Ochrona Danych

RODO w sektorze bankowym i finansowym 2026

RODO w bankach i firmach finansowych: scoring, AML, decyzje automatyczne, KNF + UODO. Praktyczny przewodnik dla sektora 2026.

W jednym zdaniu. Sektor bankowy w Polsce podlega podwójnemu nadzorowi UODO i KNF, a najwyższe kary dotyczyły nieuprawnionego ujawnienia danych klientów (Santander 545 tys. zł) oraz scoringu bez prawidłowej podstawy prawnej (ID Finance Poland 1,07 mln zł).

Najważniejsze punkty

  • Podwójna regulacja: RODO + Prawo bankowe + ustawa o AML + Rekomendacja D KNF.
  • Scoring kredytowy: art. 22 RODO (decyzje automatyczne) + art. 70a Prawa bankowego.
  • AML: art. 6 ust. 1 lit. c + ustawa z 1 marca 2018 r. (5 lat retencji).
  • BIK i biura informacji gospodarczej: szczególne reguły dostępu.
  • IOD obowiązkowy dla wszystkich banków i SKOK.
  • KNF wydał Rekomendację D dotyczącą zarządzania obszarami IT i bezpieczeństwa.

1. Reżim regulacyjny sektora bankowego

Bank działa w środowisku: RODO + Prawo bankowe (z 29 sierpnia 1997 r.) + ustawa o AML (z 1 marca 2018 r.) + Rekomendacja D KNF + rekomendacje EBA + DORA (rozporządzenie 2022/2554 obowiązuje od 17 stycznia 2025 r.). UODO i KNF koordynują nadzór poprzez porozumienie międzyinstytucjonalne. Zbliżone wyzwania — dane szczególne, profilowanie, DORA — dotyczą również zakładów ubezpieczeń, które omawiam w tekście o RODO w ubezpieczeniach.

2. Tajemnica bankowa vs RODO

Art. 104 Prawa bankowego ustanawia tajemnicę bankową, która chroni informacje o klientach. RODO i tajemnica bankowa są komplementarne — informacje objęte tajemnicą podlegają również RODO. W razie konfliktu zastosowanie ma przepis bardziej restrykcyjny. Klauzule informacyjne banku muszą obejmować obie podstawy.

3. Scoring kredytowy i art. 22 RODO

Art. 22 RODO zakazuje decyzji wyłącznie zautomatyzowanych wywołujących skutki prawne lub istotnie wpływających, chyba że: niezbędna do umowy, oparta na zgodzie, dopuszczona prawem. Polskie banki opierają scoring na art. 70a Prawa bankowego (dopuszczalność scoring) + art. 22 ust. 2 lit. b RODO (przepis prawa). Klient ma prawo: do informacji o logice, do interwencji człowieka, do zakwestionowania.

4. BIK i biura informacji gospodarczej

Biuro Informacji Kredytowej (BIK) i biura informacji gospodarczej (ERIF, KRD, BIG InfoMonitor) są administratorami, gdy gromadzą dane w celach informacyjnych. Wymiana danych z bankami odbywa się na podstawie ustawy o udostępnianiu informacji gospodarczych (z 9 kwietnia 2010 r.). Klient ma prawo do bezpłatnego wglądu raz na 6 miesięcy w każdym biurze.

5. AML i KYC

Ustawa o AML (z 1 marca 2018 r.) wymaga: identyfikacji klienta, weryfikacji beneficjenta rzeczywistego, monitorowania transakcji, zgłaszania transakcji podejrzanych do GIIF. Podstawa RODO: art. 6 ust. 1 lit. c (obowiązek prawny) + art. 9 ust. 2 lit. g (interes publiczny) dla danych szczególnych. Retencja: 5 lat od końca roku transakcji, z możliwością przedłużenia do 10 lat.

6. Kary UODO w sektorze finansowym

Podmiot Rok Kwota (PLN) Powód
ID Finance Poland 2020 1 069 850 wyciek + niezgłoszenie
Santander Bank Polska 2022 545 748 dostęp byłego pracownika
Bank Millennium 2021 363 832 naruszenie + brak zgłoszenia
TUW PZUW 2023 110 tys. dane medyczne ubezpieczonych
ENERGA Obrót 2023 105 tys. dostęp do danych odbiorców

Zasady wymiaru sankcji opisujemy w przewodniku po karach administracyjnych RODO.

