ROZPORZĄDZENIE OGÓLNE O OCHRONIE DANYCH OSOBOWYCH

RODO, czyli zmiana przepisów dotyczących ochrony danych osobowych

  • Co to jest "RODO"?
    - RODO jest powszechnie używanym skrótem. Chodzi o Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
  • Jaki jest cel RODO
    - jednym z głównych celów regulacji jest ujednolicenie zasad przetwarzania danych osobowych we wszystkich Państwach UE, a także dostosowanie przepisów do zmieniających się technologii przetwarzania danych osobowych
  • Od kiedy stosujemy RODO
    - RODO stosowane jest od 25 maja 2018 r.
  • Co znajdzie się w podsumowaniu?
    - w niniejszym podsumowaniu znajdą się podstawowe informacje o zmianach, które wprowadza RODO, ze szczególnym uwzględnieniem informacji  o nowych prawach oraz informacji w jaki sposób przetwarzamy dane osobowe
  • Czy w związku z RODO trzeba się skontaktować z Bankiem?
    - Nie - nie ma konieczności dodatkowego kontaktu z Bankiem. W razie wątpliwości jesteśmy do Państwa dyspozycji. W szczególności we wszystkich sprawach związanych z przetwarzaniem danych osobowych można kontaktować się z wyznaczonym w Banku Inspektorem Ochrony Danych Osobowych. Z Inspektorem skontaktować można się poprzez email: IOD@pekao.com.pl ,  telefonicznie pod numerem 801 365 365, (22) 59 12 232  lub pisemnie na adres Bank Pekao SA- Centrala, ul. Grzybowska 53/57, skrytka pocztowa 1008, 00-950 Warszawa.

Rola Banku przy przetwarzaniu danych osobowych - jak przetwarzamy dane osobowe?

Bank Polska Kasa Opieki Spółka Akcyjna w świetle przepisów jest administratorem danych osobowych. To oznacza, że Bank odpowiada za ich przetwarzanie w sposób bezpieczny, w zgodzie z obowiązującymi przepisami prawa.

Bank może przetwarzać w ten sposób dane różnych kategorii osób - takich jak potencjalni klienci, klienci (w tym klienci detaliczni, osoby prowadzące działalność gospodarczą, jak również reprezentanci podmiotów takich jak spółki prawa handlowego), pracownicy, kandydaci do pracy, agenci i partnerzy sprzedaży (i ich pracownicy), pracownicy spółek prawa handlowego i innych przedsiębiorców (klientów lub kontrahentów Banku), osób udzielających zabezpieczeń różnego rodzaju wierzytelności, etc.

Bank niekiedy może występować w roli podmiotu przetwarzającego dane osobowe na zlecenie (np. zakładu ubezpieczeń) - wówczas podmiotem decydującym o przetwarzaniu i odpowiadającym za zgodność przetwarzania z prawem będzie inny administrator danych.

Jakie są cele i podstawy prawne przetwarzania przez Bank danych osobowych?

To w jakim celu i na jakiej podstawie prawnej Bank przetwarza dane osobowe zależy przede wszystkim od tego w jakim kontekście dane zostały zebrane oraz kogo te dane dotyczą. W niektórych przypadkach Bank może przetwarzać dane tej samej osoby w różnych celach i w oparciu o różne podstawy prawne (np. ta sama osoba może być klientem Banku, pełnomocnikiem innego klienta Banku, reprezentantem osoby prawnej, pracownikiem Banku, czy osobą wskazaną w dyspozycji wkładem wypadek śmierci przez innego klienta). Stąd należy mieć na uwadze, że inne cele i podstawy prawne znajdą zastosowanie wobec osób fizycznych, które są klientami Banku (osób fizycznych), a inne wobec osób które udzielają zabezpieczenia kredytu, czy reprezentują osoby prawne.

Cel i podstawa prawna przetwarzania jest związana z tym jakiej kategorii osób dane Bank zbiera, do czego dane są potrzebne, oraz tego jakie w związku z okolicznościami obowiązki prawne ciążą na Banku. Od tych kwestii zależy przede wszystkim to, po co Bank potrzebuje przetwarzać określone dane osobowe.

