Prawa naszych klientów, które wynikają z RODO

Wszystkie uprawnienia, jakie daje RODO, możesz realizować przez mLinię, infolinię Kompakt Finanse (+48 42 19 300) lub w naszych placówkach. Pamiętaj – na mLinię najłatwiej zadzwonisz bezpośrednio z aplikacji mobilnej (kliknij w słuchawkę na górze każdego ekranu).

Możesz sprostować i uzupełnić dane

Jeśli Twoje dane są nieaktualne, możesz w każdej chwili poprosić, byśmy je poprawili lub uzupełnili. Niektóre z danych – np. adres zamieszkania czy mail - możesz zmienić samodzielnie w serwisie transakcyjnym. Szczegółowe informacje znajdziesz tutaj

Masz dostęp do danych

Udostępnimy Ci Twoje dane osobowe, które nam przekazałeś. Dowiesz się między innymi, w jakich celach to robimy oraz jak długo planujemy je przetwarzać.

Możesz przenieść dane

Jeśli będziesz chciał przenieść dane do innego administratora, damy Ci taką możliwość. Dane otrzymasz od nas w szyfrowanym mailu, abyś mógł samodzielnie przekazać je według swojego uznania.

Możesz sprzeciwić się przetwarzaniu danych

Jeśli przetwarzamy Twoje dane na podstawie uzasadnionego interesu, możesz się temu sprzeciwić. Poprosimy Cię wówczas, abyś wskazał konkretny cel przetwarzania, któremu się sprzeciwiasz i ewentualnie inne okoliczności, jakie przewiduje prawo.

Masz prawo być zapomnianym (usunięcie danych)

Na Twoją prośbę, usuniemy Twoje dane osobowe z banku. Zrobimy to, gdy nie będziemy mieć prawnie uzasadnionych podstaw, by kontynuować przetwarzanie.

Masz prawo do ograniczenia przetwarzania

W określonych prawem sytuacjach możesz wnioskować, byśmy ograniczyli przetwarzanie Twoich danych osobowych. Może zdarzyć się, że pomimo Twojego żądania nadal będziemy je przetwarzać - dotyczy to w szczególności sytuacji, gdy są one nam potrzebne w kontekście ewentualnych spraw sądowych.

Możesz nie zgodzić się na to, abyśmy w Twoich sprawach podejmowali decyzje w sposób automatyczny

Decyzje automatyczne pozwalają nam obsługiwać Twoje wnioski szybko i z zachowaniem standardów, jakim hołdujemy. Otrzymasz od nas informację, czy w danym procesie skorzystaliśmy z tego rozwiązania. Od tak podjętej decyzji masz prawo się odwołać a wtedy sprawą zajmie się pracownik banku.

Pakiet RODO dla klientów indywidualnych i firmowych

  • 1.  

    RODO – ogólne informacje

    • RODO (Rozporządzenie o Ochronie Danych Osobowych) zaczniemy stosować od 25 maja 2018 r.Pełna nazwa to: Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

      Jaki jest cel RODO?

      RODO wprowadza i ujednolica zasady przetwarzania danych osobowych na terenie całej Unii Europejskiej. W szczególności dba o bezpieczeństwo danych osobowych i chroni prawo do prywatności.

      Krótki słowniczek pojęć:

      „Administrator” – To osoba lub podmiot, który (samodzielnie lub wspólnie z innymi administratorami) ustala, po co i jak będzie przetwarzać dane osobowe. Administratorem danych osobowych jest mBank S.A. z siedzibą w Warszawie.
      „Automatyczne podejmowanie decyzji” – to podejmowanie decyzji bez udziału człowieka, w oparciu o modele i algorytmy, tworzone w systemach informatycznych.
      "Dane osobowe" – to informacje, które identyfikują (lub pozwalają zidentyfikować) osobę fizyczną (zwaną też „osobą, której dane dotyczą”). Będą to w szczególności: imię i nazwisko, numer klienta (ID klienta), adres, numer telefonu, data urodzenia, historia kredytowa, numer konta bankowego, NIP, PESEL, informacje o rodzinie, imiona dzieci, wynagrodzenie, obraz z monitoringu wizyjnego itp.
      „Podmiot przetwarzający” – to osoba fizyczna lub podmiot, który przetwarza dane osobowe w imieniu administratora.
      "Przetwarzanie danych osobowych" – to działania dotyczące danych osobowych. Mogą one odbywać się automatycznie lub ręcznie. O przetwarzaniu mówimy wtedy, gdy dane: zbieramy, utrwalamy, organizujemy, porządkujemy, przechowujemy, adaptujemy lub modyfikujemy, pobieramy, przeglądamy, wykorzystujemy, ujawniamy (np. przesyłając), rozpowszechniamy, udostępniamy, dopasowujemy lub łączymy, ograniczamy, usuwamy lub niszczymy.

      Jak przebiega komunikacja między naszym bankiem a klientami?

      We wszystkich sprawach, w tym też w kwestiach danych osobowych, komunikujemy się z naszymi klientami: przez stronę internetową, serwis transakcyjny, mail, telefon i pocztę oraz w naszych placówkach. W umowie z klientem wskazujemy, jakie formy kontaktu z nim uzgodniliśmy.

