RODO - lepsza ochrona Twoich danych

RODO (Rozporządzenie o Ochronie Danych Osobowych) zaczniemy stosować od 25 maja 2018 r.

Pełna nazwa to: Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

Jaki jest cel RODO?

RODO wprowadza jednolite zasady przetwarzania danych osobowych w całej Unii Europejskiej.
W szczególności pozwala zadbać o bezpieczeństwo danych osobowych i chroni prawo do
prywatności.

Krótki słowniczek pojęć:

„Administrator” – to osoba lub podmiot, który (samodzielnie lub wspólnie z innymi administratorami) ustala, po co i jak będzie przetwarzać dane osobowe. Administratorem danych osobowych jest mBank S.A. z siedzibą w Warszawie (dalej: "bank").
„Dane osobowe” - to informacje, które identyfikują (lub pozwalają zidentyfikować) osobę fizyczną (zwaną też „osobą, której dane dotyczą”). Będą to w szczególności: imię i nazwisko, adres, numer telefonu, data urodzenia, NIP, PESEL, wynagrodzenie, obraz z monitoringu wizyjnego itp.
„Podmiot przetwarzający” – to osoba fizyczna lub podmiot, który przetwarza dane osobowe w imieniu administratora.

„Przetwarzanie danych osobowych” - to działania dotyczące danych osobowych. Mogą one odbywać się automatycznie lub ręcznie. O przetwarzaniu mówimy wtedy, gdy dane: zbieramy, utrwalamy, organizujemy, porządkujemy, przechowujemy, adaptujemy lub modyfikujemy, pobieramy, przeglądamy, wykorzystujemy, ujawniamy (np. przesyłając), rozpowszechniamy, udostępniamy, dopasowujemy lub łączymy, ograniczamy, usuwamy lub niszczymy.

Jak przebiega komunikacja między naszym bankiem a kontrahentami i ich pracownikami?

We wszystkich sprawach, w tym też w kwestiach danych osobowych, komunikujemy się z naszymi kontrahentami i ich pracownikami w sposób, który określiliśmy w umowie z kontrahentem lub przez stronę internetową banku.

Dane teleadresowe mBanku: 

Centrala i Zarząd mBanku S.A.

ul. Prosta 18, 00-850 Warszawa

Tel. (22) 829 00 00

www.mbank.pl

RODO formułuje 6 zasad przetwarzania danych osobowych. Nasz bank kieruje się nimi, gdy przetwarza dane osobowe. Są to:

• zasada zgodności z prawem, rzetelności i przejrzystości: przetwarzamy dane osobowe w sposób zgodny z przepisami prawa. O wszystkich kwestiach z tym związanych informujemy wyczerpująco ustalonymi kanałami komunikacji i jak najprostszym językiem. Chcemy, by osoby, których dane dotyczą, były świadome, że zbieramy, przechowujemy lub w inny sposób przetwarzamy ich określone dane osobowe;
• zasada minimalizacji i adekwatności danych: przetwarzamy tylko te dane, które są rzeczywiście potrzebne, by zrealizować dany cel;
• zasada prawidłowości danych: dokładamy najwyższej staranności, by dane, które przetwarzamy, były zgodne z prawdą, aktualne i dokładne. Dlatego możemy co jakiś czas prosić osoby, których dane przetwarzamy, o to, by sprawdziły i zaktualizowały swoje dane;
• zasada ograniczenia celu oraz przechowywania przetwarzanych danych: dane osobowe zbieramy jedynie w konkretnym, wyraźnym i prawnie uzasadnionym celu, którego nie moglibyśmy osiągnąć w inny sposób. Przechowujemy dane w formie, która umożliwia identyfikację osoby, której dane dotyczą. Przetwarzamy je tylko tak długo, jak jest to niezbędne, by zrealizować cel, dla którego je pozyskaliśmy (chyba, że do dalszego przetwarzania zobowiązują nas przepisy prawa);
• zasada integralności i poufności danych: zapewniamy takie rozwiązania informatyczne i organizacyjne, dzięki którym dane osobowe, które przetwarzamy, są bezpieczne. Chronimy dane przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem;
• zasada rozliczalności: jesteśmy w stanie wykazać (w sposób, jakiego wymaga od nas prawo), że w odniesieniu do danych osobowych działamy zgodnie z przepisami prawa, uwzględniamy ochronę danych w fazie projektowania oraz zapewniamy domyślną ochronę danych osobowych.