Proszę pamiętać, że Bank przekazuje informacje o przetwarzaniu danych w momencie zbierania danych od osoby której dane dotyczą, a w przypadku gdy dane zbiera w inny sposób informuje niezwłocznie po pozyskaniu danych lub przy pierwszym kontakcie z taką osobą. Jeśli przekazanie informacji jest nadmiernie utrudnione (np. w przypadku danych odbiorców przelewów) Bank może odstąpić od informowania bezpośredniego, zamiast tego zamieszczając informacje publicznie np. na stronie internetowej Banku.

Jeśli masz wątpliwości odnośnie przetwarzania Twoich danych osobowych możesz skontaktować się z Bankiem bądź Inspektorem Ochrony Danych Osobowych.

Jakie mogą być typowe cele przetwarzania danych osobowych?

Dane osobowe Bank może przetwarzać m. in w celach:

- zawarcia i wykonania umowy o świadczenie usług przez Bank - podstawą prawną przetwarzania jest niezbędność przetwarzania danych do zawarcia i wykonywania umowy;

- podjęcia na żądanie osoby działań zmierzających do zawarcia umowy z Bankiem i dokonania w tym celu badania zdolności kredytowej i analizy ryzyka kredytowego oraz oceny zdolności kredytowej - jeżeli charakter zawieranej umowy z Bankiem wymaga dokonania takiej oceny - podstawą prawną przetwarzania jest obowiązek prawny ciążący na Banku. W tym zakresie Bank może dokonywać profilowania, które polegać będzie na dokonaniu oceny lub prognozy prawdopodobieństwa spłaty przez osobę kredytu. Na podstawie przeprowadzonej analizy danych, Bank podejmuje decyzję o udzieleniu kredytu;

- przeprowadzenia, jeszcze przed zawarciem umowy, oceny odpowiedniości i adekwatności usług i instrumentów finansowych w ramach oferowania osobom instrumentów finansowych oraz świadczenia usług inwestycyjnych -  jeżeli charakter zawieranej umowy z Bankiem wymaga dokonania takiej oceny - podstawę prawną stanowią przepisy o obrocie instrumentami finansowymi  oraz właściwe przepisy wykonawcze. W tym zakresie Bank może dokonywać profilowania - w szczególności w celu sprawdzenia wiedzy i doświadczenia danej osoby w zakresie usług inwestycyjnych i usług finansowych oraz w celu zapewnienia zgodności produktów i usług z potrzebami, celami i cechami takiej osoby,

- wypełnienia przez Bank obowiązków prawnych które na nim ciążą w związku z prowadzeniem działalności Bankowej, w tym wynikających m.in. z  przepisów o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu, przepisów podatkowych, przepisów o rachunkowości, przepisów o wypełnianiu międzynarodowych obowiązków podatkowych oraz wdrożenia ustawodawstwa FATCA/CRS, oraz przepisów o automatycznej wymianie informacji podatkowych z innymi państwami. W tym zakresie Bank może dokonywać profilowania dla celów związanych z identyfikacją działań o charakterze przestępczym;

- marketingu bezpośredniego produktów i usług własnych Banku, w tym w celach analitycznych i profilowania - podstawą prawną przetwarzania danych jest niezbędność przetwarzania do realizacji prawnie uzasadnionego interesu Banku. Zgodnie z przepisami uzasadnionym interesem Banku jest możliwość przedstawiania klientowi informacji o swoich usługach, przedstawiania ofert dopasowanych do potrzeb i zainteresowań klienta, zwiększenie sprzedaży swoich usług. W tym zakresie, w szczególności dla potrzeb dopasowania oferty dla klienta w tym przygotowywania i rozsyłania spersonalizowanych ofert bankowych Bank może dokonywać profilowania.

