RODO w Banku
Od dnia 25 maja 2018 r. obowiązuje Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku
z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, tzw. RODO.
W związku z powyższym Bank Spółdzielczy w Legnicy przygotował poniższą informację:
Co to jest RODO?
RODO to skrót od Rozporządzenia o Ochronie Danych Osobowych, tzn. Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Ma ono na celu ochronę podstawowych praw i wolności osób fizycznych, w szczególności prawa do ochrony danych osobowych, w sposób jednolity dla całej Unii Europejskiej.
Kogo dotyczy?
RODO dotyczy danych osobowych osób fizycznych.
Podstawowe pojęcia zawarte w RODO
dane osobowe - oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Zakres przetwarzanych przez Bank danych osobowych zależy od relacji łączącej Bank z osobą fizyczną, np. w przypadku obsługi rachunku oszczędnościowego zakres przetwarzanych danych będzie mniejszy niż w związku z zawarciem i realizacją umowy kredytu.
przetwarzanie - oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
administrator - oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania;
zgoda osoby, której dane dotyczą - oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych;
Zgoda jest jedną z przesłanek stanowiących podstawę przetwarzania danych osobowych, np. wyrażenie zgody jest konieczne w celu świadczenia marketingu za pośrednictwem telefonu.
organ nadzorczy - oznacza niezależny organ publiczny ustanowiony przez państwo członkowskie zgodnie z art. 51 RODO;
Zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych, organem nadzoru jest Urząd Ochrony Danych Osobowych.
Dlaczego Bank przetwarza dane osobowe?
Bank przetwarza Państwa dane, aby prowadzić działalność bankową, na przykład prowadzić rachunek bankowy, zawrzeć i realizować umowę dotyczącą produktu bankowego typu kredyt, lokata, rachunek oszczędnościowy, rachunek ROR, czy zapewnić bezpieczeństwo Państwa środków i transakcji. Prowadzimy również działalność informacyjną o naszych usługach
i produktach.
Czy podanie danych osobowych jest dobrowolne czy obligatoryjne?
Podanie przez Państwa danych jest dobrowolne, jednakże w celu zawarcia i realizacji umowy niezbędne.
Na jakich podstawach prawnych Bank przetwarza dane osobowe?
RODO zawiera zamknięty katalog przesłanek legalizujących przetwarzanie danych osobowych. Żeby przetwarzanie było zgodne z prawem musi być spełniona przynajmniej jedna
z następujących przesłanek:
a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych
w jednym lub większej liczbie określonych celów;
b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi,
f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji,
w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych,
w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Bank może przetwarzać dane osobowe w celach:
1) podjęcia działań zmierzających do zawarcia umowy z Bankiem, w tym w celu dokonania oceny zdolności kredytowej i analizy ryzyka kredytowego - podstawą prawną przetwarzania danych osobowych w tym zakresie jest art. 6 ust. 1 lit. b RODO;
2) realizacji umowy zawartej z Bankiem - podstawą prawną przetwarzania danych osobowych w tym zakresie jest art. 6 ust. 1 lit. b RODO;
3) wypełniania obowiązków wynikających z przepisów powszechnie obowiązującego prawa, np. prawa bankowego, ustawy o kredycie konsumenckim, ustawy o przeciwdziałaniu praniu pieniędzy, przepisów o rachunkowości lub archiwizacji. Przykładem takiego przetwarzania jest przetwarzanie w celu zapewnienia bezpieczeństwa klientów (ochrony przed zagrożeniami wynikającymi m.in. z cyberbezpieczeństwa, ochrony przed wyłudzeniami i oszustwami) - podstawą prawną przetwarzania danych osobowych w tym zakresie jest art. 6 ust. 1 lit. c RODO;
4) wykonywania prawnie uzasadnionych interesów Banku, np. zapewnienie bezpieczeństwa osób (przede wszystkim Klientów oraz pracowników) i mienia Banku (dotyczy to również monitoringu placówek Banku – z zachowaniem prywatności i godności osób), dochodzenia lub obrony roszczeń lub praw Banku - podstawą prawną przetwarzania danych osobowych w tym zakresie jest art. 6 ust. 1 lit. f RODO;
5) marketingu produktów i usług – podstawą prawną przetwarzania danych osobowych
w zakresie marketingu bezpośredniego własnych produktów i usług w trakcie obowiązywania umowy jest prawnie uzasadniony interes realizowany przez Bank, tj. art. 6 ust. 1 lit. f RODO, natomiast po rozwiązaniu lub wygaśnięciu umowy – zgoda, tj. art. 6 ust. 1 lit. a RODO;
6) wewnętrznych celów administracyjnych Banku, w tym analizy portfela kredytowego, statystyki i raportowania wewnętrznego Banku - podstawą prawną przetwarzania danych osobowych w tym zakresie jest art. 6 ust. 1 lit. f RODO.