Jakie dane przetwarzamy i na jakiej podstawie?

Przetwarzamy ogólne i szczególne dane osobowe. Dane osobowe to wszelkie informacje, które identyfikują (lub pozwalają zidentyfikować) osobę, której dane dotyczą. Zbieramy dane osobowe, które przekazali nam kontrahenci lub ich pracownicy przy zawieraniu umowy, a także podczas współpracy.

Najczęściej przetwarzamy ogólne dane, takie jak:

• imię i nazwisko,
• inne dane identyfikacyjne: numer PESEL, adres korespondencyjny, e-mail, telefon;
• numer identyfikacyjny;
• dane o tym, gdzie kontrahent lub jego pracownik się znajduje (lokalizacja);
• identyfikator internetowy (adres IP);
• zawód i praca;
• numer identyfikacji podatkowej (NIP);
• numer REGON;
• numer i seria dowodu osobistego / paszportu, data wydania dowodu osobistego / paszportu,
  data ważności dowodu osobistego / paszportu kontrahenta lub jego pracownika;
• dane zawarte w rejestrach publicznych (takich jak np. KRS);
• informacje o pełnomocnictwach i uprawnieniach pracowników do reprezentacji kontrahenta;
• numery legitymacji i dokumentów potwierdzających dane uprawnienia,
• dane dotyczące prowadzonych z nami rozmów oraz głos utrwalany w ich trakcie.
  
  

Dane osobowe możemy przetwarzać, gdy:

• robimy to, aby zawrzeć i wykonywać umowy między nami a osobą, której dane dotyczą;
• realizujemy w ten sposób obowiązek prawny; na tej podstawie przetwarzamy dane po to, by przeciwdziałać nadużyciom i zapewniać bezpieczeństwo obrotu gospodarczego. Szczególne obowiązki nakładają na nas takie przepisy prawa, jak: Prawo bankowe; Ustawa o obrocie instrumentami finansowymi; Ustawa o rachunkowości; Ordynacja podatkowa;
• wymaga tego nasz (administratora) prawnie uzasadniony interes, czyli w sytuacjach, gdy:

1. zarządzamy umową zawartą pomiędzy kontrahentem lub jego pracownikami a nami, w tym na wypadek dochodzenia roszczeń;
2. weryfikujemy kompetencje kontrahenta lub jego pracowników;
3. kontrolujemy wykonanie umowy;
4. zarządzamy nadawaniem uprawnień do systemów IT banku.

Przetwarzamy dane osoby, której dane dotyczą, a które przekazują nam kontrahenci przed zawarciem umowy i podczas jej wykonywania. Osobami tymi są sami kontrahenci i ich pracownicy. Możemy również wykorzystywać dane, które przekazali nam inni administratorzy lub które pozyskaliśmy z ogólnie dostępnych baz danych (np. Centralnej Ewidencji i Informacji o Działalności Gospodarczej).

Nie profilujemy danych kontrahentów i ich pracowników.

Wszystkie informacje na temat ochrony danych osobowych są przez cały czas dostępne dla naszych kontrahentów i ich pracowników na naszej stronie www.mbank.pl/rodo. Chętnie odpowiadamy też na wszystkie pytania kontrahentów i ich pracowników. Przekazujemy indywidualne informacje w dwóch sytuacjach: gdy zbieramy dane lub zmieniamy cel ich przetwarzania.

Kiedy informujemy?