      Dane teleadresowe mBanku:
      Centrala i Zarząd mBanku: ul. Senatorska 18, 00-950 Warszawa,skr. poczt. 21 Tel. (22) 829 00 00,
      adres strony internetowej: www.mbank.pl

      Adres korespondencyjny:
      mBank S.A. Bankowość Detaliczna
      Skrytka Pocztowa 2108
      90-959 Łódź 2

      Dane teleadresowe Kompakt Finanse:
      mBank S.A Oddział Bankowości Mobilnej w Łodzi należy do mBank S.A. z siedzibą w Warszawie,
      ul. Senatorska 18, 00-950 Warszawa
      Adres strony internetowej: www.kompaktfinanse.pl

      Adres korespondencyjny:

      mBank S.A.

      Oddział Bankowości Mobilnej w Łodzi

      Skrytka Pocztowa 2108
      90-959 Łódź 2

      Tel. +48 42 19 300


      Pomocą służą także konsultanci mLinii, infolinii Kompakt Finanse, którzy przez całą dobę mogą przyjąć dyspozycję dotyczącą danych osobowych lub reklamację.


      mLinia, infolinia Kompakt Finanse, dostępna jest 24h/dobę 7 dni w tygodniu

       

      Jak działa mLinia, infolinia Kompakt Finanse?

  • 2.  

    Podstawowe zasady RODO

    • RODO formułuje 6 zasad przetwarzania danych osobowych, którymi kieruje się nasz bank, gdy przetwarzamy dane osobowe. Są nimi:

      • zasada zgodności z prawem, rzetelności i przejrzystości: przetwarzamy dane osobowe w sposób zgodny z przepisami prawa. O wszystkich kwestiach z tym związanych informujemy wyczerpująco ustalonymi kanałami komunikacji i jak najprostszym językiem, by osoby, których dane dotyczą, były świadome, że zbieramy, przechowujemy lub w inny sposób przetwarzamy ich określone dane osobowe;
      • zasada minimalizacji i adekwatności danych: przetwarzamy tylko te dane (adekwatne, stosowne), które są rzeczywiście potrzebne, by zrealizować dany cel;
      • zasada prawidłowości danych: dokładamy najwyższej staranności, by dane, które przetwarzamy, były zgodne z prawdą, aktualne i dokładne. Dlatego możemy co jakiś czas prosić osoby, których dane przetwarzamy, o to, by sprawdziły i zaktualizowały swoje dane. Prosimy ich też o to, by klienci informowali nas o wszelkich zmianach swoich danych osobowych (imię i nazwisko, adres itp.);
      • zasada ograniczenia celu oraz przechowywania przetwarzanych danych: dane osobowe zbieramy jedynie w konkretnym, wyraźnym i prawnie uzasadnionym celu, którego nie moglibyśmy osiągnąć w inny sposób. Przechowujemy dane w formie, która umożliwia identyfikację osoby, której dane dotyczą. Przetwarzamy je tylko tak długo, jak jest to niezbędne, by zrealizować cel, dla którego je pozyskaliśmy (chyba, że do dalszego przetwarzania zobowiązują nas przepisy prawa);
      • zasada integralności i poufności danych: zapewniamy takie rozwiązania informatyczne i organizacyjne, dzięki którym dane osobowe, które przetwarzamy, są bezpieczne. Chronimy dane przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem;
      • zasada rozliczalności: jesteśmy w stanie wykazać (w sposób, jakiego wymaga od nas prawo), że w odniesieniu do danych osobowych działamy zgodnie z przepisami prawa, uwzględniamy ochronę danych w fazie projektowania (np. nowego produktu) oraz zapewniamy domyślną ochronę danych osobowych.
  • 3.  

    Jak przetwarzamy dane osobowe - podstawowe informacje

    • Przetwarzamy ogólne i szczególne dane osobowe. Dane osobowe to wszelkie informacje, które identyfikują (lub pozwalają zidentyfikować) osobę, której dane dotyczą. Najczęściej przetwarzamy ogólne dane takie, jak:

      • imię i nazwisko;
      • inne dane identyfikacyjne: płeć, numer PESEL, data urodzenia, adres korespondencyjny, zamieszkania oraz zameldowania, email, telefon domowy/komórkowy;
      • numer klienta (ID klienta);
      • dane o tym, gdzie klient się znajduje (lokalizacja);
      • identyfikator internetowy (adres IP);
      • dane finansowe (numer rachunku bankowego, numer karty kredytowej/płatniczej, imię i nazwisko posiadacza karty, data ważności karty, dochód, źródło dochodu, historia kredytowa, informacja o produktach i usługach);
      • wykształcenie;
      • zawód i praca;
      • numer identyfikacji podatkowej (NIP);
      • numer REGON;
      • numer i seria dowodu osobistego/paszportu, data wydania dowodu osobistego/paszportu, data ważności dowodu osobistego/paszportu;
      • wizerunek utrwalany w ramach monitoringu pomieszczeń bankowych;
      • inne dane potrzebne do tego, byśmy mogli oferować produkty i usługi.