- marketingu bezpośredniego produktów i usług innych podmiotów, w tym w celach analitycznych i profilowania - podstawą prawną przetwarzania danych jest zgoda która może zostać udzielona przez osobę, której dotyczą dane. W tym zakresie, w szczególności dla potrzeb dopasowania oferty dla klienta w tym przygotowywania i rozsyłania spersonalizowanych ofert bankowych Bank może dokonywać profilowania.

- realizacji innych prawnie uzasadnionych interesów Banku, za które Bank uznaje w szczególności możliwość dochodzenia i obrony roszczeń, zapobieganie oszustwom i przestępstwom gospodarczym, zapewnienie bezpieczeństwa środowiska teleinformatycznego, stosowanie wewnętrznych procesów nadzoru zgodności z prawem, czy badania jakości obsługi klienta. W tym zakresie w celu zapobiegania przestępstwom dokonywanym na szkodę Banku i klientów Bank może dokonywać profilowania poprzez budowanie modeli umożliwiających identyfikację działań o charakterze przestępczym.

W zależności od tego czyje dane Bank przetwarza, mogą pojawiać się inne cele i podstawy prawne przetwarzania danych, adekwatne do danej sytuacji.

Jakiego rodzaju dane osobowe Bank przetwarza?

Bank przetwarza szeroki zakres danych osobowych dla celów wskazanych powyżej, w tym w szczególności:

- dane identyfikacyjne w tym w szczególności znajdujące się w dokumentach tożsamości osób które posiadają relację prawną z Bankiem, lub reprezentują w kontaktach z Bankiem inne osoby lub podmioty (np. imiona i nazwiska, numery PESEL, numery dokumentów tożsamości);

- dane kontaktowe i teleadresowe (takie jak adres zamieszkania, adres korespondencyjny, numery telefonów, czy adres poczty elektronicznej)

- dane finansowe, w tym dane dotyczące realizowanych transakcji (np. saldo rachunku, dane dotyczące transakcji finansowych);

- dane dotyczące stanu cywilnego i sytuacji rodzinnej (np. dane dotyczące powiązań rodzinnych, ustrojów majątkowych, itp.);

- dane techniczne i dotyczące wyszukiwania na stronie internetowej, które mogą być danymi osobowymi (np. adresy IP, czy identyfikatory plików cookie, dane dotyczące historii przeglądania w bankowości elektronicznej, itp.)

- dane z nagrań audio, lub audiowizualnych (np. nagrania rozmów telefonicznych, czy nagrania monitoringu w placówkach Banku).
- dane dotyczące działalności zawodowej, gospodarczej, w tym dane dotyczące działalności klienta lub podmiotu który on reprezentuje.

Kiedy można wycofać zgodę na przetwarzanie danych osobowych lub złożyć sprzeciw wobec przetwarzania danych?

Proszę pamiętać, że wycofanie zgody na przetwarzanie danych osobowych możliwe jest wyłącznie w przypadkach, gdy zgoda stanowi wyłączną podstawą prawną przetwarzania danych (np. nie można cofnąć zgody na przetwarzanie danych, gdy przetwarzane są one dla potrzeb realizacji umowy, w tym dochodzenia przez Bank roszczeń z tym związanych). Zgoda może być wyłączną podstawą prawną przetwarzania danych np. potencjalnych klientów, którzy nie posiadają relacji umownej z Bankiem.

Wszystkie zgody udzielane są dobrowolnie i zawsze mogą być one wycofane. Wycofanie zgody nie wpływa na prawo Banku do przetwarzania danych do momentu jej cofnięcia.

Niezależnie od prawa do wycofania zgody można złożyć sprzeciw wobec określonego przetwarzania danych osobowych - szczególnie w celach marketingowych w tym profilowania. Sprzeciw przysługuje w tych sytuacjach w których podstawę prawną stanowią prawnie uzasadnione interesy Banku lub strony trzeciej. Osoba której dotyczą dane może złożyć także złożyć sprzeciw z przyczyn związanych z jej szczególną sytuacją. Bank rozpatrzy zasadność takiego sprzeciwu.

