Naczelny Sąd Administracyjny oddalił skargę kasacyjną Banku Millennium i tym samym potwierdził stanowisko Prezesa UODO. Bank zapłaci ponad 350 tysięcy złotych kary za niezgłoszenie naruszenia ochrony danych osobowych oraz niezawiadomienie o tym naruszeniu osób, których dane dotyczą

Włoski Urząd Ochrony Danych Osobowych (Garante) nałożył na bank karę administracyjną wysokości 100 000 euro za naruszenie przepisów RODO. Chodzi o niedopełnienie obowiązków wynikających z prawa dostępu do danych osobowych. Bank nie udostępnił klientowi nagrań rozmów telefonicznych, które mogły mieć duże znaczenie w sprawie oszustwa na kwotę około 10 000 euro.

Fiński organ nadzorczy nałożył wysoką karę na Aktia Bank za wyciek danych osobowych. W wyniku błędów technicznych związanych z usługą uwierzytelniania elektronicznego dane około 350 klientów zostały udostępnione nieuprawnionym osobom podczas logowania do usług publicznych i prywatnych.

Naczelny Sąd Administracyjny potwierdził stanowisko Prezesa UODO w dwóch analogicznych sprawach. Dane osób, które złożyły wniosek kredytowy, ale nie zawarły umowy, nie mogą być dalej przetwarzane przez banki i BIK.

Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę Toyota Bank Polska S.A. na decyzję Prezesa UODO. Chodzi o zapłatę dwóch kar pieniężnych za zaniedbania z zakresu ochrony danych osobowych. Ich suma wynosi aż 576 220 złotych.

Prezes UODO Mirosław Wróblewski nałożył na ING Bank Śląski rekordową karę za naruszenie RODO – ponad 18,4 milionów złotych. Bank bezpodstawnie skanował dowody osobiste klientów i potencjalnych klientów, także w sytuacjach niezwiązanych z obowiązkami wynikającymi z przepisów Ustawy o przeciwdziałania praniu pieniędzy.

Naczelny Sąd Administracyjny uchylił wyrok WSA w Warszawie i oddalił skargę Biura Informacji Kredytowej na decyzję Prezesa UODO. W wyroku z 29 maja 2025r. NSA potwierdził, że jeśli do zawarcia umowy kredytowej nie doszło, trzeba zaprzestać przetwarzania danych osobowych wnioskodawcy uzyskanych przez bank i BIKna etapie rozpatrywania wniosku kredytowego

To koniec sporów o interpretację 105a ust. 3 Prawa bankowego. NSA rozstrzygnął wątpliwości co do tego, kiedy bank może przetwarzać dane byłego klienta, stanowiące przy tym tajemnicę bankową. NSA godził się ze stanowiskiem PUODO, co oznacza, że aż 11 spraw dotyczących tego zagadnienia zakończyło się wygraną Prezesa Urzędu Ochrony Danych Osobowych

NSA zgodził się z WSA w Warszawie i ze stanowiskiem PUODO – jeśli do zawarcia umowy kredytu nie doszło, nie można dalej przetwarzać danych niedoszłego klienta pozyskanych do przeprowadzenia oceny jego zdolności kredytowej

Bank nie może przetwarzać danych swoich byłych klientów, by bronić się przed przyszłymi ewentualnymi roszczeniami z ich strony – takie stanowisko wyraził Prezes UODO, później Wojewódzki Sąd Administracyjny w Warszawie. Teraz zgodził się z nimi również Naczelny Sąd Administracyjny i tym samym oddalił skargę banku Millenium

W sprawie dotyczącej podziału majątku wspólnego po rozwodzie sąd zobowiązał bank do udostępnienia mu danych dotyczących stanu rachunku bankowego. Przekazane informacje obejmowały jednak nie tylko okres trwania wspólności majątkowej, ale także ten następujący już po jej ustaniu. Właściciel rachunku bankowego uznał to za naruszenie przepisów RODO i wniósł skargę. Prezes UODO nie zgodził się jednak z tym stanowiskiem

Europejski Inspektor Ochrony Danych (EDPS) opublikował Opinię 39/2023 dotyczącą propozycji rozporządzenia w sprawie usług płatniczych na wewnętrznym rynku (Propozycja PSR) oraz propozycji dyrektywy w sprawie usług płatniczych i usług pieniądza elektronicznego (Propozycja PSD3).

Federalny Urząd Nadzoru Finansowego (BaFin) opublikował artykuł dotyczący swojego badania na temat ryzyka związanego z wykorzystaniem sztucznej inteligencji (SI), uczenia maszynowego (ML) i podejmowania decyzji algorytmicznych przez banki przy udzielaniu pożyczek.

Rada Unii Europejskiej ogłosiła w dniu 7 grudnia 2022 r. swoje stanowisko dotyczące aktualizacji rozporządzenia w sprawie przeciwdziałania korzystaniu z systemu finansowego w celu prania pieniędzy lub finansowania terroryzmu oraz aktualizacji dotyczącej dyrektywy w sprawie mechanizmów, które mają zostać wprowadzone przez państwa członkowskie w celu zapobiegania wykorzystywaniu systemu finansowego do prania pieniędzy lub finansowania terroryzmu i uchylający dyrektywę (UE) 2015/849.

Krajowy organ nadzorczy ds. przetwarzania danych osobowych (ANSPDCP) w Rumunii opublikował w dniu 21 listopada 2022 r. decyzję, mocą której nałożył na ING Bank NV Amsterdam Sucursala București grzywnę w wysokości 20 000 EUR za naruszenie związane z niezapewnieniem bezpieczeństwa ochrony danych osobowych.

Rumuński, Krajowy Urząd Nadzoru Przetwarzania Danych Osobowych (ANSPDCP) nałożył na Raiffeisen Bank S.A. karę pieniężną w wysokości 28.000 EURO oraz dwa ostrzeżenia za naruszenia art. 25 ust. 1, 32 ust. 1, 32 ust. 2 i 32 ust. 4 RODO, po przeprowadzeniu dochodzenia w przedmiocie stwierdzonych naruszeń.

Europejski Bank Centralny (EBC) wydał w dniu 15 listopada 2022 r. publikację dotyczącą oceny systemowego ryzyka cybernetycznego.

UODO wskazuje, że niezmiennie stoi na stanowisku, że sporządzanie kopii dowodów tożsamości przez instytucje finansowe jest legalne jedynie wtedy, kiedy konieczne jest zastosowanie środków bezpieczeństwa mających na celu przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu.

EROD podczas 40. posiedzenia plenarnego, przyjęła ostateczną wersję Wytycznych w sprawie uwzględniania ochrony danych w fazie projektowania oraz domyślnej ochrony danych

Prezes UODO zwrócił się do Przewodniczącego Komisji Nadzoru Finansowego (KNF) i Prezesa Związku Banków Polskich (ZBP) o podjęcie działań, które przyczyniłyby się do zminimalizowania nielegalnego wykorzystywania baz danych klientów.