      Dane osobowe możemy przetwarzać, gdy:

      • osoba, której dane dotyczą, wyraziła na to zgodę; na tej podstawie przetwarzamy dane, gdy prowadzimy marketing produktów lub usług podmiotów innych niż nasz bank i podmioty z naszej grupy kapitałowej (marketing usług naszych i podmiotów z naszej grupy kapitałowej nie wymaga zgody);
      • robimy to, aby rozpatrzyć wnioski i wykonywać umowy między nami a osobą, której dane dotyczą, w tym gdy:

        - obliczamy zdolność kredytową, aby rozpatrzyć wniosek o kredyt;
        - rozpatrujemy wnioski o produkty bankowe (rachunki, lokaty, itp.);
        - obsługujemy reklamacje;

      • realizujemy w ten sposób obowiązek prawny; na tej podstawie przetwarzamy dane po to, by przeciwdziałać nadużyciom i zapewniać bezpieczeństwo obrotu gospodarczego. Szczególne obowiązki nakładają na nas takie przepisy prawa, jak: Prawo bankowe; Ustawa o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu czy Ustawa o obrocie instrumentami finansowymi;
      • wymaga tego nasz (administratora) prawnie uzasadniony interes, czyli w sytuacjach gdy:

        a. budujemy prawidłowy i bezpieczny model ryzyka dla portfela kredytowego, oceniając zdolność kredytową;
        b. dostarczamy oparte na profilowaniu funkcje w serwisach bankowych, w tym w systemach bankowości elektronicznej (serwis transakcyjny, aplikacja mobilna), które są dostosowane do potrzeb poszczególnych klientów;
        c. prowadzimy marketing bezpośredni produktów lub usług naszego banku i podmiotów z naszej grupy kapitałowej (ich pełny spis znajduje się https://www.mbank.pl/o-nas/informacje-wymagane-przepisami-prawa/);
        d. ustalamy oraz dochodzimy roszczeń lub bronimy się przed nimi;
        e. przygotowujemy statystyki i raporty;
        f. budujemy nasze modele statystyczne i oceny ryzyka operacyjnego;
        g. badamy satysfakcję klientów;
        h. przygotowujemy lub zmieniamy naszą ofertę oraz plany operacyjne i strategię banku;
        i. sprzedajemy wierzytelności;
        j. archiwizujemy dane;
        k. zapobiegamy i wykrywamy przestępstwa (dbamy o bezpieczeństwo).

      Szczególne dane osobowe:

      Za zgodą osoby, której dane dotyczą, przetwarzamy informację o niepełnosprawności. Robimy to po to, aby dostosować nasze usługi do potrzeb klientów z niepełnosprawnościami (np. słabosłyszących).

       

      Przetwarzanie danych dzieci:

      Mamy specjalną ofertę produktów dla dzieci i młodzieży (w tym specjalne konta bankowe), by od wczesnych lat uczyć, jak świadomie gospodarować swoimi oszczędnościami. Aby chronić prawa dzieci, zawsze prosimy rodziców (lub ich opiekunów prawnych) o zgodę na to, by dzieci mogły korzystać z tego typu usług.

  • 4.  

    Skąd mamy dane, które przetwarzamy?

    • Przetwarzamy dane osoby, której dane dotyczą, przekazane nam na formularzach w chwili, gdy otwiera rachunek czy wnioskuje o kredyt. Możemy również wykorzystywać dane, które przekazali nam inni administratorzy (np. Biuro Informacji Kredytowej S.A.) lub które pozyskaliśmy z ogólnie dostępnych baz danych (np. Centralnej Ewidencji i Informacji o Działalności Gospodarczej).

  • 5.  

    Automatyczne podejmowanie decyzji

    • Automatyczne podejmowanie decyzji polega na tym, że decyzje w sprawie wniosków klientów zapadają bez udziału człowieka, w oparciu o modele i algorytmy. Robimy to, by skrócić czas, w którym klienci oczekują na decyzje i by zachować najlepszy standard obsługi. Lista procesów, w których podejmowane są takie decyzje, znajduje się na stronie www.mbank.pl/rodo.

       

      Przykładem takiego procesu jest automatyczna decyzja o udzieleniu kredytu. Badamy automatycznie zdolność klienta do spłaty kredytu, historię kredytową oraz współpracę z naszym bankiem. Korzystamy z danych, które klient podał nam we wniosku, z historii klienta w banku oraz z danych z innych źródeł, takich jak:

      • system Bankowy Rejestr prowadzony przez Związek Banków Polskich,
      • Biuro Informacji Kredytowej S.A.,
      • inne podmioty, które prowadzą działalność kredytową lub udzielają informacji na podstawie przepisów prawa.

      O tym, że decyzja może być podjęta automatycznie, poinformujemy już we wniosku kredytowym, a ostatecznie – w samej decyzji. Klienci mogą odwołać się od tej decyzji, przekazując nam swoje stanowisko przez mLinię, infolinię Kompakt Finanse lub w naszych placówkach.

  • 6.  

    Profilowanie danych

    • O profilowaniu danych mówimy wtedy, gdy wykorzystujemy algorytmy czy modele matematyczne, by określać cechy, preferencje i przyszłe zachowania klientów. Stosujemy odpowiednie rozwiązania (techniczne i organizacyjne), by zmniejszyć ryzyko błędów w procedurach profilowania. Dokładamy wszelkich starań, aby ocena była obiektywna, a nasze procesy nie dyskryminowały klientów. Nasze modele statystyczne są zgodne z dobrymi praktykami rynku bankowego (ujętymi m.in. w Rekomendacji W Komisji Nadzoru Finansowego).