Jeżeli zbieramy dane bezpośrednio od osoby, której dane dotyczą, to przekazujemy taką informację w treści umowy. Gdy dane pochodzą z innego źródła, taką informację osobie, której dane dotyczą, przekazujemy w rozsądnym terminie, nie później jednak niż w ciągu miesiąca od pozyskania danych. Możemy to zrobić za pośrednictwem naszych kontrahentów. Nie robimy tego, gdy udzielenie informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku.

Jak informujemy?

• w klauzulach informacyjnych, które zamieszczamy w umowach lub przekazujemy wraz z umową;
• osobiście bądź telefonicznie, w trakcie rozmowy z przedstawicielem naszego banku;
• elektronicznie, w tym poprzez umieszczenie tej informacji na naszej stronie internetowej.

Prawo dostępu do danych

Osoba, której dane dotyczą, ma prawo dostać od nas informację o tym, czy przetwarzamy jej dane osobowe.

Osoba taka ma prawo wiedzieć:

• dlaczego przetwarzamy określone dane;
• jakie typy danych przetwarzamy;
• jakim odbiorcom lub kategoriom odbiorców ujawniliśmy (lub możemy ujawnić) dane – w szczególności dotyczy to odbiorców w państwach innych niż państwa Europejskiego Obszaru Gospodarczego lub organizacji międzynarodowych;
• jak długo planujemy (o ile można to określić) przetwarzać dane albo na podstawie jakich kryteriów ustalaliśmy ten okres.

Prawo do sprostowania danych

Kontrahent lub jego pracownik może żądać, byśmy niezwłocznie sprostowali jego nieprawidłowe dane osobowe lub uzupełnili niekompletne dane.

Prawo do usunięcia danych (prawo do bycia zapomnianym)

Osoba, której dane dotyczą, może żądać, byśmy usunęli jej dane, gdy:

• dane nie są już niezbędne, by zrealizować cel, dla którego je zebraliśmy,
• dane nie były przetwarzane zgodnie z RODO lub innymi przepisami prawa.

Uwzględnimy to żądanie, gdy – w naszej ocenie – nie będziemy mieć prawnie uzasadnionych podstaw, by kontynuować przetwarzanie. Jeżeli usuniemy dane osoby wnoszącej taką dyspozycję, mamy prawo zachować informację o tym, na czyj wniosek to zrobiliśmy. Żądanie uwzględnimy tak szybko, jak to będzie możliwe, biorąc pod uwagę okoliczności i techniczne możliwości.

Prawo do ograniczenia przetwarzania danych osobowych

Osoba, której dane dotyczą, może również żądać, byśmy ograniczyli przetwarzanie jej danych.

Prawo to dotyczy następujących sytuacji:

Mogą zdarzyć się sytuacje, gdy będziemy przetwarzać dane pomimo żądania osoby, której dane dotyczą, aby ograniczyć przetwarzanie jej danych. Dotyczy to w szczególności sytuacji, gdy ustalamy roszczenia, dochodzimy ich lub bronimy się przed nimi.

Prawo sprzeciwu wobec przetwarzania

Osoba, której dane dotyczą, może sprzeciwić się przetwarzaniu przez nas swoich danych osobowych, jeśli robimy to w oparciu o nasz prawnie uzasadniony interes. Osoba ta powinna każdorazowo wskazać nam, jaki konkretnie sprzeciw składa. Otrzymane sprzeciwy będziemy realizować tak szybko, jak to będzie technicznie możliwe.

O naruszeniu ochrony danych osobowych mówimy wtedy, gdy administrator przypadkowo lub niezgodnie z prawem zniszczy, utraci, zmodyfikuje, ujawni lub udostępni dane osobowe.

Kogo i kiedy poinformujemy, gdyby w naszym banku doszło do naruszenia?

Komu i w jakim celu możemy przekazywać dane kontrahentów lub ich pracowników?

Zgodnie z prawem dane kontrahentów, z którymi zawarliśmy umowy podlegające wymogom prawa bankowego, publikujemy na stronie: https://www.mbank.pl/o-nas/informacje-wymagane-przepisami-prawa/.

