jej danych osobowych, a administrator ma obowią-
zek bez zbędnej zwłoki je usunąć. Obowiązek ten powstaje, gdy zachodzi jedna
z poniższych sytuacji: dane te nie są już administratorowi niezbędne, została cof-
27 Dz.Urz. L Nr 119, s. 1 ze zm.
8
Rozdział I. Świadczenie usług finansowych, w szczególności bankowych...�§ 4. Banki a RODO
nięta zgoda na ich przetwarzanie, osoba, której dane dotyczą, wnosi sprzeciw
co do ich przetwarzania bądź były one przetwarzane niezgodnie z prawem”28.
Ponadto administrator danych, któremu cofnięto zgodę, zobowiązany jest bez
zbędnej zwłoki zawiadomić inne podmioty, którym te dane zostały przekazane,
o tym, że dana osoba cofnęła zgodę na przetwarzanie danych i zażądała ich nie-
zwłocznego usunięcia.
Aby móc skorzystać z tego uprawnienia, musi być spełniony jeden z warun-
ków wymienionych w art. 17 rozporządzenia, a mianowicie:
1) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub
2) osoba cofnęła zgodę, na której opiera się przetwarzanie, i nie istnieje podstawa
w inny sposób przetwarzane,
prawna, by nadal przetwarzać dane,
3) osoba wnosi sprzeciw na mocy art. 21 ust. 1 oraz nie istnieją uzasadnione
prawnie podstawy przetwarzania lub osoba przeciwstawia się przetwarzaniu
danych w zakresie marketingu bezpośredniego,
4) dane osobowe były przetwarzane niezgodnie z prawem,
5) dane osobowe zostały zebrane przy okazji usług społeczeństwa informacyjnego
(e-handel, social media) osobom poniżej 16 lat (w Polsce planuje się ustalić
granicę na 13 lat)29.
Głównym celem wprowadzenia RODO było poszerzenie ochrony danych
osobowych, które są pozyskiwane, przechowywane oraz przetwarzane przez róż-
ne instytucje czy podmioty prowadzące działalność gospodarczą na terenie UE.
Komisja Europejska uzasadniała wprowadzenie tych przepisów postępem techno-
logicznym, który ułatwia udostępnianie informacji o osobach fizycznych na sze-
roką skalę, oraz globalizacją, której przykładem mogą być wszelkiego rodzaju me-
dia społecznościowe, a także szeroko rozumianą działalnością w Internecie30.
§ 4. Banki a RODO
Wprowadzenie RODO do systemu prawnego wymusiło dokonanie zmian
w przepisach dotyczących m.in. funkcjonowania przepisów dotyczących insty-
tucji finansowych, w tym przepisów prawa bankowego. Do momentu wprowa-
dzenia przepisów rozporządzenia sprzedaż usług przez banki opierała się głów-
nie na zgodach marketingowych.
28 https://praca.gazetaprawna.pl/artykuly/1081570,rodo-kary-za-dane-osobowe-w-
cyfrowych-bazach-i-na-papierze.html. (dostęp: 16.12.2018 r.).
29 https://logsystem.pl/blog/rodo-a-prawo-do-bycia-zapomnianym/ (dostęp: 16.12.2018 r.).
30 Por. A. Krasuski, op. cit., s. 17.
9
�Rozporządzenie umacnia obowiązek informacyjny, co oznacza, że każdy
podmiot ma prawo wiedzieć, jakim procesom będą poddawane jego dane osobo-
we, oraz w każdej chwili może domagać się udzielenia informacji na temat pro-
cedur ich przetwarzania. Co istotne, obowiązek informacyjny powinien zostać
spełniony już w trakcie pozyskania danych osobowych klienta. Bank ma zatem
obowiązek dopilnowania, aby każdy klient zapoznał się z klauzulami informacyj-
nymi, zanim jego dane zostaną poddane procesom przetwarzania31.
Obowiązkiem banku jest szczegółowe informowanie klienta o sprawach
związanych z administrowaniem danych, o sposobie ich pozyskiwania i prze-
twarzania, a ponadto wskazywanie celu ich przetwarzania.