      Dlaczego profilujemy?

      Profilujemy, by realizować nasze obowiązki prawne:

      • dbamy o bezpieczeństwo przechowywanych środków i wykonywania transakcji;
      • przeciwdziałamy praniu pieniędzy i finansowaniu terroryzmowi, budujemy modele, dzięki którym rozpoznajemy takie działania przestępcze;
      • określamy, jakie produkty i usługi nie odpowiadają potrzebom poszczególnych grup klientów i powstrzymujemy się od ich oferowania, w ten sposób chronimy klientów przed nieodpowiednią sprzedażą produktów finansowych (tzw. missellingiem);
      • badamy poziom wiedzy inwestycyjnej i doświadczenia klientów (by ocenić, czy dana usługa maklerska lub inwestycyjna jest odpowiednia dla danego klienta);
      • monitorujemy jakość spłaty udzielonych kredytów, przez co skutecznie zarządzamy ryzykiem detalicznych ekspozycji kredytowych.

      Profilujemy, gdy jest to niezbędne, by zawrzeć lub wykonać umowę:

      Gdy klient wnioskuje o kredyt lub zmianę warunków posiadanego kredytu, przeprowadzamy ocenę zdolności i wiarygodności kredytowej takiej osoby. Działanie to pozwala nam budować prawidłowy i bezpieczny profil ryzyka banku. Możemy w tym celu wysyłać zapytania do baz zewnętrznych.

      Profilujemy, by realizować nasz prawnie uzasadniony interes:

      • przeprowadzamy ocenę zdolności i wiarygodności kredytowej osoby, której dane dotyczą, aby budować bezpieczny profil ryzyka banku i ustalać kwoty kredytu/limitu kredytowego, które klient mógłby otrzymać w prosty i szybki sposób (bez dodatkowych dokumentów czy wizyty w placówce);
      • dostarczamy spersonalizowane funkcje w systemach bankowości elektronicznej (serwis transakcyjny, aplikacja mobilna), które wspomagają zarządzanie finansami (m.in. kategoryzację płatności klienta w historii transakcji, asystenta płatności, itp.); pełna lista tych funkcjonalności jest dostępna na www.mbank.pl/rodo;
      • prowadzimy marketing bezpośredni produktów i usług banku i spółek z naszej grupy kapitałowej, by obsługiwać i oferować nasze produkty możliwie adekwatnie do potrzeb i bieżącej sytuacji klienta (m.in. w zakresie kanałów obsługi, specyfiki produktów, opłat, procesów komunikacyjnych).
  • 7.  

    Obowiązki informacyjne wobec klientów (osób, których dane dotyczą)

    • Wszystkie informacje na temat ochrony danych osobowych są przez cały czas dostępne dla naszych klientów na naszej stronie www.mbank.pl/rodo. Chętnie odpowiadamy też na wszystkie pytania zadawane przez klientów. Przekazujemy indywidualne informacje w dwóch sytuacjach: gdy zbieramy dane lub zmieniamy cel ich przetwarzania.

      Kiedy informujemy?

      Jeżeli zbieramy dane bezpośrednio od osoby, której dane dotyczą, przekazujemy taką informację od razu. Gdy dane pochodzą z innego źródła, przekazujemy je osobie, której dotyczą:

      • w rozsądnym terminie, nie później jednak niż w ciągu miesiąca od pozyskania danych;
      • najpóźniej przy pierwszej komunikacji z osobą, której dane dotyczą (jeżeli wykorzystujemy dane właśnie w komunikacji z tą osobą);


      chyba, że udzielenie informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku.


      Jak informujemy?

      Informacje te możemy przekazywać:

      • w klauzulach informacyjnych – zamieszczamy je w dokumentach przeznaczonych dla osoby, której dane dotyczą, lub w systemach bankowości elektronicznej (serwis transakcyjny, aplikacja mobilna);
      • osobiście bądź telefonicznie, w trakcie rozmowy z przedstawicielem naszego banku;
      • elektronicznie, w tym poprzez umieszczenie tej informacji na naszej stronie internetowej.
  • 8.  

    Jakie uprawnienia mają osoby, których dane dotyczą i jak je realizujemy?

    • Prawo dostępu do danych

      Osoba, której dane dotyczą, ma prawo dostać od nas informację o tym, czy przetwarzamy jej dane osobowe. Wniosek taki można złożyć poprzez mLinię, infolinię Kompakt Finanse lub w placówce.

       

      Zainteresowana osoba ma prawo wiedzieć:

      • dlaczego przetwarzamy określone dane;
      • jakie typy danych przetwarzamy;
      • jakim odbiorcom lub kategoriom odbiorców ujawniliśmy (lub możemy ujawnić) dane – w szczególności dotyczy to odbiorców w państwach innych niż państwa Europejskiego Obszaru Gospodarczego lub organizacji międzynarodowych;
      • jak długo planujemy (o ile można to określić) przetwarzać dane albo na podstawie jakich kryteriów ustalaliśmy ten okres.


      Prawo do sprostowania danych

      Klient może żądać, byśmy niezwłocznie sprostowali jego nieprawidłowe dane osobowe lub uzupełnili niekompletne dane. W zależności od rodzaju danych korektę można złożyć przez mLinię, infolinię Kompakt Finanse w placówce (np. numer dokumentu tożsamości) lub w systemie bankowości transakcyjnej.