Czy Bank przekazuje dane innym odbiorcom danych osobowych?

Bank może udostępniać dane innym odbiorcom danych. Mogą to być w szczególności podmioty:

- upoważnione do ich otrzymania na podstawie przepisów prawa;

- którym dane mogą być przekazane na podstawie zgody lub upoważnienia osoby, której dane dotyczą;

- które prowadzą bazy danych w związku z badaniem zdolności kredytowej lub analizą ryzyka kredytowego (takie jak Biuro Informacji Kredytowej S.A. czy Związek Banków Polskich);

- którym dane muszą być przekazywane w celu wykonania określonej usługi lub czynności;

- które są izbami rozliczeniowymi lub innymi podmiotami prowadzącymi rozliczenia lub rozrachunek;

- które są podmiotami przetwarzającymi dane w imieniu i na rzecz Banku (np. Agenci Banku, czy podmioty świadczące usługi na rzecz Banku). Podmioty te nie mogą przetwarzać danych we własnych celach.

Z jakich źródeł Bank pozyskuje dane?

Bank pozyskuje dane zarówno bezpośrednio od osób których one dotyczą, jak również może pozyskiwać dane z innych źródeł.

W szczególności Bank pozyskuje dane przy ocenie zdolności kredytowej ze źródeł takich jak Biura Informacji Kredytowej (BIK), w zakresie informacji dotyczących zobowiązań finansowych, czy oceny punktowej (scoring), Biura Informacji Gospodarczej InfoMonitor oraz Krajowy Rejestr Długów w zakresie informacji gospodarczych o zadłużeniu, czy Związek Banków Polskich.

Dane osobowe mogą pochodzić od przedstawiciela ustawowego, mocodawcy w przypadku udzielonego pełnomocnictwa, przedsiębiorców przekazujących dane, pracodawców, w tym stron umów zawieranych z Bankiem.

Bank może także weryfikować zebrane dane w powszechnie dostępnych rejestrach takich jak Krajowy Rejestr Sądowy (KRS), Centralna Ewidencja i Informacji o Działalności Gospodarczej (CEIDG), Centralna Informacja Ksiąg Wieczystych.

Czy dane będą przekazywane poza Europejski Obszar Gospodarczy (EOG)?

Bank nie planuje przekazywać bezpośrednio danych osobowych poza EOG (obejmujący Unię Europejską, Norwegię, Lichtenstein i Islandię). Może się okazać, że w czasie trwania umowy Bank zdecyduje się o przekazaniu danych poza EOG - wyłącznie w zakresie w jaki pozwalają na to przepisy prawa. Np. w przypadku ewentualnego przekazywania danych poza EOG mogą być stosowane zabezpieczenia w postaci standardowych klauzul ochrony danych przyjętych przez Komisję Europejską.

Informacje w zakresie dotyczącym przetwarzania danych osobowych pracowników czy współpracowników Banku w tym zakresie przekazywane są wewnętrznie.

Należy mieć na uwadze, że mogą występować sytuacje w których dane przekazywane są organizacjom, które działają w EOG, a następnie dane te mogą być przekazane przez taką organizację do nowego administratora danych znajdującego się poza EOG.

Sytuacja taka może mieć miejsce np. w przypadku Stowarzyszenia na rzecz Światowej Międzybankowej Telekomunikacji Finansowej (SWIFT) z siedzibą w Belgii. Dane mogą być przekazywane w zakresie niezbędnym dla celów realizacji umowy - np. z uwagi na międzynarodowe transfery pieniężne. W związku z dokonywaniem międzynarodowych transferów pieniężnych za pośrednictwem SWIFT dostęp do danych może mieć także administracja rządowa Stanów Zjednoczonych Ameryki.

Jak długo Bank przetwarza dane osobowe? Jakie są kryteria ustalania takich okresów?

Okres przetwarzania danych osobowych zależy od celów dla których zostały one zebrane oraz przepisów prawa nakładających na Bank określone obowiązki prawne w tym zakresie.