Zgoda klienta na przetwarzanie jego danych osobowych musi być dobrowol-
na. Nie można rozporządzać jego danymi osobowymi bez uprzedniej zgody ani
rozpowszechniać jego danych innym osobom. Klient powinien zostać poinfor-
mowany o tym, kto zostanie administratorem jego danych osobowych.
W myśl rozporządzenia administratorem danych będzie konkretny bank,
w którym został powołany Inspektor Ochrony Danych, gdyż na podstawie art. 37
inspektor wyznaczany jest przez administratora i pomiot przetwarzający w sytu-
acji, gdy:
a) „przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów
w zakresie sprawowania przez nie wymiaru sprawiedliwości;
b) główna działalność administratora lub podmiotu przetwarzającego polega
na operacjach przetwarzania, które ze względu na swój charakter, zakres lub
cele wymagają regularnego i systematycznego monitorowania osób, których
dane dotyczą, na dużą skalę lub
c) główna działalność administratora lub podmiotu przetwarzającego polega
na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych,
o których mowa w art. 9, lub danych osobowych dotyczących wyroków ska-
zujących i czynów zabronionych, o czym mowa w art. 10”32.
Do kategorii danych osobowych przetwarzanych przez bank zalicza się:
a) dane identyfikacyjne – bank musi sprawdzić, czy wypłaca środki pieniężne
odpowiedniej osobie i musi być to zabezpieczone w odpowiedni sposób, aby
uniknąć sytuacji, gdzie po wypłatę tych środków do banku zgłosi się osoba
nieuprawniona, a bank nie będzie mógł stwierdzić, czy wypłaca wyżej wymie-
nione środki odpowiedniej osobie,
b) dane adresowe – klienci banków otrzymują korespondencję, np. nową kartę
kredytową, która jest wysyłana za pośrednictwem operatora pocztowego prze-
31 https://www.bankier.pl/wiadomosc/RODO-w-bankach-Bedzie-mniej-wciskania-
klientom-ofert-7587963.html (dostęp: 16.12.2018 r.).
32 Dz.Urz. L Nr 119, s. 1 ze zm.
10
Rozdział I. Świadczenie usług finansowych, w szczególności bankowych...�§ 4. Banki a RODO
syłką listową lub przesyłką rejestrowaną w rozumieniu ustawy z 23.11.2012 r.
– Prawo pocztowe33,
c) dane kontaktowe – ułatwiają kontakt konsultanta z klientem np. w celu zło-
żenia klientowi banku nowej oferty.
Bank może przetwarzać dane osobowe w następujących celach:
a) „przedstawienia ofert lub rozpatrzenia wniosku o produkt oferowany przez
Bank lub usługę świadczoną przez Bank, w tym w imieniu i na rzecz spółek
z Grupy Kapitałowej Banku i podmiotów współpracujących z Bankiem,
na podstawie art. 6 ust. 1 lit. b lub lit. f rozporządzenia, (…)
b) dokonania oceny zdolności kredytowej i analizy ryzyka kredytowego, na pod-
stawie art. 6 ust. 1 lit. b–c rozporządzenia, (…)
c) rozpatrzenia reklamacji, wniosków oraz odwołań, na podstawie art. 6 ust. 1
lit. b–c i lit. f rozporządzenia, (…)
d) marketingu, w tym promocji produktów oferowanych przez Bank lub usług
świadczonych przez Bank lub spółki z Grupy Kapitałowej Banku lub podmioty
współpracujące z Bankiem, na podstawie art. 6 ust. 1 lit. f rozporządzenia, (…)
e) wykrycia i ograniczenia nadużyć finansowych związanych z działalnością
Banku, jak również w celu zapewnienia bezpieczeństwa przechowywania
środków pieniężnych klientów Banku oraz prowadzenia postępowań wyja-
śniających, na podstawie art. 6 ust. 1 lit. f rozporządzenia”34.