Kto jest administratorem moich danych osobowych?
Administratorem Państwa danych osobowych jest Bank Spółdzielczy w Legnicy z siedzibą przy ul. Wjazdowej 2, 59-220 Legnica, adres e-mail: sekretariat@bslegnica.pl
Inspektor Ochrony Danych
Z Inspektorem Ochrony Danych mogą się Państwo skontaktować pod adresem poczty elektronicznej: iod@bslegnica.pl lub pisemnie na adres: Inspektor Ochrony Danych, Bank Spółdzielczy w Legnicy, ul. Wjazdowa 2, 59-220 Legnica.
Jakie prawa przysługują mi zgodnie z RODO?
W związku z przetwarzaniem przez Bank danych osobowych przysługuje Państwu prawo do:
- dostępu do treści swoich danych (art. 15 RODO)
Mogą Państwo zwrócić się do Banku z wnioskiem o otrzymanie informacji, np. czy Bank przetwarza Państwa dane osobowe; jakie dane Bank przetwarza.
- sprostowania danych (art. 16. RODO)
Mogą Państwo zwrócić się do Banku z prośbą o sprostowanie nieprawidłowych, czy uzupełnienie niekompletnych danych osobowych.
- usunięcia danych (art. 17 RODO)
Mogą Państwo wnioskować o usunięcie danych np. dane nie są już niezbędne do realizacji celów, dla których zostały zebrane, a nie występują podstawy prawne do ich dalszego przetwarzania. W przypadku posiadania czynnej umowy z Bankiem, przetwarzanie danych jest niezbędne do jej realizacji i dane osobowe nie mogą zostać usunięte.
- ograniczenia przetwarzania danych (art. 18 RODO)
Każdy wniosek o ograniczenie przetwarzania danych osobowych będzie podlegał indywidualnemu rozpatrzeniu pod względem istniejących podstaw dla przetwarzania danych, celu i zakresu ich przetwarzania.
- przenoszenia danych (art. 20 RODO)
- wniesienia sprzeciwu wobec przetwarzania danych (art. 21 RODO)
Możecie Państwo złożyć sprzeciw wobec określonego przetwarzania danych – szczególnie
w celach marketingowych. Bank rozpatrzy zasadność sprzeciwu.
- prawo do niepodlegania decyzjom podjętym w warunkach zautomatyzowanego przetwarzania danych, w tym profilowania (art. 22 RODO).
Bank nie podejmuje tego typu decyzji.
W jaki sposób Bank będzie realizował prawa osób, których dane dotyczą?
Klient indywidualny i Klient instytucjonalny (osoba fizyczna prowadząca działalność gospodarczą, osoba fizyczna prowadząca indywidualne gospodarstwo rolne, spółka cywilna, spółka partnerska, spółka jawna) Banku Spółdzielczego w Legnicy jest uprawniony do złożenia wniosku w zakresie obsługi praw Klienta wynikających z Rozporządzenia 679/2016 (RODO),
a Bank zobowiązany jest do jego rozpatrzenia według poniższych zasad:
- Klient może zgłosić wniosek do Banku w każdej chwili
- Bank rozpatruje wniosek złożony przez Klienta Banku lub osobę działającą w jego imieniu:
a) w ciągu miesiąca, licząc od dnia otrzymania żądania,
b) w przypadku, gdy żądanie lub liczba żądań Klienta ma skomplikowany charakter, termin udzielenia odpowiedzi może zostać wydłużony o kolejne dwa miesiące;
w terminie miesiąca od otrzymania żądania Inspektor Ochrony Danych informuje Klienta o przedłużeniu terminu, z podaniem przyczyn opóźnienia,
c) w przypadku niepodjęcia działań w związku z żądaniem Klienta, Inspektor Ochrony Danych niezwłocznie – najpóźniej w ciągu miesiąca od otrzymania żądania, informuje Klienta o powodach nieodjęcia działań oraz możliwości wniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem.
- W imieniu Banku, Inspektor Ochrony Danych udziela Klientowi odpowiedzi na piśmie, listem poleconym za zwrotnym potwierdzeniem odbioru.
- Bank nie pobiera żadnych opłat i prowizji za przyjęcie i rozpatrzenie pierwszego wniosku. Jeżeli częstotliwość wniosków Klienta jest większa, niż jeden wniosek w ciągu trzech miesięcy, Bank pobierze opłatę, równą kosztom administracyjnym związanym
z udzieleniem odpowiedzi. Wniosek Klienta nie będzie rozpatrywany do czasu wniesienia przez Klienta stosownej opłaty.
- Właściwym dla Banku organem nadzoru w zakresie danych osobowych jest Urząd Ochrony Danych Osobowych.