Bank przetwarza dane przez okres który jest niezbędny dla realizacji celów przetwarzania, przykładowo Bank przechowuje dane w zakresie realizacji zawartej z Bankiem umowy do czasu zakończenia jej realizacji, a następnie w prawnie uzasadnionym interesie dla zabezpieczenia ewentualnych roszczeń lub do momentu wygaśnięcia obowiązku przechowywania danych wynikającego z przepisów prawa. Przepisy te mogą dotyczyć w szczególności obowiązku przechowywania dokumentów księgowych (rachunkowych) dotyczących umowy, obowiązku przechowywania wynikającego z przepisów o  przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, przepisów  wypełnianiu międzynarodowych obowiązków podatkowych oraz wdrożenia ustawodawstwa FATCA, oraz przepisów o automatycznej wymianie informacji podatkowych z innymi państwami.

W przypadku prowadzenia postępowań sądowych lub pozasądowych okresy przechowywania danych mogą ulec odpowiedniemu wydłużeniu, np. z uwagi na przerwanie lub zawieszenie okresu przedawnienia roszczeń.

Należy pamiętać, że dane mogą być przetwarzane/przechowywane oddzielnie z uwagi na stosowne cele lub podstawy prawne przetwarzania (np. odwołanie zgody na przetwarzanie danych w celu marketingu podmiotów trzecich nie spowoduje, że Bank przestanie przetwarzać dane w celu wypełnienia obowiązków prawnych wynikających z przepisów o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu).

Jakie przysługują prawa w związku z przetwarzaniem przez Bank danych osobowych?

Każda osoba, której dane dotyczą może złożyć do Banku wniosek o
  1. Sprostowanie (aktualizację) danych osobowych;
  2. Usunięcie danych osobowych przetwarzanych bezpodstawnie;
  3. Ograniczenie przetwarzania danych osobowych (wstrzymanie operacji na danych osobowych lub nieusuwanie danych);
  4. Dostęp do danych osobowych (w zakresie uzyskania informacji o przetwarzanych danych osobowych jak również w zakresie otrzymania kopii danych);
  5. Przeniesienia danych osobowych. O ile to możliwe dane na wniosek osoby mogą być przesłane bezpośrednio do innego administratora danych, jak również mogą być przesłane do osoby której dane dotyczą;
Z tych praw można korzystać składając np. wniosek w oddziale Banku lub wysyłając go na adres Bank Pekao SA- Centrala, ul. Grzybowska 53/57, skrytka pocztowa 1008, 00-950 Warszawa lub na adres poczty elektronicznej IOD@pekao.com.pl

Aby mieć pewność, że dana osoba jest uprawniona do złożenia wniosku Bank może prosić o podanie dodatkowych informacji w celu uwierzytelnienia tej osoby.

Zakres każdego z praw oraz sytuacje, w których można z nich korzystać, wynikają z przepisów prawa. To z jakiego uprawnienia osoba której dane Bank przetwarza będzie mogła skorzystać będzie zależeć w szczególności od podstawy prawnej oraz celu przetwarzania danych osobowych
 
Niezależnie od wyżej wymienionych praw osoba, której dotyczą dane może w dowolnym momencie wnieść sprzeciw wobec przetwarzania jej danych osobowych (w tym profilowania ) na potrzeby marketingu bezpośredniego. Po złożeniu takiego wniosku Bank zobowiązany jest do zaprzestania przetwarzania danych w tym celu.

Jeśli podstawą prawną przetwarzania danych osobowych (w tym profilowania) są prawnie uzasadnione interesy Banku lub strony trzeciej osoba której dane dotyczą może wnieść sprzeciw wobec przetwarzania jej danych osobowych z uwagi na jej szczególną sytuację. Bank rozpatrzy taki sprzeciw. Po rozpatrzeniu sprzeciwu Bank nie będzie już mógł przetwarzać danych osobowych w zakresie objętym sprzeciwem na tej podstawie, chyba że wykaże, że istnieją ważne prawnie uzasadnione podstawy do przetwarzania danych, które należy uznać za nadrzędne wobec interesów osoby, której dotyczą dane lub istnieją podstawy do ustalenia, dochodzenia lub obrony roszczeń.

