Do generalnego inspektora ochrony danych osobowych wpłynęła skarga Marka K. Chodziło o wykorzystywanie jego danych przez bank, choć cofnął on swoją zgodę na ich przetwarzanie, a firma Marka K. ogłosiła upadłość.
Prawo do przetwarzania
GIODO, zanim podjął decyzję, to ustalił, że Marek K. prowadził przez wiele lat firmę. W tym okresie zawarł z bankiem kilkanaście umów kredytowych. W 2011 r. została ogłoszona upadłość jego firmy obejmująca likwidację jego majątku. Sąd umorzył również w całości jego zobowiązania, które nie zostały zaspokojone w toku postępowania upadłościowego. Następnie Marek. K. wysłał do banku pismo, że po prawomocnym umorzeniu jego zobowiązań, wszelkie próby dochodzenia roszczeń uważa za nieuzasadnione. Oświadczył również, że wycofuje zgodę na udostępnienie danych po wygaśnięciu wszelkich zobowiązań oraz żąda usunięcia informacji na ten temat z wszystkich rejestrów.
W odpowiedzi bank poinformował Marka K., że nie wykreśli jego zobowiązań z rejestrów. Jedynie dokona ich aktualizacji zgodnie z aktualnym stanem faktycznym. Wierzytelności bowiem zostały umorzone, a nie spłacone. Bank wskazał, że podstawą prawną przetwarzania danych osobowych Marka K. są przepisy prawa bankowego. Działając na tej podstawie banki spełniają przesłanki legalności przetwarzania danych osobowych określone w art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych. Tym samym przesłanką dla przetwarzania danych osobowych klientów banku nie jest zgoda osoby, której dane dotyczą, lecz fakt, że jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa.
Bank poinformował również, że dane osobowe Marka K. przetwarza w zbiorze danych o nazwie baza klientów w następującym zakresie: imiona, nazwisko, nazwisko rodowe, imię ojca, imię matki, nazwisko panieńskie matki, płeć, data urodzenia, miejscowość urodzenia, kraj urodzenia, obywatelstwo, pesel, adres zamieszkania, typ dokumentu, numer dokumentu.
Ponadto bank wysłał Markowi K. pismo, że nie spłacił zobowiązań z pięciu umów kredytowych, dlatego bank nabył prawo (do czego nie musi mieć jego zgody) do przetwarzania informacji stanowiących tajemnicę bankową, dla celów oceny zdolności kredytowej i analizy ryzyka kredytowego po wygaśnięciu zobowiązania. Jako podstawę prawną wskazał art. 105a ust. 3 prawa bankowego.