      Prawo do usunięcia danych (prawo do bycia zapomnianym)

      Osoba, której dane dotyczą, może żądać, byśmy usunęli jej dane, gdy:

      • dane nie są już niezbędne, by zrealizować cel, dla którego je zebraliśmy,
      • dane nie były przetwarzane zgodnie z RODO lub innymi przepisami prawa.

      Osoba, która chce, by usunąć jej dane, może poprzez mLinię, infolinię Kompakt Finanse lub w placówce złożyć wniosek, w którym określi swoje żądania. Uwzględnimy je, gdy – w naszej ocenie – nie będziemy mieć prawnie uzasadnionych podstaw, by kontynuować przetwarzanie.


      Jeżeli usuniemy dane osoby wnoszącej taką dyspozycję, mamy prawo zachować informacje o tym, na czyj wniosek to zrobiliśmy.


      Żądanie uwzględnimy tak szybko, jak to będzie możliwe, biorąc pod uwagę okoliczności i nasze możliwości techniczne.

      Prawo do ograniczenia przetwarzania danych osobowych

      Osoba, której dane dotyczą może również żądać, byśmy ograniczyli przetwarzanie jego danych. Prawo to dotyczy następujących sytuacji:

       

      Sytuacja

      Nasze działanie

      Osoba, której dane dotyczą, wskaże, że dane, które przetwarzamy, nie są prawidłowe.

      Sprawdzimy, czy dane są prawidłowe, i zaproponujemy ich korektę.

      Osoba, której dane dotyczą uważa, że przetwarzamy dane niezgodnie z prawem i żąda, abyśmy ograniczyli ich wykorzystanie (ale sprzeciwia się usunięciu).

      Nie potrzebujemy już danych osobowych, by osiągnąć zamierzony cel, ale osoba, której dane dotyczą sprzeciwia się, byśmy usunęli jej dane, gdyż potrzebuje ich, aby dochodzić lub bronić swoich roszczeń.

      Ograniczymy przetwarzanie takich danych, oznaczymy właściwe dane i nie usuniemy ich do czasu, gdy osoba odwoła swoje żądanie ograniczenia.

      Osoba, której dane dotyczą, chce złożyć sprzeciw z przyczyn związanych z jego szczególną sytuacją (gdy przetwarzamy dane na podstawie naszego uzasadnionego interesu).

      Przenalizujemy sytuację i zaproponujemy klientowi, aby wskazał określony cel, któremu się sprzeciwia.

      Mogą zdarzyć się sytuacje, gdy będziemy przetwarzać dane, pomimo żądania osoby, której dane dotyczą, aby ograniczyć przetwarzanie jej danych. Dotyczy to w szczególności sytuacji, gdy ustalamy, dochodzimy lub bronimy się przed roszczeniami.

      Prawo do przenoszenia danych

      Każda osoba, której dane dotyczą, ma prawo przenieść swoje dane. Taką prośbę można złożyć poprzez mLinię, infolinię Kompakt Finanse lub w placówce. Przekażemy dane bezpośrednio osobie, która o nie wnioskuje, aby mogła przenieść je do innego podmiotu (nie wypracowano jak dotąd standardu bezpiecznego przenoszenia danych pomiędzy administratorami).


      Dane przekażemy w szyfrowanym mailu (w formacie, który banki uzgodniły w ramach ustaleń w Związku Banków Polskich). W zestawieniu uwzględnimy dane, które osoba wnioskująca sama nam przekazała oraz dane, które powstały dzięki jej działaniom (w tym dane dotyczące transakcji). Nie udostępnimy danych, które sami wywnioskowaliśmy (w szczególności, na podstawie oceny zdolności kredytowej).

       

      Jeżeli nie będziemy mogli oddzielić danych osoby wnioskującej od innych danych, które są w naszych systemach, możemy wstrzymać się z realizacją żądania – do czasu gdy wspólnie uzgodnimy, które dane możemy udostępnić.

      Prawo sprzeciwu wobec przetwarzania

      Osoba, której dane dotyczą, może sprzeciwić się przetwarzaniu przez nas swoich danych osobowych, jeśli robimy to w oparciu o nasz prawnie uzasadniony interes. Osoba wnioskująca powinna każdorazowo wskazać nam, jaki konkretnie sprzeciw składa.

      Rodzaj sprzeciwu Nasze zadanie

      Sprzeciw wobec marketingu opartego na profilowaniu.

      Przestajemy przygotowywać i prezentować oferty dostosowane do potrzeb i sytuacji danego klienta.

      Sprzeciw wobec marketingu produktów i usług banku oraz spółek z naszej grupy kapitałowej.

      Przestajemy prowadzić wobec klienta jakiekolwiek działania marketingowe, w tym oparte na profilowaniu.

      Sprzeciw wobec funkcji w serwisach banku opartych na profilowaniu.

      Pozbawiamy nasze systemy bankowości elektronicznej (serwis transakcyjny, aplikacja mobilna) funkcji opartych na profilowaniu (nowoczesna historia transakcji, asystent płatności, itp.).

      Sprzeciw wobec budowy prawidłowego i bezpiecznego profilu ryzyka banku, w drodze ustalania zdolności kredytowej klientów, w tym poprzez wysyłanie zapytań do baz zewnętrznych.