7. Sprawa ID Finance Poland

Decyzja DKN.5112.36.2020 — kara 1 069 850 zł. Mechanizm: dostęp do bazy klientów przez błąd konfiguracji bazy danych ElasticSearch, ekspozycja ponad 5 mln rekordów. UODO zarzucił: brak adekwatnych środków bezpieczeństwa (art. 32), niezgłoszenie naruszenia w terminie (art. 33), brak weryfikacji środków po wcześniejszych incydentach. Wyrok WSA utrzymał decyzję.

8. Rekomendacja D KNF

Rekomendacja D dotyczy zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach. Zakres: governance IT, zarządzanie ciągłością, bezpieczeństwo systemów, outsourcing, rozwój oprogramowania, zarządzanie incydentami. KNF weryfikuje zgodność co 2-3 lata. Naruszenia → sankcje administracyjne KNF.

9. DORA — Digital Operational Resilience Act

Rozporządzenie 2022/2554 obowiązuje od 17 stycznia 2025 r. dla wszystkich podmiotów finansowych w UE. Wymogi: zarządzanie ryzykiem ICT, zgłaszanie incydentów (klasyfikacja przez ENISA), testy odporności (TLPT — Threat-Led Penetration Testing), zarządzanie ryzykiem dostawców ICT. DORA komplementarne do RODO, ale szersze (cyberbezpieczeństwo). Polski kontekst nadzorczy DORA opisuję w tekście DORA w Polsce, a wybór narzędzi — w zestawieniu oprogramowania do zgodności z DORA.

10. Marketing bankowy i cross-selling

Marketing oparty na profilowaniu klientów wymaga: zgody (jeśli nowy produkt) lub interesu uzasadnionego (jeśli podobny produkt). Decyzja UODO dotycząca jednego z dużych banków sankcjonowała “automatyczne” włączanie marketingu przy podpisaniu umowy. Standard: osobny checkbox, granularność (e-mail / SMS / telefon), łatwe wycofanie.

11. Open Banking i PSD2

Dyrektywa PSD2 (2015/2366) implementowana ustawą o usługach płatniczych. Umożliwia dostawcom AISP/PISP dostęp do danych konta za zgodą klienta. Bank-administrator pozostaje, dostawca staje się procesorem (jeśli realizuje usługę w imieniu banku) lub administratorem (jeśli świadczy własną usługę). Zgoda PSD2 i RODO — komplementarne ale osobne.

12. Plan zgodności RODO dla banku

  • RCP z podziałem na linie biznesowe (retail, corporate, treasury).
  • IOD z doświadczeniem bankowym, sub-IODowie w liniach.
  • DPIA dla scoringu, AML monitoring, fraud detection, AI.
  • Procedury KYC/AML zintegrowane z klauzulą informacyjną.
  • TOMs zgodne z Rekomendacją D + DORA.
  • Procedura naruszeń 72h + zgłoszenie KNF (DORA).
  • Audyt zewnętrzny min. raz na 2 lata.
  • Szkolenia personelu obligatoryjne (RODO + AML). Zobacz GDPR banking.

13. Sprawy enforcement w sektorze bankowym 2020-2025

Sprawa ID Finance Poland (DKN.5112.36.2020, 1,07 mln zł) — wyciek 5 mln rekordów z ElasticSearch, brak zabezpieczeń + opóźnienie zgłoszenia. Santander Bank Polska (DKN.5131.18.2021, 545 748 zł) — były pracownik z aktywnym dostępem do systemu po zakończeniu współpracy, brak procedury offboardingu. Bank Millennium (DKN.5131… 2021, 363 832 zł) — wyciek list klientów u podwykonawcy, brak umowy powierzenia z TOMs. Toyota Bank Polska (760 tys. zł, 2024) — naruszenie bezpieczeństwa systemu bankowości elektronicznej, wymóg pełnego audytu zewnętrznego. TUW PZUW (110 tys. zł, 2023) — nieprawidłowe przetwarzanie danych medycznych ubezpieczonych. ENERGA Obrót (105 tys. zł, 2023) — dostęp pracowników do danych odbiorców bez podstawy. Trend 2025: wzmożone kontrole UODO + KNF w zakresie scoringu AI, automatycznych decyzji kredytowych, wykorzystania danych biometrycznych (voice banking). Patrz wyrok TSUE C-634/21 SCHUFA jako kluczowy precedens dla polskiego scoringu. Patrz Kary UODO 2025.