Dane kontrahentów i ich pracowników możemy przekazywać:

• instytucjom, które sprawują nad nami nadzór (np. Komisji Nadzoru Finansowego, Urzędowi Ochrony Danych Osobowych);
• organom ścigania (np. policja, prokuratura);
• podmiotom, z którymi zawarliśmy umowy powierzenia przetwarzania danych osobowych.

Dane osobowe możemy przekazywać wtedy, gdy są ku temu podstawy, podmiotom z Europejskiego Obszaru Gospodarczego (EOG). Tworzą go państwa Unii Europejskiej, Islandia, Norwegia i Liechtenstein. Do państwa trzeciego (spoza EOG) możemy przekazać dane osobowe, jeżeli gwarantuje ono przynajmniej taką ochronę danych, jaka obowiązuje w Polsce. W praktyce taką gwarancją jest to, że dane państwo zostało uznane przez Komisję Europejską za kraj, który zapewnia odpowiednią ochronę.

Możemy bez zgody urzędu nadzorującego ochronę danych osobowych w Polsce przekazywać dane osobowe do innych państw trzecich, gdy w umowach z podmiotami z tych państw zastosowaliśmy specjalne rozwiązania, takie jak standardowe klauzule ochrony danych osobowych zatwierdzone przez Komisję, przewidziane przez prawo lub zatwierdzone przez urząd nadzorujący ochronę danych osobowych w Polsce. Informacje na temat takich rozwiązań lub, w razie takiej możliwości, ich kopię, możesz uzyskać kontaktując się z nami.

Powołaliśmy Inspektora Danych Osobowych – Agatę Rowińską.

Kontakt z Inspektorem Danych Osobowych:

• mailowo: inspektordanychosobowych@mbank.pl
• pocztą wysłaną na adres:

Inspektor Danych Osobowych 
mBank S.A. 
ul. Prosta 18, 00-850 Warszawa

Jeśli osoba, której dane dotyczą, podejrzewa, że jej dane są przetwarzane niezgodnie z RODO, może wnieść skargę do Urzędu Ochrony Danych Osobowych w sposób wskazany na stronie internetowej www.uodo.gov.pl.

Dane przetwarzamy przez czas, jaki jest niezbędny, aby osiągnąć cel przetwarzania, tj.:

• 6 miesięcy w sytuacji, gdy bank z jakichkolwiek przyczyn odmówi nadania uprawnień do wykonywania czynności zleconych umową zawartą z kontrahentem albo do zawarcia umowy z kontrahentem nie dojdzie;
• nie dłużej niż 6 lat po rozwiązaniu/zakończeniu umowy z kontrahentem (na wypadek sporu sądowego lub w związku z koniecznością wypełnienia obowiązku prawego);
• rok od końca roku, w którym nagrano rozmowę telefoniczną;
• 90 dni od dnia nagrania monitoringu wizyjnego.

Stosujemy zasadę ograniczenia przechowywania danych osobowych, która zabezpiecza dane przed ich przetwarzaniem przez nieograniczony okres. Gdy osiągniemy cel przetwarzania, usuwamy lub anonimizujemy dane. Wtedy ich odzyskanie jest niemożliwe.

Usuwamy lub anonimizujemy dane w szczególności, gdy:

• osoba, której dane dotyczą, cofnie zgodę na przetwarzanie danych osobowych (jeżeli to zgoda była podstawą przetwarzania);
• osoba, której dane dotyczą, skutecznie sprzeciwi się dalszemu przetwarzaniu (jeżeli podstawą przetwarzania był nasz uzasadniony interes);
• nastąpi przedawnienie ewentualnych roszczeń ( jeżeli przetwarzaliśmy dane, aby realizować umowę);
• upłyną terminy, które wynikają z innych przepisów (np. Ustawy o rachunkowości, Ustawy o podatku dochodowym od osób prawnych itp.).

• www.mbank.pl/rodo/
• strona Urzędu Ochrony Danych Osobowych: www.uodo.gov.pl
• tekst RODO:  https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX%3A32016R0679