Mbank RODO po terminie - skutki prawne w praktyce prawnej

W dobie cyfryzacji usług finansowych dane osobowe stały się jednym z najcenniejszych aktywów, a ich ochrona stanowi fundament zaufania między klientem a instytucją bankową. Jednym z kluczowych podmiotów na polskim rynku finansowym jest mBank SA, który jako administrator danych osobowych przetwarza informacje dotyczące milionów klientów. W codziennej praktyce prawnej coraz częściej pojawia się problematyka związana z realizacją przez ten bank uprawnień wynikających z Ogólnego Rozporządzenia o Ochronie Danych (RODO). Szczególnie istotnym zagadnieniem jest sytuacja, w której mBank przekracza ustawowe terminy na odpowiedź na wniosek klienta. Niedotrzymanie tych ram czasowych rodzi określone skutki prawne, zarówno o charakterze administracyjnym, jak i cywilnym. W niniejszym opracowaniu szczegółowo analizujemy mechanizmy prawne, obowiązki banku, uprawnienia konsumentów oraz ścieżki postępowania w przypadku bezczynności lub opóźnienia ze strony mBanku.

Terminy na realizację żądań RODO przez banki

Zgodnie z art. 12 ust. 3 RODO, administrator danych osobowych – w tym przypadku mBank – ma obowiązek udzielić osobie, której dane dotyczą, informacji o działaniach podjętych w związku z jej wnioskiem. Podstawowy termin na realizację tego obowiązku wynosi miesiąc od dnia otrzymania żądania. Termin ten ma charakter bezwzględny, co oznacza, że bank nie może go jednostronnie przedłużać bez zaistnienia szczególnych, określonych prawem przesłanek. Miesięczny termin dotyczy wszelkich praw przysługujących na mocy RODO, w tym prawa dostępu do danych (art. 15), sprostowania danych (art. 16), usunięcia danych, czyli prawa do bycia zapomnianym (art. 17), ograniczenia przetwarzania (art. 18), przenoszenia danych (art. 20) oraz sprzeciwu (art. 21).

W praktyce bankowej, z uwagi na skomplikowany charakter spraw lub dużą liczbę wniosków, RODO przewiduje możliwość przedłużenia tego terminu o kolejne dwa miesiące. Jednakże, aby takie przedłużenie było zgodne z prawem, mBank musi spełnić rygorystyczne warunki formalne. Przede wszystkim bank jest zobowiązany poinformować osobę, której dane dotyczą, o każdym takim przedłużeniu terminu w ciągu miesiąca od otrzymania żądania. W komunikacie tym bank musi precyzyjnie podać przyczyny opóźnienia. Brak takiego powiadomienia lub podanie ogólnikowych, nieuzasadnionych przyczyn stanowi bezpośrednie naruszenie przepisów RODO i jest traktowane na równi z bezczynnością organu lub administratora.

Dodatkowo należy podkreślić, że sformułowanie „bez zbędnej zwłoki” użyte w art. 12 ust. 3 RODO oznacza, że miesięczny termin jest terminem maksymalnym, a nie standardowym. Jeśli sprawa jest prosta i nie wymaga skomplikowanych analiz, bank powinien udzielić odpowiedzi niezwłocznie, na przykład w ciągu kilku dni. Przetrzymywanie wniosku przez pełny miesiąc bez obiektywnej przyczyny, mimo możliwości szybszego udzielenia odpowiedzi, również może być interpretowane jako działanie sprzeczne z zasadą rzetelności przetwarzania danych.

Opóźnienie mBanku w świetle przepisów – kiedy dochodzi do naruszenia?