W następujących sytuacjach dane mogą być udostępniane przez bank:
1) „podmiotom i organom, którym Bank jest zobowiązany lub upoważniony udo-
stępnić dane osobowe na podstawie powszechnie obowiązujących przepisów
prawa, w tym podmiotom oraz organom uprawnionym do otrzymania od
Banku danych osobowych lub uprawnionych do żądania dostępu do danych
osobowych na podstawie powszechnie obowiązujących przepisów prawa,
w szczególności na podstawie art. art. 104 ust. 2 i art. 105 ust. 1 i 2 ustawy
– Prawo bankowe,
2) podmiotom, którym Bank powierzył wykonywanie czynności bankowych lub
czynności związanych z działalnością bankową na rzecz Banku,
3) instytucjom, o których mowa w art. 105 ust. 4 ustawy – Prawo bankowe,
4) organom i podmiotom uprawnionym do otrzymania danych osobowych
na podstawie art. 149 lub 150 ustawy o obrocie instrumentami finansowymi
lub innych przepisów prawa, dotyczących obrotu instrumentami finanso-
wymi (w zakresie usług powierniczych świadczonych przez Bank na podstawie
art. 119 ustawy o obrocie instrumentami finansowymi, lub usług wykonywa-
33 Ustawa z 23.11.2012 r. – Prawo pocztowe (t.j. Dz.U. z 2020 r. poz. 1041 ze zm.).
34 https://www.pkobp.pl/rodo/ (dostęp: 10.6.2018 r.).
11
�nych przez Bank na podstawie art. 70 ust. 2 ustawy o obrocie instrumentami
finansowymi),
5) biurom informacji gospodarczej, działającym na podstawie ustawy o udostęp-
nianiu informacji gospodarczych i wymianie danych gospodarczych, na pod-
stawie przepisów tej ustawy,
6) podmiotom z Grupy Kapitałowej Banku i podmiotom współpracującym z Ban-
kiem, w związku z produktami i usługami oferowanymi przez te podmioty.
Lista tych podmiotów dostępna jest na stronie internetowej Banku w zakładce
„RODO” oraz w oddziałach i agencjach Banku”35.
W przypadkach mających uzasadnienie bank może udostępnić dane osobo-
we podmiotom mającym siedzibę poza Europejskim Obszarem Gospodarczym
(m.in. USA, Chiny) oraz organizacjom międzynarodowym (np. Stowarzyszenie
na rzecz Światowej Międzybankowej Telekomunikacji Finansowej, czyli inaczej
potocznie zwane „SWIFT”), do których transfer jest niezbędny w celu wykona-
nia zleconej bankowi usługi. Przekazanie danych poza EOG następuje na pod-
stawie zawartych z odbiorcą danych standardowych klauzul umownych, których
treść ustalona została przez Komisję.
Dane osobowe powinny być przechowywane na podstawie obowiązujących
przepisów prawa np. w celach archiwalnych, a także „ustalenia i dochodzenia
roszczeń przez Bank w związku z prowadzoną działalnością, w tym restruktury-
zacji, windykacji, egzekucji wierzytelności, podejmowania działań w celu znale-
zienia nabywców na majątek stanowiący zabezpieczenie umowy oraz sprzedaży
wierzytelności wynikającej z tej umowy lub obrony przed roszczeniami kierowa-
nymi wobec Banku, przed organami ścigania, organami orzekającymi, w tym są-
dami powszechnymi, sądami administracyjnymi, Sądem Najwyższym, w postę-
powaniach administracyjnych, w tym podatkowych”36.
Zgodnie z rozporządzeniem klientowi banku przysługuje:
1) prawo dostępu do danych zebranych przez bank,
2) prawo do wiedzy i informacji, w szczególności w zakresie celów, w jakich dane
osobowe są przetwarzane, w miarę możliwości okresu, przez jaki dane oso-
bowe są przetwarzane, odbiorców danych osobowych, założeń ewentualnego
zautomatyzowanego przetwarzania danych osobowych oraz, przynajmniej
w przypadku profilowania, konsekwencji takiego przetwarzania,
3) prawo do sprostowania danych osobowych,
4) prawo do tego, by jej dane osobowe zostały usunięte i przestały być przetwa-
rzane, jeżeli dane te nie są już niezbędne do celów, w których były zbierane
lub w inny sposób przetwarzane, jeżeli osoba, której dane dotyczą, cofnęła
35 Ibidem.
36 https://www.pkobp.pl/rodo/ (dostęp: 10.6.2018 r.).