- W przypadku pytań dotyczących wniosku prosimy o kontakt z Inspektorem Ochrony Danych pod adresem e-mail: iod@bsolegnica.pl.
Czy mogę mieć dostęp do swoich danych?
Tak. Mogą Państwo mieć dostęp do swoich danych osobowych i zarządzać swoimi zgodami na przetwarzanie danych osobowych, w tym zgodami marketingowymi.
Jakie rodzaje, kategorie danych osobowych Bank przetwarza?
Bank przetwarza dane związane z:
- identyfikacją i weryfikacją tożsamości Klienta,
- dane transakcyjne,
- dane dotyczące stanu cywilnego i sytuacji rodzinnej, w tym o osobach pozostających na utrzymaniu i pozostających we wspólnym gospodarstwie domowym,
- dane finansowe lub związane ze świadczeniem usług bankowych,
- dane dotyczące prowadzonej działalności gospodarczej, zawodowej lub społecznej,
- dane z monitoringu wizyjnego lokalizacji, w których wykonywane są przez Bank czynności.
Czy Bank chroni moje dane osobowe?
Bank wdrożył i wdraża odpowiednie środki techniczne i organizacyjne zapewniające ochronę danych osobowych, w szczególności zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, utratą, zmianą, uszkodzeniem lub zniszczeniem. Państwa dane osobowe stanowią dla Banku najcenniejsze aktywa. Wszelkie informacje dotyczące wykonywanych czynności bankowych objęte są tajemnicą bankową. Bank, osoby w nim zatrudnione oraz osoby, za których pośrednictwem Bank wykonuje czynności bankowe, są obowiązane zachować tajemnicę bankową, która obejmuje wszystkie informacje dotyczące czynności bankowej, uzyskane w czasie negocjacji, w trakcie zawierania
i realizacji umowy, na podstawie której Bank tę czynność wykonuje.
Kto jest odbiorcą moich danych?
Państwa dane mogą być udostępniane następującym odbiorcom lub kategoriom odbiorców danych:
1) Biuro Informacji Kredytowej S.A.;
2) Centrum Prawa Bankowego i Informacji Sp. z o.o.;
3) Związek Banków Polskich;
4) Ministerstwo Finansów, w tym Generalny Inspektor Informacji Finansowej;
5) Komisja Nadzoru Finansowego;
6) biura informacji gospodarczej;
7) banki, instytucje kredytowe i inne upoważnione podmioty na podstawie przepisów prawa;
8) podmioty, którym Bank powierzył przetwarzania danych osobowych na podstawie umów powierzenia przetwarzania danych osobowych (tzw. podmioty przetwarzające).
Czy moje dane osobowe będą przekazywane do państwa trzeciego lub organizacji międzynarodowej?
Obecnie Bank nie planuje przekazywać Państwa danych osobowych poza Europejski Obszar Gospodarczy.
Jak długo moje dane osobowe będą przechowywane przez Bank?
Okres przetwarzania danych, zależy od celu, w jakim zostały zebrane i są przetwarzane, od przepisów prawa lub przyjętych przez Bank, zgodnie z tymi przepisami metod lub modeli,
a także zgód i innych oświadczeń. Dane osobowe będą przechowywane przez okres trwania umowy oraz po jej wygaśnięciu w celu wypełnienia obowiązku prawnego ciążącego na Banku, dochodzenia ewentualnych roszczeń lub archiwizacji, zgodnie z obowiązującymi przepisami prawa, a następnie zostaną usunięte lub zanonimizowane.
W przypadku wyrażenia zgody na przetwarzanie danych w celu marketingu naszych produktów i usług po wygaśnięciu umowy, dane te będziemy przetwarzać do czasu wycofania zgody.
Do kogo mogę wnieść skargę?
W przypadku uznania, iż przetwarzanie Państwa danych narusza przepisy RODO przysługuje Państwu prawo wniesienia skargi do organu nadzorczego Urzędu Ochrony Danych Osobowych.
Jakie są źródła pochodzenia danych?
Informacja dotyczy danych osobowych pozyskanych w inny sposób niż od osoby, której dane dotyczą.
Pani/Pana dane mogą pochodzić od mocodawcy (w przypadku udzielonego pełnomocnictwa), przedstawiciela ustawowego, a także źródeł powszechnie dostępnych (np. baz i rejestrów: REGON, Centralnej Ewidencji Działalności Gospodarczej (CEIDG), Krajowego Rejestru Sądowego).
Czy moje dane osobowe będą przetwarzane w sposób zautomatyzowany?
Państwa dane osobowe mogą być przetwarzane w sposób zautomatyzowany, w tym również w formie profilowania. Profilowanie będzie polegało na ewentualnym zaproponowaniu produktów i usług lepiej dopasowanych do Państwa potrzeb. Decyzje wiążące, którym będą Państwo podlegać nie będą zautomatyzowane.