Do naruszenia przepisów dochodzi w momencie, gdy upływa trzydziesty dzień (lub odpowiednio ostatni dzień miesiąca, zgodnie z zasadami obliczania terminów) od dnia wpływu wniosku do mBanku, a klient nie otrzymał merytorycznej odpowiedzi ani informacji o uzasadnionym przedłużeniu terminu. Warto zauważyć, że mBank jako instytucja zaufania publicznego podlega szczególnym rygorom w zakresie transparentności. Często w praktyce prawnej spotyka się sytuacje, w których bank wysyła automatyczne, generowane systemowo odpowiedzi informujące o „analizie wniosku” bez wskazania konkretnych przyczyn opóźnienia. Tego rodzaju praktyka nie spełnia wymogów art. 12 ust. 3 RODO.

Kolejnym aspektem jest kwestia kanału komunikacji. Jeśli klient złożył wniosek drogą elektroniczną (np. przez system bankowości internetowej mLine lub za pośrednictwem poczty e-mail), bank ma obowiązek udzielić odpowiedzi również drogą elektroniczną, chyba że klient zażądał innej formy. Opóźnienie w przekazaniu odpowiedzi właściwym kanałem, nawet jeśli decyzja merytoryczna została podjęta w terminie, również może być kwalifikowane jako uchybienie terminowe. W praktyce prawnej kluczowe jest dokładne ustalenie daty doręczenia wniosku do banku, co w przypadku systemów transakcyjnych jest ułatwione dzięki logom systemowym i potwierdzeniom wysłania wiadomości.

Skutki prawne niedotrzymania terminu przez mBank

Przekroczenie terminu przez mBank niesie za sobą wielopoziomowe konsekwencje prawne. Naruszenie to otwiera dwie równoległe ścieżki odpowiedzialności.

Odpowiedzialność administracyjna i kary UODO

Pierwszym i najbardziej bezpośrednim skutkiem jest możliwość wszczęcia postępowania skargowego przed Prezesem Urzędu Ochrony Danych Osobowych (UODO). Organ ten, po przeprowadzeniu postępowania wyjaśniającego, może nałożyć na bank administracyjną karę pieniężną. Zgodnie z RODO, kary za naruszenie praw osób, których dane dotyczą, mogą wynosić do 20 000 000 EUR lub do 4% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego. Choć w polskich realiach kary nakładane na banki rzadko osiągają maksymalny pułap, to jednak każda sankcja finansowa oraz związany z nią uszczerbek wizerunkowy stanowią dla mBanku dotkliwy problem.

Odpowiedzialność cywilna i odszkodowania

Drugim istotnym skutkiem jest odpowiedzialność cywilna banku na podstawie art. 82 RODO. Przepis ten stanowi, że każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora odszkodowanie za poniesioną szkodę. W kontekście sektora bankowego opóźnienie w realizacji wniosku RODO może prowadzić do konkretnych szkód. Na przykład, brak terminowego dostępu do historii kredytowej lub danych o spłacie zobowiązania może uniemożliwić klientowi zaciągnięcie kredytu w innym banku, co generuje wymierną szkodę finansową. Z kolei zwłoka w usunięciu danych po wygaśnięciu umowy może wywołać u klienta poczucie zagrożenia prywatności, co kwalifikuje się jako szkoda niemajątkowa (krzywda), uzasadniająca żądanie zadośćuczynienia.

Warto również wskazać na ewolucję orzecznictwa Trybunału Sprawiedliwości Unii Europejskiej (TSUE) w zakresie szkód niemajątkowych. TSUE w swoich ostatnich wyrokach jednoznacznie potwierdza, że utrata kontroli nad własnymi danymi osobowymi, nawet przez krótki czas, może stanowić autonomiczną szkodę niemajątkową. Oznacza to, że klient mBanku nie musi wykazywać głębokiej traumy psychicznej, a jedynie sam fakt, że na skutek opóźnienia banku utracił kontrolę nad swoimi danymi, co wywołało u niego uzasadniony niepokój lub dyskomfort. Taka linia orzecznicza znacząco ułatwia konsumentom dochodzenie roszczeń przed sądami powszechnymi.