14. Egzekucja UODO + KNF i przecięcie regulacji

UODO i KNF współpracują na podstawie porozumienia z 2019 r. UODO nadzoruje aspekty ochrony danych (art. 6, 7, 22, 32, 33), KNF — stabilność systemu finansowego i Rekomendację D oraz DORA. Naruszenia mogą skutkować podwójną sankcją (kara UODO + kara KNF) za różne aspekty tego samego zdarzenia. Tajemnica bankowa (art. 104 Prawa bankowego) wzmacnia ochronę — jej naruszenie może skutkować odpowiedzialnością karną pracowników (art. 171 Prawa bankowego, do 3 lat pozbawienia wolności). DORA dodaje warstwę: zgłaszanie incydentów ICT do KNF w terminie 24h (wczesne), 72h (pełne), 1 miesiąc (końcowy raport) — niezależnie od RODO art. 33. Każdy bank musi mieć trzy procedury notyfikacji: UODO (RODO 72h), KNF (DORA), CSIRT (jeśli NIS2 ma zastosowanie). Patrz Zgłoszenie naruszenia, RODO Art. 32 bezpieczeństwo, umowa powierzenia wzór.

FAQ

Czy bank może odmówić kredytu na podstawie wyłącznie scoringu?

Może, jeśli spełnia przesłanki art. 22 RODO. Klient ma prawo do informacji o logice, interwencji człowieka i zakwestionowania decyzji. Bank musi zapewnić procedurę odwoławczą.

Jak długo bank może przechowywać moje dane po zamknięciu rachunku?

Standardowo 5 lat od zakończenia stosunku umownego (AML, podatki) + 10 lat (przedawnienie roszczeń). Dane marketingowe — do wycofania zgody.

Czy mam prawo do bezpłatnego raportu BIK?

Tak. Raz na 6 miesięcy bezpłatny raport informacyjny. Dodatkowy raport — odpłatny. Prawo dostępu z art. 15 RODO również ma zastosowanie do BIK.

Czy bank może informować małżonka o moich kontach?

Tylko jeśli wyraziłeś zgodę lub istnieje upoważnienie. Tajemnica bankowa (art. 104) i RODO chronią dane indywidualne. Wspólne konto — oboje współwłaściciele mają dostęp.

Co zrobić w przypadku wycieku danych z banku?

Sprawdzić zgłoszenie naruszenia (bank powinien informować). Złożyć skargę do UODO. Rozważyć zmianę haseł, monitoring BIK, zastrzeżenie dokumentów. W razie szkody — roszczenie cywilne (art. 82 RODO).

Jakie są skutki wyroku SCHUFA dla polskich banków?

Wyrok TSUE C-634/21 z 7.12.2023 (SCHUFA) ma fundamentalne znaczenie. TSUE uznał, że scoring kredytowy oparty wyłącznie na zautomatyzowanej decyzji podlega art. 22 RODO nawet jeśli formalnie ostateczną decyzję podejmuje pracownik banku — jeśli pracownik tylko opiera się na wyniku scoringu bez dodatkowej oceny. Konsekwencje dla polskich banków: wymóg dokumentowania rzeczywistej interwencji człowieka, prawo klienta do informacji o logice algorytmu (nie tylko ogólnikowej), prawo do zakwestionowania scoringu, wymóg DPIA dla każdego modelu scoring. UODO w 2024 r. zapowiedział sektorową kontrolę scoringu w bankach detalicznych.

Czy banki mogą wykorzystywać dane klientów do trenowania AI?

Tylko na ograniczonej podstawie. Wykorzystanie danych klientów do trenowania modeli (np. fraud detection, credit scoring, churn prediction) wymaga: jasnej podstawy (interes uzasadniony z LIA + DPIA), pseudonimizacji, możliwości sprzeciwu (art. 21), zachowania zasady minimalizacji, kontroli przed wyciekiem przez model inversion. Wykorzystanie do trenowania modeli komercyjnych third party (np. udostępnienie zbioru BigTech) — wymaga zgody klienta. AI Act dodaje wymóg FRIA dla systemów wysokiego ryzyka. Naruszenie zagrożone jest podwójną sankcją UODO + KNF.

Jak bank powinien obsłużyć wniosek o usunięcie danych po spłacie kredytu?

Częściowo można usunąć (dane marketingowe, dane do bonus programów), ale większość danych podlega obowiązkowej retencji: AML (5-10 lat), dane podatkowe (5 lat), dane do BIK/BIG (5 lat od spłaty), dane do roszczeń (10 lat). Odpowiedź na wniosek musi szczegółowo wskazać: które dane usunięto, które zachowano i na jakiej podstawie, kiedy zostaną usunięte. Brak odpowiedzi lub odmowa bez uzasadnienia = naruszenie art. 17 + art. 12. UODO sankcjonował kilka banków w 2024-2025 za niekompletne odpowiedzi na wnioski o usunięcie.

Podstawa prawna i źródła

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →