iSecure logo
Blog

Prawo dostępu do danych w praktyce: 100 000 EUR kary dla banku jako konsekwencja naruszenia art. 12 i 15 RODO

Prawo dostępu do danych osobowych to jedno z najważniejszych uprawnień przewidzianych w RODO. Jego znaczenie potwierdza niedawna decyzja włoskiego organu nadzorczego – Garante per la protezione dei dati personali – który nałożył na bank administracyjną karę pieniężną w wysokości 100 000 EUR za nieterminowe udostępnienie nagrań rozmów telefonicznych klientowi[1].

Sprawa ta jest doskonałą ilustracją tego, jak w praktyce stosowane są Wytyczne 01/2022 dotyczące prawa dostępu, opracowane przez Europejską Radę Ochrony Danych (EROD)[2].

Stan faktyczny: klient żąda nagrań rozmów

Klient banku padł ofiarą oszustwa finansowego. Aby zakwestionować przelew na ok. 10 000 EUR i odtworzyć przebieg zdarzeń, zwrócił się do banku o udostępnienie:

  • nagrań rozmów telefonicznych z obsługą klienta,
  • danych związanych z realizacją transakcji.

Bank nie przekazał żądanych informacji w ustawowym terminie. Dopiero po wniesieniu skargi do organu nadzorczego i wszczęciu postępowania nagrania zostały udostępnione — jednak 30-dniowy termin wynikający z RODO już upłynął.

To opóźnienie stało się podstawą do stwierdzenia naruszenia.

Dlaczego nagrania rozmów podlegają prawu dostępu?

Kluczowe znaczenie w tej sprawie mają Wytyczne 01/2022 dotyczące prawa dostępu, wydane przez Europejską Radę Ochrony Danych.

Zgodnie z nimi:

  • pojęcie „danych osobowych” należy interpretować szeroko,
  • nagranie rozmowy telefonicznej może stanowić dane osobowe, jeśli umożliwia identyfikację osoby (np. poprzez głos, treść rozmowy, dane transakcyjne),
  • osoba ma prawo otrzymać kopię swoich danych, a nie jedynie ich opis czy streszczenie.

Oznacza to, że administrator nie może ograniczyć się do przekazania notatki służbowej zamiast samego nagrania. Jeżeli rozmowa zawiera dane osobowe klienta – stanowi ona przedmiot prawa dostępu.

Decyzja włoskiego organu potwierdza praktyczne zastosowanie tej wykładni.

 Prawo dostępu według EROD – standard, który muszą spełniać administratorzy

Wytyczne EROD precyzują, że realizacja prawa dostępu obejmuje dwa elementy:

  1. Kopię danych osobowych

Osoba ma prawo uzyskać rzeczywistą kopię swoich danych – w analizowanej sprawie były to nagrania rozmów telefonicznych.

  1. Informacje towarzyszące

Administrator musi również przekazać informacje m.in. o:

  • celach przetwarzania,
  • kategoriach danych,
  • odbiorcach danych,
  • okresie przechowywania,
  • prawie wniesienia skargi do organu nadzorczego.

Prawo dostępu ma umożliwić osobie ocenę zgodności przetwarzania z prawem oraz podjęcie dalszych działań (np. sprostowanie, usunięcie danych, dochodzenie roszczeń).

Terminowość jako element zgodności z RODO

Jednym z najważniejszych elementów podkreślanych w wytycznych EROD jest terminowość.

Administrator musi:

  • odpowiedzieć bez zbędnej zwłoki,
  • nie później niż w ciągu jednego miesiąca od otrzymania żądania.

Termin ten może zostać przedłużony o kolejne dwa miesiące ze względu na skomplikowany charakter żądania, jednak administrator ma obowiązek poinformować osobę o przedłużeniu w ciągu pierwszego miesiąca.

W analizowanej sprawie bank nie dotrzymał miesięcznego terminu i nie wykazał przesłanek uzasadniających jego przedłużenie. Fakt późniejszego udostępnienia nagrań – już w toku postępowania administracyjnego – nie wyeliminował uprzedniego naruszenia.

Wytyczne EROD podkreślają bowiem, że terminowość jest integralnym elementem realizacji prawa dostępu, a jego przekroczenie może samo w sobie stanowić naruszenie RODO.