Rola Urzędu Ochrony Danych Osobowych (UODO) jako organu nadzorczego

Prezes Urzędu Ochrony Danych Osobowych pełni funkcję publicznego organu kontrolnego, którego zadaniem jest monitorowanie i egzekwowanie stosowania przepisów RODO. W przypadku bezczynności mBanku, wniesienie skargi do UODO uruchamia oficjalną procedurę administracyjną. Urząd bada, czy bank dopełnił ciążących na nim obowiązków informacyjnych oraz czy zachował przewidziane prawem terminy. W toku postępowania UODO może zażądać od mBanku przedstawienia wyjaśnień, dowodów doręczenia korespondencji oraz wykazania procedur wewnętrznych dotyczących obsługi wniosków RODO.

Jeżeli organ nadzorczy stwierdzi naruszenie, wydaje decyzję administracyjną, w której może nakazać mBankowi spełnienie żądania klienta w określonym terminie. Decyzja ta ma charakter wiążący i podlega egzekucji. Ponadto, Prezes UODO może zastosować inne środki naprawcze, takie jak ostrzeżenie, upomnienie czy wspomniana wcześniej administracyjna kara finansowa. Dla klienta banku decyzja UODO stwierdzająca naruszenie prawa przez mBank stanowi kluczowy dowód w ewentualnym późniejszym procesie cywilnym o odszkodowanie lub zadośćuczynienie.

Procedura postępowania krok po kroku dla klienta banku

W przypadku gdy mBank nie odpowiada na wniosek RODO w ustawowym terminie, klient powinien podjąć usystematyzowane działania w celu ochrony swoich praw. Poniżej przedstawiamy rekomendowaną procedurę postępowania:

  1. Weryfikacja dat i dowodów: Pierwszym krokiem jest dokładne ustalenie daty, w której wniosek został doręczony do mBanku. Należy zabezpieczyć potwierdzenie nadania listu poleconego, zrzut ekranu z bankowości internetowej z widoczną datą wysłania wiadomości lub potwierdzenie odbioru osobistego w placówce.
  2. Wezwanie do usunięcia uchybień: Przed skierowaniem sprawy do organów zewnętrznych warto wysłać do mBanku oficjalne przedsądowe wezwanie do realizacji wniosku RODO, wyznaczając ostateczny, krótki termin (np. 3 lub 5 dni roboczych) pod rygorem skierowania sprawy do UODO oraz na drogę sądową.
  3. Złożenie skargi do Prezesa UODO: Jeśli wezwanie pozostanie bez odpowiedzi, należy sporządzić i wnieść skargę do UODO. Skarga powinna zawierać dane skarżącego, dane mBanku jako administratora, precyzyjny opis naruszenia (przekroczenie terminu) oraz załączniki w postaci kopii wniosku i dowodu jego doręczenia.
  4. Wytoczenie powództwa cywilnego: W sytuacjach, gdy bezczynność banku doprowadziła do powstania szkody materialnej lub moralnej, klient może, niezależnie od postępowania przed UODO, wnieść pozew do sądu powszechnego o odszkodowanie lub zadośćuczynienie na podstawie art. 82 RODO w związku z przepisami Kodeksu cywilnego.

Najczęstsze błędy popełniane przez banki i konsumentów

Analiza praktyki prawnej pozwala na zidentyfikowanie powtarzających się błędów po obu stronach relacji bank-klient.

Uchybienia po stronie instytucji bankowej

Po stronie mBanku najczęstszym uchybieniem jest stosowanie szablonowych odpowiedzi, które nie zawierają merytorycznego odniesienia do konkretnej sytuacji prawnej klienta. Banki często tłumaczą opóźnienia „skomplikowanym charakterem sprawy” bez rzeczywistego wykazania, na czym ta skomplikowaność polega. Ponadto zdarza się, że banki błędnie interpretują moment rozpoczęcia biegu terminu, licząc go od daty przekazania wniosku do odpowiedniego działu wewnętrznego, zamiast od dnia jego wpływu do instytucji.