12
Rozdział I. Świadczenie usług finansowych, w szczególności bankowych...�§ 5. Wnioski
zgodę lub jeżeli wniosła sprzeciw wobec przetwarzania danych osobowych jej
dotyczących, lub jeżeli przetwarzanie jej danych osobowych nie jest z innego
powodu,
5) prawo do usunięcia danych przez zobowiązanie administratora, który upu-
blicznił te dane osobowe, do poinformowania administratorów, którzy prze-
twarzają takie dane osobowe, o usunięciu wszelkich łączy do tych danych,
kopii tych danych osobowych lub ich replikacji,
6) prawo wniesienia w dowolnym momencie, bezpłatnie sprzeciwu wobec tego
przetwarzania, pierwotnego lub dalszego – w tym profilowania, jeśli jest ono
powiązane z marketingiem bezpośrednim37.
W omawianych powyżej przepisach znaleźć można postanawiania dotyczące
odpowiedzialności w zakresie przetwarzania danych osobowych. Zgodnie z roz-
porządzeniem wyróżnić można:
1) odpowiedzialność administracyjną – jest to np. wydawanie decyzji przez
Głównego Inspektora Ochrony Danych Osobowych w sprawie zakazu prze-
twarzania danych,
2) odpowiedzialność karną, czyli kara grzywny lub pozbawienia wolności od
roku do 3 lat, kary pieniężne mają być skuteczne, proporcjonalne oraz od-
straszające,
3) odpowiedzialność cywilnoprawną, roszczenia o zadośćuczynienie za doznaną
krzywdę wyrządzoną wskutek niewłaściwego przetwarzania danych,
4) odpowiedzialność na podstawie prawa pracy, kary porządkowe, postępowania
zmierzające do ustania stosunku pracy,
5) odpowiedzialność finansową, nałożenie kar pieniężnych do 200 000 zł,
6) złożenie zawiadomienia o możliwości popełnienia przestępstwa.
§ 5. Wnioski
Ochrona danych osobowych jest podstawowym prawem przysługującym
każdemu obywatelowi. „Rozporządzenie wprowadza wiele korzyści dla osób pry-
watnych, w tym większą transparentność w odniesieniu do użycia danych oso-
bowych, tj. nakazuje upowszechnienie informacji, kto, kiedy i w jakim procesie
wykorzystał poszczególne dane”38. Przepisy rozporządzenia ujednoliciły porząd-
ki prawne państw członkowskich UE. Komisja Europejska w 2015 r. przeprowa-
dziła badania wśród obywateli państw członkowskich UE. „Okazało się, że 67
37 Dz.Urz. L Nr 119, s. 1 ze zm.
38 https://www.bankier.pl/wiadomosc/RODO-zmiany-w-ochronie-danych-osobowych-w-
2018-roku-Najwazniejsze-informacje-7563322.html (dostęp: 16.12.2018 r.).
13
�respondentów martwi fakt, że nie mają kontroli nad informacjami o sobie, które
pojawiają się w Internecie. Natomiast 89 badanych uznało, że wszyscy miesz-
kańcy UE powinni mieć taki sam poziom ochrony swoich danych, niezależnie
od kraju zamieszkania”39.
Na chwilę obecną ciężko jest jednoznacznie ocenić poziom dostosowania
rozwiązań krajowych do RODO z uwagi na brak wykształcenia się jeszcze prag-
matyki stosowania, jak również właściwego orzecznictwa w tym zakresie.
Abstrakt
Dnia 25.5.2018 r. weszło w życie rozporządzenie Parlamentu Europejskiego
i Rady Nr 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku
z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich
danych oraz uchylenia dyrektywy Nr 95/46/WE, inaczej zwane RODO (z ang.
General Data Protection Regulation, GDPR). Jego głównym celem jest ochrona
osób fizycznych w zakresie przetwarzania danych osobowych, możliwości ich
zmiany bądź żądania usunięcia.
W niniejszej publikacji starano się pokazać wpływ RODO na instytucje
finansowe w Polsce, na przykładzie funkcjonowania banków. Omówiono, czym
są usługi finansowe, czym bankowe, dokonano ogólnej charakterystyki rozporzą-
dzenia, a także omówiono zmiany, jakie zaszły po wprowadzeniu tych przepisów
na świadczenie usług bankowych.
Słowa kluczowe: usługi finansowe, usługi bankowe, RODO, dane osobowe,
ochrona danych osobowych.
Abstract
On May 25, 2018, General Data Protection Regulation, GDPR, otherwise
known as RODO came into force.. Its main purpose is to protect individuals
in the processing of personal data, to ensure the possibility of changing them or to
request their removal.
This publication attempts to show the influence of GDPR on financial institu-
tions in Poland, on the example of the functioning of banks. It covers such issues as
financial services, banking activities, the general characteristics of the Regulation,
and also the changes that have occurred since the introduction of the provisions
in the provision of banking services.
Keywords: financial services, banking services, GDPR, personal data, protec-
tion of personal data.
39 https://www.bankier.pl/wiadomosc/RODO-zmiany-w-ochronie-danych-osobowych-
w-2018-roku-Najwazniejsze-informacje-7563322.html (dostęp: 16.12.2018 r.).
14
Rozdział I. Świadczenie usług finansowych, w szczególności bankowych...�Rozdział II. Charakter przepisów
o umowie ubezpieczenia w świetle
art. 807 KC, czyli sic transit imago mundi
Chapter II. Nature of the provisions on the
insurance contract in the light of article 807
of the Civil Code i.e. sic transit imago mundi
Dariusz Fuchs*
§ 1. Uwagi wstępne
Artykuł 807 § 1 KC stanowi, że „Postanowienia ogólnych warunków ubez-
pieczenia lub postanowienia umowy ubezpieczenia sprzeczne z przepisami ni-
* Dr hab. Dariusz Fuchs jest pracownikiem naukowym w Katedrze Prawa Cywilnego i Prawa
Prywatnego Międzynarodowego WPiA Uniwersytetu Kardynała Stefana Wyszyńskiego w War-
szawie. Jest także członkiem Project Group on a Restatement of European Insurance Contract
Law; PEICL (od 2006 r.) przygotowującym dla Komisji Europejskiej projekt prawa europej-
skiego o umowie ubezpieczenia, członkiem Komitetu Strategicznego Polskiego oddziału AIDA
(Światowe Stowarzyszenie Prawa Ubezpieczeniowego), a także członkiem Project Group on
a Project of Reinsurance Contract Law (od 2016 r.; PRICL). Radca prawny, właściciel kancelarii
w Katowicach. Pełni funkcję arbitra w sporach krajowych i międzynarodowych rozstrzyganych
w Sądach Arbitrażowych oraz Polubownych przy: Krajowej Izbie Gospodarczej, Urzędzie Rzecz-
nika Finansowego, Urzędzie Komisji Nadzoru Finansowego, Regionalnej Izbie Gospodarczej
w Katowicach. W powyższych sądach jest wpisany na listy stałych lub rekomendowanych sędziów
polubownych. Ze względu na tę aktywność jest także jednym z członków Stowarzyszenia Sędziów
Sądów Polubownych. Został wpisany na listę stałych mediatorów przy: Sądzie Okręgowym
w Warszawie, Sądzie Okręgowym w Katowicach i Sądzie Okręgowym w Gliwicach. Jest także
wpisany na listę stałych mediatorów przy Komisji Nadzoru Finansowego, Regionalnej Izbie
Gospodarczej w Katowicach, jak również Śląskiego Centrum Arbitrażu i Mediacji w Katowicach
(szczegóły: www.dariuszfuchs.pl).
15
�
Pobierz darmowy fragment (pdf)
