Prawa kontrahentów i ich pracowników, które wynikają z RODO
Pakiet RODO dla kontrahentów i ich pracowników
-
1.
RODO – ogólne informacje
-
RODO (Rozporządzenie o Ochronie Danych Osobowych) zaczniemy stosować od 25 maja 2018 r.
Pełna nazwa to: Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
Jaki jest cel RODO?
RODO wprowadza jednolite zasady przetwarzania danych osobowych w całej Unii Europejskiej.
W szczególności pozwala zadbać o bezpieczeństwo danych osobowych i chroni prawo do
prywatności.Krótki słowniczek pojęć:
„Administrator” – to osoba lub podmiot, który (samodzielnie lub wspólnie z innymi administratorami) ustala, po co i jak będzie przetwarzać dane osobowe. Administratorem danych osobowych jest mBank S.A. z siedzibą w Warszawie (dalej: "bank").
„Dane osobowe” - to informacje, które identyfikują (lub pozwalają zidentyfikować) osobę fizyczną (zwaną też „osobą, której dane dotyczą”). Będą to w szczególności: imię i nazwisko, adres, numer telefonu, data urodzenia, NIP, PESEL, wynagrodzenie, obraz z monitoringu wizyjnego itp.
„Podmiot przetwarzający” – to osoba fizyczna lub podmiot, który przetwarza dane osobowe w imieniu administratora.„Przetwarzanie danych osobowych” - to działania dotyczące danych osobowych. Mogą one odbywać się automatycznie lub ręcznie. O przetwarzaniu mówimy wtedy, gdy dane: zbieramy, utrwalamy, organizujemy, porządkujemy, przechowujemy, adaptujemy lub modyfikujemy, pobieramy, przeglądamy, wykorzystujemy, ujawniamy (np. przesyłając), rozpowszechniamy, udostępniamy, dopasowujemy lub łączymy, ograniczamy, usuwamy lub niszczymy.
Jak przebiega komunikacja między naszym bankiem a kontrahentami i ich pracownikami?
We wszystkich sprawach, w tym też w kwestiach danych osobowych, komunikujemy się z naszymi kontrahentami i ich pracownikami w sposób, który określiliśmy w umowie z kontrahentem lub przez stronę internetową banku.
Dane teleadresowe mBanku:
Centrala i Zarząd mBanku S.A.
ul. Prosta 18, 00-850 Warszawa
Tel. (22) 829 00 00
-
-
2.
Podstawowe zasady RODO
-
RODO formułuje 6 zasad przetwarzania danych osobowych. Nasz bank kieruje się nimi, gdy przetwarza dane osobowe. Są to:
- zasada zgodności z prawem, rzetelności i przejrzystości: przetwarzamy dane osobowe w sposób zgodny z przepisami prawa. O wszystkich kwestiach z tym związanych informujemy wyczerpująco ustalonymi kanałami komunikacji i jak najprostszym językiem. Chcemy, by osoby, których dane dotyczą, były świadome, że zbieramy, przechowujemy lub w inny sposób przetwarzamy ich określone dane osobowe;
- zasada minimalizacji i adekwatności danych: przetwarzamy tylko te dane, które są rzeczywiście potrzebne, by zrealizować dany cel;
- zasada prawidłowości danych: dokładamy najwyższej staranności, by dane, które przetwarzamy, były zgodne z prawdą, aktualne i dokładne. Dlatego możemy co jakiś czas prosić osoby, których dane przetwarzamy, o to, by sprawdziły i zaktualizowały swoje dane;
- zasada ograniczenia celu oraz przechowywania przetwarzanych danych: dane osobowe zbieramy jedynie w konkretnym, wyraźnym i prawnie uzasadnionym celu, którego nie moglibyśmy osiągnąć w inny sposób. Przechowujemy dane w formie, która umożliwia identyfikację osoby, której dane dotyczą. Przetwarzamy je tylko tak długo, jak jest to niezbędne, by zrealizować cel, dla którego je pozyskaliśmy (chyba, że do dalszego przetwarzania zobowiązują nas przepisy prawa);
- zasada integralności i poufności danych: zapewniamy takie rozwiązania informatyczne i organizacyjne, dzięki którym dane osobowe, które przetwarzamy, są bezpieczne. Chronimy dane przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem;
- zasada rozliczalności: jesteśmy w stanie wykazać (w sposób, jakiego wymaga od nas prawo), że w odniesieniu do danych osobowych działamy zgodnie z przepisami prawa, uwzględniamy ochronę danych w fazie projektowania oraz zapewniamy domyślną ochronę danych osobowych.
-
-
3.
Jak przetwarzamy dane osobowe - podstawowe informacje
-
Jakie dane przetwarzamy i na jakiej podstawie?
Przetwarzamy ogólne i szczególne dane osobowe. Dane osobowe to wszelkie informacje, które identyfikują (lub pozwalają zidentyfikować) osobę, której dane dotyczą. Zbieramy dane osobowe, które przekazali nam kontrahenci lub ich pracownicy przy zawieraniu umowy, a także podczas współpracy.
Najczęściej przetwarzamy ogólne dane, takie jak:
- imię i nazwisko,
- inne dane identyfikacyjne: numer PESEL, adres korespondencyjny, e-mail, telefon;
- numer identyfikacyjny;
- dane o tym, gdzie kontrahent lub jego pracownik się znajduje (lokalizacja);
- identyfikator internetowy (adres IP);
- zawód i praca;
- numer identyfikacji podatkowej (NIP);
- numer REGON;
- numer i seria dowodu osobistego / paszportu, data wydania dowodu osobistego / paszportu,
data ważności dowodu osobistego / paszportu kontrahenta lub jego pracownika;
- dane zawarte w rejestrach publicznych (takich jak np. KRS);
- informacje o pełnomocnictwach i uprawnieniach pracowników do reprezentacji kontrahenta;
- numery legitymacji i dokumentów potwierdzających dane uprawnienia,
- dane dotyczące prowadzonych z nami rozmów oraz głos utrwalany w ich trakcie.
Dane osobowe możemy przetwarzać, gdy:
- robimy to, aby zawrzeć i wykonywać umowy między nami a osobą, której dane dotyczą;
- realizujemy w ten sposób obowiązek prawny; na tej podstawie przetwarzamy dane po to, by przeciwdziałać nadużyciom i zapewniać bezpieczeństwo obrotu gospodarczego. Szczególne obowiązki nakładają na nas takie przepisy prawa, jak: Prawo bankowe; Ustawa o obrocie instrumentami finansowymi; Ustawa o rachunkowości; Ordynacja podatkowa;
- wymaga tego nasz (administratora) prawnie uzasadniony interes, czyli w sytuacjach, gdy:
- zarządzamy umową zawartą pomiędzy kontrahentem lub jego pracownikami a nami, w tym na wypadek dochodzenia roszczeń;
- weryfikujemy kompetencje kontrahenta lub jego pracowników;
- kontrolujemy wykonanie umowy;
- zarządzamy nadawaniem uprawnień do systemów IT banku.
-
-
4.
Skąd mamy dane, które przetwarzamy?
-
Przetwarzamy dane osoby, której dane dotyczą, a które przekazują nam kontrahenci przed zawarciem umowy i podczas jej wykonywania. Osobami tymi są sami kontrahenci i ich pracownicy. Możemy również wykorzystywać dane, które przekazali nam inni administratorzy lub które pozyskaliśmy z ogólnie dostępnych baz danych (np. Centralnej Ewidencji i Informacji o Działalności Gospodarczej).
-
-
5.
Profilowanie danych
-
Nie profilujemy danych kontrahentów i ich pracowników.
-
-
6.
Obowiązki informacyjne wobec kontrahentów i ich pracowników (osób, których dane dotyczą)
-
Wszystkie informacje na temat ochrony danych osobowych są przez cały czas dostępne dla naszych kontrahentów i ich pracowników na naszej stronie www.mbank.pl/rodo. Chętnie odpowiadamy też na wszystkie pytania kontrahentów i ich pracowników. Przekazujemy indywidualne informacje w dwóch sytuacjach: gdy zbieramy dane lub zmieniamy cel ich przetwarzania.
Kiedy informujemy?
Jeżeli zbieramy dane bezpośrednio od osoby, której dane dotyczą, to przekazujemy taką informację w treści umowy. Gdy dane pochodzą z innego źródła, taką informację osobie, której dane dotyczą, przekazujemy w rozsądnym terminie, nie później jednak niż w ciągu miesiąca od pozyskania danych. Możemy to zrobić za pośrednictwem naszych kontrahentów. Nie robimy tego, gdy udzielenie informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku.Jak informujemy?
- w klauzulach informacyjnych, które zamieszczamy w umowach lub przekazujemy wraz z umową;
- osobiście bądź telefonicznie, w trakcie rozmowy z przedstawicielem naszego banku;
- elektronicznie, w tym poprzez umieszczenie tej informacji na naszej stronie internetowej.
-
-
7.
Jakie uprawnienia mają osoby, których dane dotyczą, i jak je realizujemy?
-
Prawo dostępu do danych
Osoba, której dane dotyczą, ma prawo dostać od nas informację o tym, czy przetwarzamy jej dane osobowe.Osoba taka ma prawo wiedzieć:
- dlaczego przetwarzamy określone dane;
- jakie typy danych przetwarzamy;
- jakim odbiorcom lub kategoriom odbiorców ujawniliśmy (lub możemy ujawnić) dane – w szczególności dotyczy to odbiorców w państwach innych niż państwa Europejskiego Obszaru Gospodarczego lub organizacji międzynarodowych;
- jak długo planujemy (o ile można to określić) przetwarzać dane albo na podstawie jakich kryteriów ustalaliśmy ten okres.
Prawo do sprostowania danych
Kontrahent lub jego pracownik może żądać, byśmy niezwłocznie sprostowali jego nieprawidłowe dane osobowe lub uzupełnili niekompletne dane.
Prawo do usunięcia danych (prawo do bycia zapomnianym)
Osoba, której dane dotyczą, może żądać, byśmy usunęli jej dane, gdy:- dane nie są już niezbędne, by zrealizować cel, dla którego je zebraliśmy,
- dane nie były przetwarzane zgodnie z RODO lub innymi przepisami prawa.
Uwzględnimy to żądanie, gdy – w naszej ocenie – nie będziemy mieć prawnie uzasadnionych podstaw, by kontynuować przetwarzanie. Jeżeli usuniemy dane osoby wnoszącej taką dyspozycję, mamy prawo zachować informację o tym, na czyj wniosek to zrobiliśmy. Żądanie uwzględnimy tak szybko, jak to będzie możliwe, biorąc pod uwagę okoliczności i techniczne możliwości.
Prawo do ograniczenia przetwarzania danych osobowych
Osoba, której dane dotyczą, może również żądać, byśmy ograniczyli przetwarzanie jej danych.Prawo to dotyczy następujących sytuacji:
Sytuacja Nasze działanie Osoba, której dane dotyczą, wskaże, że dane, które przetwarzamy, nie są prawidłowe. Sprawdzimy, czy dane są prawidłowe, i zaproponujemy ich korektę. Osoba, której dane dotyczą, uważa, że przetwarzamy dane niezgodnie z prawem, i żąda, abyśmy ograniczyli ich wykorzystanie (ale sprzeciwia się usunięciu). Nie potrzebujemy już danych osobowych, by osiągnąć zamierzony cel, ale osoba, której dane dotyczą, sprzeciwia się, byśmy usunęli jej dane, gdyż potrzebuje ich, aby dochodzić lub bronić swoich roszczeń. Ograniczymy przetwarzanie takich danych, oznaczymy właściwe dane i nie usuniemy ich do czasu, gdy osoba odwoła swoje żądanie ograniczenia. Osoba, której dane dotyczą, chce złożyć sprzeciw z przyczyn związanych z jej szczególną sytuacją (gdy przetwarzamy dane na podstawie naszego uzasadnionego interesu). Przenalizujemy sytuację i zaproponujemy kontrahentowi albo jego pracownikowi, aby wskazał określony cel, któremu się sprzeciwia. Mogą zdarzyć się sytuacje, gdy będziemy przetwarzać dane pomimo żądania osoby, której dane dotyczą, aby ograniczyć przetwarzanie jej danych. Dotyczy to w szczególności sytuacji, gdy ustalamy roszczenia, dochodzimy ich lub bronimy się przed nimi.
Prawo sprzeciwu wobec przetwarzania
Osoba, której dane dotyczą, może sprzeciwić się przetwarzaniu przez nas swoich danych osobowych, jeśli robimy to w oparciu o nasz prawnie uzasadniony interes. Osoba ta powinna każdorazowo wskazać nam, jaki konkretnie sprzeciw składa. Otrzymane sprzeciwy będziemy realizować tak szybko, jak to będzie technicznie możliwe.
-
-
8.
Zasady postępowania przy naruszeniach ochrony danych
-
O naruszeniu ochrony danych osobowych mówimy wtedy, gdy administrator przypadkowo lub niezgodnie z prawem zniszczy, utraci, zmodyfikuje, ujawni lub udostępni dane osobowe.
Kogo i kiedy poinformujemy, gdyby w naszym banku doszło do naruszenia?
Osobę, której dane dotyczą
jeśli ryzyko naruszenia praw i wolności oszacowaliśmy jako wysokie;
Niezwłocznie (gdyby przekazanie bezpośredniej informacji było bardzo trudne, wydamy publiczny komunikat).
Organ nadzorczy
jeśli ocenimy, że mogło – z prawdopodobieństwem większym niż niskie – dojść do naruszenia praw lub wolności osób fizycznych;
Niezwłocznie, w miarę możliwości technicznych, nie później niż w terminie 72 godzin od stwierdzenia naruszenia.
Komu i w jakim celu możemy przekazywać dane kontrahentów lub ich pracowników?
Zgodnie z prawem dane kontrahentów, z którymi zawarliśmy umowy podlegające wymogom prawa bankowego, publikujemy na stronie: https://www.mbank.pl/o-nas/informacje-wymagane-przepisami-prawa/.Dane kontrahentów i ich pracowników możemy przekazywać:
-
instytucjom, które sprawują nad nami nadzór (np. Komisji Nadzoru Finansowego, Urzędowi Ochrony Danych Osobowych);
- organom ścigania (np. policja, prokuratura);
- podmiotom, z którymi zawarliśmy umowy powierzenia przetwarzania danych osobowych.
-
-
-
9.
Zasady przekazywania danych poza Polskę
-
Dane osobowe możemy przekazywać wtedy, gdy są ku temu podstawy, podmiotom z Europejskiego Obszaru Gospodarczego (EOG). Tworzą go państwa Unii Europejskiej, Islandia, Norwegia i Liechtenstein. Do państwa trzeciego (spoza EOG) możemy przekazać dane osobowe, jeżeli gwarantuje ono przynajmniej taką ochronę danych, jaka obowiązuje w Polsce. W praktyce taką gwarancją jest to, że dane państwo zostało uznane przez Komisję Europejską za kraj, który zapewnia odpowiednią ochronę.
Możemy bez zgody urzędu nadzorującego ochronę danych osobowych w Polsce przekazywać dane osobowe do innych państw trzecich, gdy w umowach z podmiotami z tych państw zastosowaliśmy specjalne rozwiązania, takie jak standardowe klauzule ochrony danych osobowych zatwierdzone przez Komisję, przewidziane przez prawo lub zatwierdzone przez urząd nadzorujący ochronę danych osobowych w Polsce. Informacje na temat takich rozwiązań lub, w razie takiej możliwości, ich kopię, możesz uzyskać kontaktując się z nami.
-
-
10.
Inspektor Danych Osobowych w mBanku
-
Powołaliśmy Inspektora Danych Osobowych – Agatę Rowińską.
Kontakt z Inspektorem Danych Osobowych:- mailowo: inspektordanychosobowych@mbank.pl
- pocztą wysłaną na adres:
Inspektor Danych Osobowych
mBank S.A.
ul. Prosta 18, 00-850 Warszawa
-
-
11.
Jak można skarżyć się na ochronę swoich danych osobowych?
-
Jeśli osoba, której dane dotyczą, podejrzewa, że jej dane są przetwarzane niezgodnie z RODO, może wnieść skargę do Urzędu Ochrony Danych Osobowych w sposób wskazany na stronie internetowej www.uodo.gov.pl.
-
-
12.
Jak długo przetwarzamy dane?
-
Dane przetwarzamy przez czas, jaki jest niezbędny, aby osiągnąć cel przetwarzania, tj.:
- 6 miesięcy w sytuacji, gdy bank z jakichkolwiek przyczyn odmówi nadania uprawnień do wykonywania czynności zleconych umową zawartą z kontrahentem albo do zawarcia umowy z kontrahentem nie dojdzie;
- nie dłużej niż 6 lat po rozwiązaniu/zakończeniu umowy z kontrahentem (na wypadek sporu sądowego lub w związku z koniecznością wypełnienia obowiązku prawego);
- rok od końca roku, w którym nagrano rozmowę telefoniczną;
- 90 dni od dnia nagrania monitoringu wizyjnego.
Stosujemy zasadę ograniczenia przechowywania danych osobowych, która zabezpiecza dane przed ich przetwarzaniem przez nieograniczony okres. Gdy osiągniemy cel przetwarzania, usuwamy lub anonimizujemy dane. Wtedy ich odzyskanie jest niemożliwe.
Usuwamy lub anonimizujemy dane w szczególności, gdy:
- osoba, której dane dotyczą, cofnie zgodę na przetwarzanie danych osobowych (jeżeli to zgoda była podstawą przetwarzania);
- osoba, której dane dotyczą, skutecznie sprzeciwi się dalszemu przetwarzaniu (jeżeli podstawą przetwarzania był nasz uzasadniony interes);
- nastąpi przedawnienie ewentualnych roszczeń ( jeżeli przetwarzaliśmy dane, aby realizować umowę);
- upłyną terminy, które wynikają z innych przepisów (np. Ustawy o rachunkowości, Ustawy o podatku dochodowym od osób prawnych itp.).
-
-
13.
Przydatne dokumenty i informacje
-
- www.mbank.pl/rodo/
- strona Urzędu Ochrony Danych Osobowych: www.uodo.gov.pl
- tekst RODO: https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX%3A32016R0679
-
Kontakt
- osoby kontaktowe lub skrzynka mailowa wskazane w umowie współpracy: jeśli chcesz złożyć dyspozycję, która dotyczy Twoich danych osobowych
- Inspektor Danych Osobowych mBanku: napisz, jeśli Twoja sprawa dotyczy sposobu, w jaki przetwarzamy dane w mBanku (Inspektordanychosobowych@mbank.pl)
- Urząd Ochrony Danych Osobowych (UODO): jeśli chcesz wnieść skargę na to, jak przetwarzane są Twoje dane osobowe (uodo.gov.pl)