      Sprzeciw ten klient może zgłosić jedynie ze względu na swoją szczególną sytuację (powinien wykazać, na czym ona polega). Przestaniemy przetwarzać dane, chyba że ocenimy, że nasz cel przetwarzania jest nadrzędny wobec tej sytuacji. Możemy też nie przyjąć sprzeciwu, jeśli mamy podstawy, aby ustalać, dochodzić lub bronić się przed roszczeniami.


      Otrzymane sprzeciwy będziemy realizować tak szybko, jak to będzie technicznie możliwe.

  • 9.  

    Zasady postępowania przy naruszeniach ochrony danych

    • O naruszeniu ochrony danych osobowych mówimy wtedy, gdy administrator przypadkowo lub niezgodnie z prawem zniszczy, utraci, zmodyfikuje, ujawni lub udostępni dane osobowe.

       

      Kogo i kiedy poinformujemy, gdyby w naszym banku doszło do naruszenia?

       

      Osobę, której dane dotyczą

      jeśli ryzyko naruszenia praw i wolności oszacowaliśmy jako wysokie;

      Niezwłocznie (gdyby przekazanie bezpośredniej informacji było bardzo trudne, wydamy publiczny komunikat).

      Organ nadzorczy

      jeśli ocenimy, że mogło – z prawdopodobieństwem większym niż niskie – dojść do naruszenia praw lub wolności osób fizycznych;

      Niezwłocznie, w miarę możliwości technicznych, nie później niż w terminie 72 godzin.

       

      Komu i w jakim celu możemy przekazywać dane klientów?

      Zgodnie z prawem, dane klientów możemy przekazywać innym instytucjom, aby zawierać i wykonywać umowy z klientami oraz realizować ustawowe obowiązki. Dane klientów przekazujemy instytucjom, którymi są w szczególności:

      • Biuro Informacji Kredytowej; Więcej informacji na stronie https://www.mbank.pl/rodo;
      • Ministerstwo Finansów (co miesiąc wysyłamy do Generalnego Inspektora Informacji Finansowej rejestry transakcji, zgodnie z przepisami dotyczącymi przeciwdziałania praniu pieniędzy oraz finansowania terroryzmu);
      • podmioty, z którymi zawarliśmy umowy outsourcingowe w trybie wynikającym z Prawa bankowego (w szczególności są to nasi pośrednicy kredytowi czy też firmy kurierskie dostarczające dokumenty klientom) – ich pełna lista znajduje się pod linkiem https://www.mbank.pl/o-nas/informacje-wymagane-przepisami-prawa/ (w pliku o nazwie Informacje o przedsiębiorcach zgodnie z art.111b ustawy Prawo bankowe);
      • podmioty trzecie – partnerzy banku (tylko w oparciu o zgodę klientów);
      • SWIFT - Międzynarodowe Stowarzyszenie Międzybankowej Transmisji Danych Finansowych (na podstawie umowy między Unią Europejską a Stanami Zjednoczonymi Ameryki o przetwarzaniu i przekazywaniu z Unii Europejskiej do Stanów Zjednoczonych danych z komunikatów finansowych do celów Programu śledzenia środków finansowych należących do terrorystów).
  • 10.  

    Zasady przekazywania danych poza Polskę

    • Dane osobowe możemy przekazywać podmiotom (oczywiście w sytuacjach, gdy są ku temu podstawy) z Europejskiego Obszaru Gospodarczego (EOG). Tworzą go państwa Unii Europejskiej, Islandia, Norwegia i Liechtenstein. Do państwa trzeciego (spoza EOG) możemy przekazać dane osobowe, jeżeli gwarantuje ono przynajmniej taką ochronę danych, jaka obowiązuje w Polsce. W praktyce taką gwarancją jest to, że dane państwo zostało uznane przez Komisję Europejską za kraj, który zapewnia odpowiednią ochronę.

      Możemy bez zgody urzędu nadzorującego ochronę danych osobowych w Polsce przekazywać dane osobowe do innych państw trzecich, gdy w umowach z podmiotami z tych państw zastosowaliśmy specjalne rozwiązania, przewidziane przez prawo lub zatwierdzone przez urząd nadzorujący ochronę danych osobowych w Polsce.

      Dostęp do danych osobowych może wyjątkowo uzyskać administracja rządowa Stanów Zjednoczonych Ameryki, gdyż przelewy zagraniczne realizujemy za pośrednictwem SWIFT (Stowarzyszenia na Rzecz Światowej Międzybankowej Telekomunikacji Finansowej). Władze amerykańskie zobowiązały się, że będą wykorzystywać te dane wyłącznie do walki z terroryzmem (z poszanowaniem gwarancji, które zapewnia europejski system ochrony danych osobowych).

  • 11.  

    Inspektor Danych Osobowych w mBanku

    • Powołaliśmy Inspektora Danych Osobowych – Agatę Rowińską, który odpowiada za przestrzeganie przepisów ochronie danych w naszym banku.


      Kontakt z Inspektorem Danych Osobowych:

      • mailowo: inspektordanychosobowych@mbank.pl
      • pocztą na adres:

      Inspektor Danych Osobowych
      mBank S.A.
      ul. Senatorska 18, 00-950 Warszawa

  • 12.  

    Jak można skarżyć się na ochronę swoich danych osobowych?