Błędy i przeoczenia ze strony konsumentów

Z kolei konsumenci najczęściej popełniają błędy polegające na braku precyzji w formułowaniu żądań. Wniosek RODO powinien jasno określać, jakich danych dotyczy i jakie prawo klient chce zrealizować. Kolejnym błędem jest brak archiwizowania dowodów nadania korespondencji. Bez jednoznacznego dowodu, że mBank otrzymał wniosek w konkretnym dniu, wykazanie uchybienia terminowego przed UODO lub sądem staje się niezwykle trudne, a czasem wręcz niemożliwe. Klienci często również mylą uprawnienia z RODO z uprawnieniami wynikającymi z Prawa bankowego, co prowadzi do błędnego formułowania podstaw prawnych wniosków.

Częstym punktem spornym jest również proces weryfikacji tożsamości klienta. mBank, dbając o bezpieczeństwo, ma prawo żądać dodatkowych informacji w celu potwierdzenia tożsamości wnioskodawcy, jeśli ma uzasadnione wątpliwości. Jednakże, nadużywanie tego uprawnienia i celowe wydłużanie procedury poprzez żądanie nadmiarowych dokumentów (np. skanu dowodu osobistego w sytuacjach, gdy tożsamość można potwierdzić w inny sposób) jest uznawane za praktykę opóźniającą i naruszającą zasady RODO. Konsumenci z kolei często nie reagują na uzasadnione prośby banku o uwierzytelnienie, co formalnie wstrzymuje bieg terminu na odpowiedź.

Praktyczny przykład (Case Study)

Aby lepiej zobrazować opisywany problem, warto posłużyć się praktycznym przykładem. Pan Jan, były klient mBanku, złożył za pośrednictwem bankowości elektronicznej wniosek o usunięcie jego danych osobowych (prawo do bycia zapomnianym) po całkowitym rozliczeniu i zamknięciu rachunku osobistego. Wniosek wpłynął do banku 10 marca. Zgodnie z przepisami, mBank miał czas na realizację żądania lub poinformowanie o przedłużeniu terminu do 10 kwietnia.

Bank nie podjął żadnych działań i nie skontaktował się z Panem Janem w tym okresie. Dopiero 25 kwietnia Pan Jan otrzymał lakoniczną wiadomość e-mail, że sprawa jest w toku. W tej sytuacji doszło do ewidentnego naruszenia art. 12 ust. 3 RODO. Pan Jan, reprezentowany przez profesjonalnego pełnomocnika, skierował skargę do Prezesa UODO. To toku postępowania mBank tłumaczył się reorganizacją systemów IT, co jednak nie zostało uznane przez organ nadzorczy za okoliczność usprawiedliwiającą. UODO wydał decyzję nakazującą niezwłoczne usunięcie danych oraz nałożył na bank upomnienie. Decyzja ta posłużyła Panu Janowi jako podstawa do ugodowego wynegocjowania z bankiem rekompensaty za bezprawne przetwarzanie jego danych po rozwiązaniu umowy.

Podsumowanie i wnioski dla praktyki prawnej

Niedotrzymanie przez mBank terminów przewidzianych w RODO na realizację praw osób, których dane dotyczą, stanowi poważne naruszenie dyscypliny ochrony danych osobowych. W praktyce prawnej kluczowe znaczenie ma szybka i zdecydowana reakcja na bezczynność banku. Konsumenci nie są bezbronni – dysponują skutecznymi narzędziami w postaci skargi do Prezesa UODO oraz powództwa cywilnego. Dla mBanku każde takie opóźnienie generuje nie tylko ryzyko wysokich kar finansowych, ale przede wszystkim uderza w jego reputację jako instytucji bezpiecznej i dbającej o prywatność swoich klientów. Prawidłowe dokumentowanie każdego etapu komunikacji z bankiem jest kluczem do skutecznego dochodzenia roszczeń i wyegzekwowania należnych praw.