Profilowanie i automatyczne podejmowanie decyzji.

Bank dokonuje profilowania osób, których dane przetwarza w szczególności dla celów oceny zdolności kredytowej do czego jest zobowiązany przepisami prawa bankowego, zgodnie z którymi Bank zobowiązany jest uzależnić przyznanie kredytu od zdolności kredytowej kredytobiorcy. Profilowanie może być związane także z koniecznością realizacji innych wymogów prawnych, np. dotyczących konieczności dokonywania oceny ryzyka prania pieniędzy oraz finansowania terroryzmu, czy z uwagi na konieczność realizacji obowiązków wynikających z prawa bankowego.

Profilowanie w rozumieniu RODO oznacza formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

W niektórych przypadkach w oparciu o profilowanie może być podejmowana przez Bank automatyczna decyzja. Np. w odniesieniu do niektórych produktów banku o charakterze kredytowym dostępnych w bankowości elektronicznej decyzje podejmowane będą automatycznie (tj. bez wpływu człowieka). Przykładowo po wytypowaniu osoby przez Bank lub po złożeniu przez osobę wniosku o pożyczkę ekspresową lub kartę kredytową następować będzie automatyczny proces oceny zdolności kredytowej, a następnie automatycznie będzie wydawana decyzja kredytowa. Decyzje te będą dotyczyły możliwości podjęcia wobec konkretnej osoby decyzji kredytowej i zawarcia umowy w tym zakresie. Decyzje będą podejmowane na podstawie danych dotyczących zaciągniętych zobowiązań, uzyskiwanych dochodów, wieku, posiadanego majątku, przyznanej przez BIK oceny punktowej, historii kredytowej. Powyższe dane uznane zostały za istotne przy ocenie zdolności kredytowej i możliwości spłaty zobowiązań. W wyniku profilowania Bank oceni prawdopodobieństwo, czy dana osoba jest w stanie spłacać swoje zobowiązanie, w szczególności regulować terminowo raty.
W związku ze zautomatyzowanym podejmowaniem decyzji dotyczących oceny zdolności kredytowej skutkującej możliwością skorzystania z określonej oferty lub brakiem takiej możliwości osoba której to dotyczy ma prawo do zakwestionowania tej decyzji, do wyrażenia własnego stanowiska lub do uzyskania interwencji ludzkiej (tj. przeanalizowania danych i podjęcia decyzji przez człowieka).

Prawo do złożenia skargi

Każda osoba, której dane dotyczą ma prawo wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych, jeżeli uważa, że przetwarzanie jej danych następuje z naruszeniem przepisów prawa.

W razie uwag lub wątpliwości zachęcamy do wcześniejszego kontaktu z Bankiem.

Dane kontaktowe Banku i inspektora ochrony danych

Z Bankiem można się skontaktować poprzez adres email info@pekao.com.pl , formularz kontaktowy pod adresem www.pekao.com.pl/indywidualni/formularz_kontaktowy, telefonicznie pod numerem 801 365 365, (22) 59 12 232  lub pisemnie: Bank Pekao SA - Centrala, ul. Grzybowska 53/57, skrytka pocztowa 1008, 00-950 Warszawa

U administratora danych osobowych wyznaczony jest inspektor ochrony danych, z którym można się skontaktować poprzez email IOD@pekao.com.pl telefonicznie pod numerem 801 365 365, (22) 59 12 232 lub pisemnie: Bank Pekao SA - Centrala, ul. Grzybowska 53/57, skrytka pocztowa 1008, 00-950 Warszawa.

Z inspektorem ochrony danych można się kontaktować we wszystkich sprawach dotyczących przetwarzania danych osobowych oraz korzystania z praw związanych z przetwarzaniem danych.
Toolbox
   Zapamiętane skróty
kontakt