    • Jeśli klient podejrzewa, że jego dane są przetwarzane niezgodnie z RODO, może wnieść skargę do organu nadzorczego w zakresie ochrony danych osobowych w sposób wskazany na stronie internetowej organu nadzorczego pod adresem https://www.giodo.gov.pl.

  • 13.  

    Jak długo przetwarzamy dane?

    • Dane przetwarzamy przez czas, jaki jest niezbędny, aby osiągnąć cel przetwarzania. Konkretny okres wskazujemy w dokumentacji, którą przekazujemy osobom, których dane dotyczą.

      Stosujemy zasadę ograniczenia przechowywania danych osobowych, która zabezpiecza dane przed ich przetwarzaniem przez nieograniczony okres. Gdy osiągniemy cel przetwarzania, usuwamy lub anonimizujemy dane (ich odzyskanie jest wówczas niemożliwe). Wyjątkiem są sytuacje, gdy musimy przechowywać dane z powodu odrębnych przepisów (np. aby realizować zadania związane z zapobieganiem przestępstwom).


      Usuwamy lub anonimizujemy dane w szczególności, gdy:

      • osoba, której dane dotyczą, cofnie zgodę na przetwarzanie danych osobowych (jeżeli to zgoda była podstawą przetwarzania);
      • osoba, której dane dotyczą, skutecznie sprzeciwi się dalszemu przetwarzaniu (jeżeli podstawą przetwarzania był nasz uzasadniony interes);
      • nastąpi przedawnienie ewentualnych roszczeń (jeżeli przetwarzaliśmy dane, aby realizować umowę);
      • upłyną terminy, które wynikają z innych przepisów (np. Ustawy o rachunkowości, Ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu itp.).

RODO w pytaniach i odpowiedziach

Wybraliśmy pytania , które mogą Cię najbardziej zainteresować. Więcej informacji zamieściliśmy w pakiecie RODO. Prawnie wiążącą podstawą jest jedynie „Ogólne Rozporządzenie o Ochronie Danych".

RODO to nowe zasady ochrony danych osobowych. Wynikają one z unijnego „Ogólnego Rozporządzenia o Ochronie Danych”. W Polsce RODO obowiązuje od 25 maja 2018 r. Możesz spotkać się także z angielskim skrótem rozporządzenia – GDPR


Przetwarzamy ogólne i szczególne dane osobowe.


Dane osobowe ogólne
to wszelkie informacje, które identyfikują (lub pozwalają zidentyfikować) osobę, której dane dotyczą. Najczęściej są to: imię i nazwisko, płeć, numer PESEL, data urodzenia, adres korespondencyjny, zamieszkania oraz zameldowania, email, telefon domowy/komórkowy, numer klienta, lokalizacja, adres IP, wykształcenie, zawód, praca, dane z dokumentów (dowód osobisty, paszport), NIP czy REGON.


Przetwarzamy także dane finansowe, takie jak: numer rachunku bankowego, numer karty kredytowej/płatniczej, imię i nazwisko posiadacza karty, data ważności karty, dochód, źródło dochodu, historia kredytowa, informacja o produktach i usługach.


Dane szczególne
dotyczą przede wszystkim zdrowia, w tym niepełnosprawności. Przetwarzamy je za zgodą osób, których te dane dotyczą. Możemy dzięki temu lepiej dopasować nasze usługi do ich potrzeb (np. osób słabosłyszących).


To, czy możemy przetwarzać dane z każdej z tych kategorii, zależy od podstawy prawnej.


.

RODO powstało po to, by zapewnić wszystkim mieszkańcom Unii równie wysoką i skuteczną ochronę ich danych osobowych. Dlatego warto znać swoje podstawowe prawa oraz zasady, na których różne podmioty i instytucje – w tym banki – mogą przetwarzać Twoje dane osobowe.

Zaawansowane modele i algorytmy wspierają nas w decyzjach, które dotyczą:

  • wniosków kredytowych (wybrane ścieżki),
  • zmiany warunków spłaty kredytów (restrukturyzacji),
  • wybranych reklamacji.

Staramy się automatyzować procesy, byśmy mogli obsłużyć Cię możliwie szybko i w najwyższym standardzie. O tym, że decyzja może być podjęta automatycznie, poinformujemy Cię już we wniosku kredytowym, a ostatecznie – w samej decyzji.

Nie. Zgody, które przekazałeś nam przed 25 maja 2018 r. są dalej ważne. Jeśli w przyszłości będziemy Cię prosić o inną zgodę, wyraźnie Cię poinformujemy, dlaczego chcemy przetwarzać określone dane i jak długo będziemy to robić.


Dbamy o to, by dane były aktualne i dokładne. Dlatego możemy co jakiś czas poprosić Cię o to, byś sprawdził i zaktualizował dane, które posiadamy. Prosimy też, byś poinformował nas o wszelkich zmianach osobowych (np. nazwisko, dane kontaktowe, adres).

Przetwarzamy Twoje dane, abyś mógł w pełni korzystać z naszych produktów i usług. Możemy dzięki temu np. proponować Ci produkty, które przygotowaliśmy specjalnie dla Ciebie – np. kredyt „na jeden klik” albo na preferencyjnych warunkach.