Właśnie taka sytuacja miała miejsce w sprawie włoskiego banku. Udostępnienie nagrań dopiero po interwencji organu nie usunęło naruszenia polegającego na opóźnieniu.

Ochrona praw osób trzecich – ale bez automatycznej odmowy

Wytyczne EROD wskazują również, że prawo dostępu nie ma charakteru absolutnego. Administrator powinien uwzględniać prawa i wolności innych osób – np. pracowników uczestniczących w rozmowie.

Nie oznacza to jednak możliwości całkowitej odmowy udostępnienia danych. Zgodnie z zasadą proporcjonalności administrator powinien rozważyć:

  • anonimizację części nagrania,
  • ograniczenie zakresu udostępnianych informacji,
  • zastosowanie środków technicznych chroniących dane osób trzecich.

Decyzja włoskiego organu pokazuje, że brak właściwej organizacji procesu realizacji żądań nie może być usprawiedliwieniem dla opóźnienia.

Dlaczego kara wyniosła 100 000 EUR?

Nakładając karę administracyjną, włoski organ nadzorczy uwzględnił:

  • skalę działalności i obrót banku,
  • współpracę w trakcie postępowania,
  • brak wcześniejszych naruszeń.

Choć kara nie była maksymalna, ma istotne znaczenie prewencyjne. Pokazuje, że organy nadzorcze traktują prawo dostępu jako realne, egzekwowalne uprawnienie – a nie formalność.

Wnioski dla administratorów danych

Połączenie tej decyzji z wytycznymi EROD prowadzi do kilku praktycznych wniosków:

  • nagrania rozmów telefonicznych to dane osobowe,
  • prawo dostępu obejmuje rzeczywistą kopię danych,
  • odpowiedź musi być udzielona w terminie,
  • procedury wewnętrzne muszą umożliwiać szybkie wyszukiwanie danych,
  • spóźniona realizacja żądania może skutkować karą finansową.

Prawo dostępu jest jednym z filarów systemu ochrony danych. Decyzja włoskiego organu pokazuje, że postanowienia RODO, a także wytyczne EROD nie są wyłącznie dokumentem interpretacyjnym – stanowią praktyczny standard, którego niespełnienie może prowadzić do sankcji.

[1] https://www.edpb.europa.eu/news/national-news/2025/right-access-data-protection-authority-fines-bank-100-000-eur-customers-can_en

[2] https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-012022-data-subject-rights-right-access_en

Podobne wpisy:

Czy aplikacja chatbot wymaga od administratora podpisania umowy powierzenia przetwarzania danych osobowych?

Aplikacja chatbot staje się nieodłączonym elementem nowoczesnej strony internetowej. Właściciele witryn internetowych chcą być wobec swoich klientów jak najbardziej transparentni i pragną umożliwić nieograniczone możliwości kontaktu. Dlatego też na zainstalowanie chatbota decydują się przede wszystkim sklepy internetowe, przewoźnicy transportujący przesyłki czy hotele. Jakie konsekwencje wobec administratorów wiążą się z wdrożeniem rozwiązania chatbota na stronie internetowej […]

Obowiązki informacyjne przedsiębiorcy zawierającego umowy na odległość drogą elektroniczną…

Kiedy procesor staje się administratorem?

Czy w toku obowiązywania umowy powierzenia przetwarzania danych osobowych procesor może jednocześnie pełnić rolę administratora? Czy po rozwiązaniu umowy powierzenia procesor może stać się administratorem danych osobowych, które wcześniej przetwarzał wyłącznie w imieniu innego podmiotu? Odpowiedzi na te pytania mają istotne znaczenie dla określenia obowiązków i potencjalnej odpowiedzialności podmiotów biorących udział w procesie przetwarzania danych osobowych. […]

Dane osobowe w kopiach zapasowych

Dane osobowe w kopiach zapasowych

Po wejściu w życie RODO, administratorzy danych nie mają łatwego zadania – praktyczne wdrożenie przepisów unijnej regulacji jest bowiem czasochłonne i dotyka wielu sfer funkcjonowania firmy, w tym także w obszarze IT. Za przykład niech posłuży pionierska aplikacja na telefon za pomocą której można umawiać się na wizytę do usługodawców, takich jak zakłady fryzjerskie, czy […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera z materiałami edukacyjnymi, a także o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki