Prawa kontrahentów i ich pracowników, które wynikają z RODO

 

Sprostowanie i uzupełnienie danych

Jeśli Twoje dane są nieaktualne, możesz w każdej chwili je zmienić lub uzupełnić.

Dostęp do danych

Udostępnimy Ci dane, które nam dostarczyłeś. Otrzymasz także informację w jakich celach oraz jak długo planujemy je przetwarzać.

Sprzeciw wobec przetwarzania danych

Możesz sprzeciwić się temu, że przetwarzamy Twoje dane na podstawie uzasadnionego interesu. Poprosimy Cię wówczas, abyś wskazał konkretny cel przetwarzania, któremu się sprzeciwiasz.

Usunięcie danych (prawo do bycia zapomnianym)

Możemy na Twoją prośbę usunąć Twoje dane. Zrobimy to, gdy nie będziemy mieć prawnie uzasadnionych podstaw, by kontynuować przetwarzanie.

Ograniczenie przetwarzania

Możesz wnioskować o to w określonych prawem sytuacjach. Może zdarzyć się, że pomimo Twojego żądania nadal będziemy przetwarzać Twoje dane - dotyczy to w szczególności sytuacji, gdy ustalamy, dochodzimy lub bronimy się przed roszczeniami.

Pakiet RODO dla kontrahentów i ich pracowników

  • 1.  

    RODO – ogólne informacje

    • RODO (Rozporządzenie o Ochronie Danych Osobowych) zaczniemy stosować od 25 maja 2018 r.

       

      Pełna nazwa to: Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

       

      Jaki jest cel RODO?

       

      RODO wprowadza i ujednolica zasady przetwarzania danych osobowych na terenie całej Unii Europejskiej. W szczególności dba o bezpieczeństwo danych osobowych i chroni prawo do prywatności.

       

       

      Krótki słowniczek pojęć:


      „Administrator” – to osoba lub podmiot, który (samodzielnie lub wspólnie z innymi administratorami) ustala, po co i jak będzie przetwarzać dane osobowe. Administratorem danych osobowych jest mBank S.A. z siedzibą w Warszawie.
      „Dane osobowe” - to informacje, które identyfikują (lub pozwalają zidentyfikować) osobę fizyczną (zwaną też „osobą, której dane dotyczą”). Będą to w szczególności: imię i nazwisko, numer klienta (ID klienta), adres, numer telefonu, data urodzenia, historia kredytowa, numer konta bankowego, NIP, PESEL, informacje o rodzinie, imiona dzieci, wynagrodzenie, obraz z monitoringu wizyjnego itp.
      „Podmiot przetwarzający” – to osoba fizyczna lub podmiot, który przetwarza dane osobowe w imieniu administratora.

      „Profilowanie” - to sposób zautomatyzowanego przetwarzania danych osobowych, które wykorzystuje dane osobowe po to, aby ocenić, czy klient posiada pewne cechy.

      „Przetwarzanie danych osobowych” - to działania dotyczące danych osobowych. Mogą one odbywać się automatycznie lub ręcznie. O przetwarzaniu mówimy wtedy, gdy dane: zbieramy, utrwalamy, organizujemy, porządkujemy, przechowujemy, adaptujemy lub modyfikujemy, pobieramy, przeglądamy, wykorzystujemy, ujawniamy (np. przesyłając), rozpowszechniamy, udostępniamy, dopasowujemy lub łączymy, ograniczamy, usuwamy lub niszczymy.

       

       

      Jak przebiega komunikacja między naszym bankiem a klientami?

       

      We wszystkich sprawach, w tym też w kwestiach danych osobowych, komunikujemy się z naszymi kontrahentami i ich pracownikami w sposób, który określiliśmy w umowie z kontrahentem lub przez stronę internetową banku.

       

      Dane teleadresowe mBanku: 

      Centrala i Zarząd mBanku:

      ul. Senatorska 18, 00-950 Warszawa,skr. poczt. 21

      Tel. (22) 829 00 00

      Adres strony internetowej: www.mbank.pl

       

  • 2.  

    Podstawowe zasady RODO

    • RODO formułuje 6 zasad przetwarzania danych osobowych, którymi kieruje się nasz bank, gdy przetwarzamy dane osobowe. Są nimi:

      • zasada zgodności z prawem, rzetelności i przejrzystości: przetwarzamy dane osobowe w sposób zgodny z przepisami prawa. O wszystkich kwestiach z tym związanych informujemy wyczerpująco ustalonymi kanałami komunikacji i jak najprostszym językiem, by osoby, których dane dotyczą, były świadome, że zbieramy, przechowujemy lub w inny sposób przetwarzamy ich określone dane osobowe;
      • zasada minimalizacji i adekwatności danych: przetwarzamy tylko te dane (adekwatne, stosowne), które są rzeczywiście potrzebne, by zrealizować dany cel;
      • zasada prawidłowości danych: dokładamy najwyższej staranności, by dane, które przetwarzamy, były zgodne z prawdą, aktualne i dokładne. Dlatego możemy co jakiś czas prosić osoby, których dane przetwarzamy, o to, by sprawdziły i zaktualizowały swoje dane. Prosimy ich też o to, by klienci informowali nas o wszelkich zmianach swoich danych osobowych (imię i nazwisko, adres itp.);
      • zasada ograniczenia celu oraz przechowywania przetwarzanych danych: dane osobowe zbieramy jedynie w konkretnym, wyraźnym i prawnie uzasadnionym celu, którego nie moglibyśmy osiągnąć w inny sposób. Przechowujemy dane w formie, która umożliwia identyfikację osoby, której dane dotyczą. Przetwarzamy je tylko tak długo, jak jest to niezbędne, by zrealizować cel, dla którego je pozyskaliśmy (chyba, że do dalszego przetwarzania zobowiązują nas przepisy prawa);
      • zasada integralności i poufności danych: zapewniamy takie rozwiązania informatyczne i organizacyjne, dzięki którym dane osobowe, które przetwarzamy, są bezpieczne. Chronimy dane przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem;
      • zasada rozliczalności: jesteśmy w stanie wykazać (w sposób, jakiego wymaga od nas prawo), że w odniesieniu do danych osobowych działamy zgodnie z przepisami prawa, uwzględniamy ochronę danych w fazie projektowania (np. nowego produktu) oraz zapewniamy domyślną ochronę danych osobowych.
  • 3.  

    Jak przetwarzamy dane osobowe - podstawowe informacje

    • Jakie dane przetwarzamy i na jakiej podstawie?

      Przetwarzamy ogólne i szczególne dane osobowe. Dane osobowe to wszelkie informacje, które identyfikują (lub pozwalają zidentyfikować) osobę, której dane dotyczą. Najczęściej przetwarzamy ogólne dane takie, jak:

      • imię i nazwisko,
      • inne dane identyfikacyjne: numer PESEL, adres korespondencyjny, e-mail, telefon;
      • numer identyfikacyjny;
      • dane o tym, gdzie kontrahent lub jego pracownik się znajduje (lokalizacja);
      • identyfikator internetowy (adres IP);
      • zawód i praca;
      • numer identyfikacji podatkowej (NIP);
      • numer REGON;
      • numer i seria dowodu osobistego / paszportu, data wydania dowodu osobistego / paszportu,
        data ważności dowodu osobistego / paszportu kontrahenta lub jego pracownika;
      • dane zawarte w rejestrach publicznych (takich jak np. KRS);
      • informacje o pełnomocnictwach i uprawnieniach pracowników do reprezentacji kontrahenta;
      • numery legitymacji i dokumentów potwierdzających dane uprawnienia.


      Dane osobowe możemy przetwarzać, gdy:

      • robimy to, aby zawrzeć i wykonywać umowy między nami a osobą, której dane dotyczą;
      • realizujemy w ten sposób obowiązek prawny; na tej podstawie przetwarzamy dane po to,
        by przeciwdziałać nadużyciom i zapewniać bezpieczeństwo obrotu gospodarczego.
        Szczególne obowiązki nakładają na nas takie przepisy prawa, jak: Prawo bankowe i Ustawa
        o obrocie instrumentami finansowymi;
      • wymaga tego nasz (administratora) prawnie uzasadniony interes, czyli w sytuacjach, gdy:
      1. zarządzamy umową zawartą pomiędzy kontrahentem lub jego pracownikami a nami,
        w tym na wypadek dochodzenia roszczeń;
      2. weryfikujemy kompetencje kontrahenta lub jego pracowników;
      3. kontrolujemy wykonanie umowy;
      4. zarządzamy nadawaniem uprawnień do systemów IT banku.
  • 4.  

    Skąd mamy dane, które przetwarzamy?

    • Przetwarzamy dane osoby, której dane dotyczą, a które przekazują nam kontrahenci przed zawarciem umowy i podczas jej wykonywania. Osobami tymi są sami kontrahenci i ich pracownicy. Możemy również wykorzystywać dane, które przekazali nam inni administratorzy lub które pozyskaliśmy z ogólnie dostępnych baz danych (np. Centralnej Ewidencji i Informacji o Działalności Gospodarczej).

  • 5.  

    Profilowanie danych

    • Nie profilujemy danych kontrahentów i ich pracowników.

  • 6.  

    Obowiązki informacyjne wobec klientów (osób, których dane dotyczą)

    • Wszystkie informacje na temat ochrony danych osobowych są przez cały czas dostępne dla naszych kontrahentów i ich pracowników na naszej stronie www.mbank.pl/rodo. Chętnie odpowiadamy też na wszystkie pytania kontrahentów i ich pracowników. Przekazujemy indywidualne informacje w dwóch sytuacjach: gdy zbieramy dane lub zmieniamy cel ich przetwarzania.



      Kiedy informujemy?

      Jeżeli zbieramy dane bezpośrednio od osoby, której dane dotyczą, to przekazujemy taką informację w treści umowy. Gdy dane pochodzą z innego źródła, taką informację osobie, której dane dotyczą, przekazujemy w rozsądnym terminie, nie później jednak niż w ciągu miesiąca od pozyskania danych. Możemy to zrobić za pośrednictwem naszych kontrahentów. Nie robimy tego, gdy udzielenie informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku.

       


      Jak informujemy?


      Informacje te możemy przekazywać:

      • w klauzulach informacyjnych, które zamieszczamy w umowach lub przekazujemy wraz
        z umową;
      • osobiście bądź telefonicznie, w trakcie rozmowy z przedstawicielem naszego banku;
      • elektronicznie, w tym poprzez umieszczenie tej informacji na naszej stronie internetowej.
  • 7.  

    Jakie uprawnienia mają osoby, których dane dotyczą i jak je realizujemy?

    • Prawo dostępu do danych

      Osoba, której dane dotyczą, ma prawo dostać od nas informację o tym, czy przetwarzamy jej dane osobowe.

       

      Osoba taka ma prawo wiedzieć:

      • dlaczego przetwarzamy określone dane;
      • jakie typy danych przetwarzamy;
      • jakim odbiorcom lub kategoriom odbiorców ujawniliśmy (lub możemy ujawnić) dane – w szczególności dotyczy to odbiorców w państwach innych niż państwa Europejskiego Obszaru Gospodarczego lub organizacji międzynarodowych;
      • jak długo planujemy (o ile można to określić) przetwarzać dane albo na podstawie jakich kryteriów ustalaliśmy ten okres.



      Prawo do sprostowania danych

      Kontrahent lub jego pracownik może żądać, byśmy niezwłocznie sprostowali jego nieprawidłowe dane osobowe lub uzupełnili niekompletne dane.

       


      Prawo do usunięcia danych (prawo do bycia zapomnianym)

      Osoba, której dane dotyczą, może żądać, byśmy usunęli jej dane, gdy:

      • dane nie są już niezbędne, by zrealizować cel, dla którego je zebraliśmy,
      • dane nie były przetwarzane zgodnie z RODO lub innymi przepisami prawa.

       

      Uwzględnimy to żądanie, gdy – w naszej ocenie – nie będziemy mieć prawnie uzasadnionych podstaw, by kontynuować przetwarzanie. Jeżeli usuniemy dane osoby wnoszącej taką dyspozycję, mamy prawo zachować informację o tym, na czyj wniosek to zrobiliśmy. Żądanie uwzględnimy tak szybko, jak to będzie możliwe, biorąc pod uwagę okoliczności i techniczne możliwości.


      Prawo do ograniczenia przetwarzania danych osobowych

      Osoba, której dane dotyczą, może również żądać, byśmy ograniczyli przetwarzanie jej danych.

      Prawo to dotyczy następujących sytuacji:

       

      Sytuacja Nasze działanie
      Osoba, której dane dotyczą, wskaże, że dane, które przetwarzamy, nie są prawidłowe. Sprawdzimy, czy dane są prawidłowe, i zaproponujemy ich korektę.
      Osoba, której dane dotyczą, uważa, że przetwarzamy dane niezgodnie z prawem, i żąda, abyśmy ograniczyli ich wykorzystanie (ale sprzeciwia się usunięciu). Nie potrzebujemy już danych osobowych, by osiągnąć zamierzony cel, ale osoba, której dane dotyczą, sprzeciwia się, byśmy usunęli jej dane, gdyż potrzebuje ich, aby dochodzić lub bronić swoich roszczeń. Ograniczymy przetwarzanie takich danych, oznaczymy właściwe dane i nie usuniemy ich do czasu, gdy osoba odwoła swoje żądanie ograniczenia.
      Osoba, której dane dotyczą, chce złożyć sprzeciw z przyczyn związanych z jej szczególną sytuacją (gdy przetwarzamy dane na podstawie naszego uzasadnionego interesu). Przenalizujemy sytuację i zaproponujemy kontrahentowi albo jego pracownikowi, aby wskazał określony cel, któremu się sprzeciwia.

       

      Prawo do ograniczenia przetwarzania danych osobowych Osoba, której dane dotyczą, może również żądać, byśmy ograniczyli przetwarzanie jej danych. Prawo to dotyczy następujących sytuacji:Mogą zdarzyć się sytuacje, gdy będziemy przetwarzać dane pomimo żądania osoby, której dane dotyczą, aby ograniczyć przetwarzanie jej danych. Dotyczy to w szczególności sytuacji, gdy ustalamy roszczenia, dochodzimy ich lub bronimy się przed nimi.



      Prawo sprzeciwu wobec przetwarzania

      Osoba, której dane dotyczą, może sprzeciwić się przetwarzaniu przez nas swoich danych osobowych, jeśli robimy to w oparciu o nasz prawnie uzasadniony interes. Osoba ta powinna każdorazowo wskazać nam, jaki konkretnie sprzeciw składa. Otrzymane sprzeciwy będziemy realizować tak szybko, jak to będzie technicznie możliwe.

  • 8.  

    Zasady postępowania przy naruszeniach ochrony danych

    • O naruszeniu ochrony danych osobowych mówimy wtedy, gdy administrator przypadkowo lub niezgodnie z prawem zniszczy, utraci, zmodyfikuje, ujawni lub udostępni dane osobowe.

       

      Kogo i kiedy poinformujemy, gdyby w naszym banku doszło do naruszenia?

       

      Osobę, której dane dotyczą

      jeśli ryzyko naruszenia praw i wolności oszacowaliśmy jako wysokie;

      Niezwłocznie (gdyby przekazanie bezpośredniej informacji było bardzo trudne, wydamy publiczny komunikat).

      Organ nadzorczy

      jeśli ocenimy, że mogło – z prawdopodobieństwem większym niż niskie – dojść do naruszenia praw lub wolności osób fizycznych;

      Niezwłocznie, w miarę możliwości technicznych, nie później niż w terminie 72 godzin.

       

       

      Komu i w jakim celu możemy przekazywać dane klientów?

      Zgodnie z prawem dane kontrahentów, z którymi zawarliśmy umowy podlegające wymogom prawa bankowego, publikujemy na stronie: https://www.mbank.pl/o-nas/informacje-wymagane-przepisami-prawa/.

      Dane kontrahentów i ich pracowników możemy przekazywać:

      • instytucjom, które sprawują nad nami nadzór (np. Komisji Nadzoru Finansowego, Urzędowi Ochrony Danych Osobowych);
      • organom ścigania (np. policja, prokuratura);
      • podmiotom, z którymi zawarliśmy umowy powierzenia przetwarzania danych osobowych.

       

  • 9.  

    Zasady przekazywania danych poza Polskę

    • Jeśli są ku temu podstawy, dane osobowe możemy przekazywać podmiotom z Europejskiego Obszaru Gospodarczego (EOG). Tworzą go państwa Unii Europejskiej, Islandia, Norwegia i Liechtenstein. Do państwa trzeciego (spoza EOG) możemy przekazać dane osobowe, jeżeli gwarantuje ono przynajmniej taką ochronę danych, jaka obowiązuje w Polsce. W praktyce taką gwarancją jest to, że dane państwo zostało uznane przez Komisję Europejską za kraj, który zapewnia odpowiednią ochronę.

       

      Możemy bez zgody Prezesa Urzędu Ochrony Danych Osobowych przekazywać dane osobowe do innych państw trzecich, gdy w umowach z podmiotami z tych państw zastosowaliśmy specjalne rozwiązania, przewidziane przez prawo lub zatwierdzone przez urząd nadzorujący ochronę danych osobowych w Polsce.

  • 10.  

    Inspektor Danych Osobowych w mBanku

    • Powołaliśmy Inspektora Danych Osobowych – Agatę Rowińską, który odpowiada za przestrzeganie przepisów ochronie danych w naszym banku.

      Kontakt z Inspektorem Ochrony Danych Osobowych:

      • mailowo: inspektordanychosobowych@mbank.pl
      • pocztą wysłaną na adres:

      Inspektor Ochrony Danych Osobowych 
      mBank S.A. 
      ul. Senatorska 18, 00-950 Warszawa

  • 11.  

    Jak można skarżyć się na ochronę swoich danych osobowych?

    • Jeśli osoba, której dane dotyczą, podejrzewa, że jej dane są przetwarzane niezgodnie z RODO, może wnieść skargę do Urzędu Ochrony Danych Osobowych w sposób wskazany na stronie internetowej www.uodo.gov.pl.

  • 12.  

    Jak długo przetwarzamy dane?

    • Dane przetwarzamy przez czas, jaki jest niezbędny, aby osiągnąć cel przetwarzania, tj.:

      • 6 miesięcy w sytuacji, gdy bank z jakichkolwiek przyczyn odmówi nadania uprawnień do wykonywania czynności zleconych umową zawartą z kontrahentem albo do zawarcia umowy z kontrahentem nie dojdzie;
      • nie dłużej niż 6 lat po rozwiązaniu/zakończeniu umowy z kontrahentem (na wypadek sporu sądowego).

       

      Stosujemy zasadę ograniczenia przechowywania danych osobowych, która zabezpiecza dane przed ich przetwarzaniem przez nieograniczony okres. Gdy osiągniemy cel przetwarzania, usuwamy lub anonimizujemy dane. Wtedy ich odzyskanie jest niemożliwe.

      Usuwamy lub anonimizujemy dane w szczególności, gdy:

      • osoba, której dane dotyczą, cofnie zgodę na przetwarzanie danych osobowych (jeżeli to zgoda była podstawą przetwarzania);
      • osoba, której dane dotyczą, skutecznie sprzeciwi się dalszemu przetwarzaniu (jeżeli podstawą przetwarzania był nasz uzasadniony interes);
      • nastąpi przedawnienie ewentualnych roszczeń ( jeżeli przetwarzaliśmy dane, aby realizować umowę);
      • upłyną terminy, które wynikają z innych przepisów (np. Ustawy o rachunkowości, Ustawy o podatku dochodowym od osób prawnych itp.).

Kontakt

  • osoby kontaktowe lub skrzynka mailowa wskazane w umowie współpracy: jeśli chcesz złożyć dyspozycję, która dotyczy Twoich danych osobowych
  • Inspektor Danych Osobowych mBanku: napisz, jeśli Twoja sprawa dotyczy sposobu, w jaki przetwarzamy dane w mBanku (Inspektordanychosobowych@mbank.pl)
  • Urząd Ochrony Danych Osobowych (UODO): jeśli chcesz wnieść skargę na to, jak przetwarzane są Twoje dane osobowe (uodo.gov.pl)