Wiele naszych usług, w tym te nowatorskie (mOkazje), bazuje na tym, że mamy Twoją zgodę na przetwarzanie Twoich danych w określonym celu. Lubisz zniżki w sklepach i kawiarniach, które zapewniają mOkazje? To właśnie jedna z tych korzyści.

Przetwarzamy Twoje dane osobowe, wtedy gdy się na to zgodziłeś lub mamy ku temu inną podstawę prawną. Podstawa zależy od kategorii danych:

Podstawa prawna

dane ogólne

dane szczególne

Mamy na to Twoją zgodę.

TAK

TAK

Robimy to po, by rozpatrzyć wniosek lub wykonać umowę, którą podpisałeś z nami.

TAK

NIE

Realizujemy obowiązek prawny.

TAK

NIE

Mamy (jako administrator danych) w tym uzasadniony interes.

TAK

NIE

 

Kiedy mówimy o tym, że mamy uzasadniony interes, by przetwarzać Twoje dane? Na przykład wtedy, gdy:

  • oceniamy Twoją zdolność kredytową,
  • badamy satysfakcję klientów,
  • prowadzimy marketing bezpośredni naszego banku i podmiotów z grupy kapitałowej,
  • dostarczamy produkty i usługi, dostosowane do Twoich potrzeb (na bazie tzw. profilowania),
  • przygotowujemy lub zmieniamy ofertę produktów i usług,
  • przygotowujemy statystyki i raporty wewnętrzne,
  • ustalamy oraz dochodzimy roszczeń, albo bronimy się przed nimi.

Możemy przetwarzać Twoje dane, jeśli mamy w tym uzasadniony interes (przy zachowaniu wszystkich zasad RODO). Jeśli nie zgadasz się na to, musisz wskazać konkretny cel przetwarzania, który Ci nie odpowiada. Możesz to zrobić przez mLinię lub w naszej placówce.


Twój sprzeciw zrealizujemy tak szybko, jak to będzie technicznie możliwe.

RODZAJ SPRZECIWU        

NASZE DZIAŁANIE

Sprzeciw wobec marketingu opartego na profilowaniu

Przestajemy przygotowywać i prezentować oferty dostosowane do Twoich potrzeb i sytuacji.

Sprzeciw wobec marketingu produktów i usług banku oraz spółek z naszej grupy kapitałowej

Przestajemy prowadzić wobec Ciebie jakiekolwiek działania marketingowe, w tym oparte na profilowaniu.

Sprzeciw wobec funkcjonalności w serwisach banku opartych na profilowaniu

Pozbawiamy nasze serwisy, w tym serwis transakcyjny i aplikację mobilną, usług opartych na profilowaniu (nowoczesna historia transakcji, asystent płatności, itp.).

Sprzeciw wobec budowy prawidłowego i bezpiecznego profilu ryzyka banku, w drodze ustalania zdolności kredytowej klientów, w tym poprzez wysyłanie zapytań do baz zewnętrznych

Sprzeciw ten klient może zgłosić jedynie ze względu na swoją szczególną sytuację (powinien wykazać, na czym ona polega). Przestaniemy przetwarzać dane, chyba że ocenimy, że nasz cel przetwarzania jest nadrzędny wobec tej sytuacji. Możemy też nie przyjąć sprzeciwu, jeśli  mamy podstawy, aby ustalać, dochodzić lub bronić się przed roszczeniami.

 

O profilowaniu danych mówimy wtedy, gdy wykorzystujemy algorytmy czy modele matematyczne po to, by podejmować określone decyzje. Najważniejsze dla nas jest to, aby ocena była obiektywna i prawidłowa, a nasze procesy nie dyskryminowały klientów. Profilujemy Twoje dane z kilku powodów. Tu wymieniamy tylko najważniejsze:

  • Profilujemy, gdy prawo nakłada na nas określone obowiązki (np. aby przeciwdziałać oszustwom i przestępstwom lub chronić klientów przed nieuczciwą sprzedażą produktów finansowych).
  • Profilujemy, gdy jest to niezbędne, aby zawrzeć lub wykonać umowę.

Profilujemy, gdy mamy w tym prawnie uzasadniony interes.

Profilujemy Twoje dane z wielu powodów. Warto pamiętać, że to dzięki profilowaniu możemy proponować klientom dopasowane oferty, np. kredyt „na jeden klik” (bez mnóstwa dokumentów, podpisów i wizyt w placówce). Możemy także dodawać do naszego serwisu czy aplikacji mobilnej nowoczesne funkcje i przyjazne ułatwienia (np. asystent płatności, tempo wydatków, etc.).

Kontakt

Kto i w czym może Ci pomóc?

  • konsultanci mLinii, infolinii Kompakt Finanse (+48 42 19 300) lub pracownicy placówek, jeśli chcesz złożyć dyspozycję, która dotyczy Twoich danych osobowych
  • Inspektor Danych Osobowych mBanku: napisz, jeśli Twoja sprawa dotyczy sposobu, w jaki przetwarzamy dane w mBanku (Inspektordanychosobowych@mbank.pl)
  • Urząd Ochrony Danych Osobowych (UODO): jeśli chcesz wnieść skargę na to, jak przetwarzane są Twoje dane osobowe (uodo.gov.pl)

Jako mBank realizujemy także obowiązek informacyjny dla Biura Informacji Kredytowej. Więcej informacji znajdziesz tutaj.