RODO
Szanowni Klienci,
od dnia 25 maja 2018 roku w Banku mają zastosowanie przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej zwanego RODO), którego najważniejszym celem jest wzmocnienie ochrony danych osobowych osób fizycznych, które są gromadzone oraz przetwarzane przez podmioty (firmy i instytucje) prowadzące działalność na terenie Unii Europejskiej.
Zapraszamy do zapoznania się z komunikatem przygotowanym dla Klientów, który zmieszczony został poniżej:
Poniżej zamieszczone zostały również dodatkowe informacje dotyczące procesu ochrony danych osobowych w Banku. Zapraszamy do zapoznania się z nimi.
Co to jest RODO i od kiedy obowiązuje?
RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Powyższe Rozporządzenie ma zastosowanie od dnia 25 maja 2018 roku.
Najważniejszym celem w/w Rozporządzenia jest ochrona podstawowych praw i wolności osób fizycznych, w szczególności prawa do ochrony danych osobowych.
Przepisy RODO znajdą swoje odzwierciedlenie również w polskiej ustawie o ochronie danych osobowych, która została uchwalona przez Sejm w dniu 10 maja 2018 roku, a teraz przechodzi dalszy proces legislacyjny.
Kim jest Administrator?
Zgodnie z przepisami RODO Administrator to osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.
Administratorem Państwa danych osobowych jest Pałucki Bank Spółdzielczy w Wągrowcu, z siedzibą w Wągrowcu (62-100) przy ulicy Kolejowej 19, telefon: 67 268 54 99, adres e-mail: bank@paluckibs.pl
Kto to jest Inspektor Ochrony Danych?
Do dnia 24 maja 2018 roku w Banku funkcjonuje Administrator Bezpieczeństwa Informacji, czyli osoba wyznaczona przez Zarząd i zgłoszona do GIODO, która bierze czynny udział w procesie ochrony danych osobowych, koordynuje działania w tym obszarze oraz czuwa nad bezpieczeństwem danych osobowych.
Od dnia 25 maja 2018 roku w Banku funkcjonował będzie Inspektor Ochrony Danych, z którym będzie można kontaktować się pod numerem telefonu: 67 268 54 99, na adres e-mail: iod@paluckibs.pl bądź listownie kierując korespondencję na adres: Inspektor Ochrony Danych, Pałucki Bank Spółdzielczy w Wągrowcu, ul. Kolejowa 19, 62-100 Wągrowiec.
Inspektor Ochrony Danych – Joanna Michalska-Kusz
Co to są dane osobowe?
Dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (osobie, której dane dotyczą; możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Bank przetwarza Państwa dane osobowe (np. imię i nazwisko, datę urodzenia, miejsce urodzenia, adres zamieszkania, numer telefonu, numer PESEL) w celach obsługi posiadanych produktów i świadczonych usług. Zakres przetwarzanych danych osobowych może być różny w zależności od posiadanego produktu lub usługi, z których Państwo korzystacie.
Co oznacza przetwarzanie danych osobowych?
Przetwarzanie danych osobowych oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takich jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Bank przetwarza Państwa dane osobowe tj. zbiera, utrwala, przechowuje, wykorzystuje, udostępnia, usuwa lub niszczy. Bank udostępnia Państwa dane osobowe odbiorcom danych, którymi mogą być np. podmioty oraz organy uprawnione na podstawie powszechnie obowiązujących przepisów prawa np. inne banki, sądy, prokuratura, Biuro Informacji Kredytowej S.A.
Co to jest zgoda na przetwarzanie danych osobowych?
Zgoda osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.
Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody musi być równie łatwe, jak jej wyrażenie. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania danych, które było dokonywane na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi stosowną zgodę.
Bank może przetwarzać Państwa dane osobowe nie tylko na podstawie zgody, ale również w związku z zawartą umową o produkt bankowy lub świadczoną usługę, gdy wypełnia obowiązki wynikające z przepisów powszechnie obowiązującego prawa lub gdy jest to niezbędne dla realizacji prawnie uzasadnionych interesów Banku.
Jakie są podstawy prawne przetwarzania danych przez Bank?
RODO wskazuje bezpośrednio warunki, w których przetwarzanie danych jest zgodne z prawem. W praktyce realizowany w Banku proces przetwarzania danych osobowych musi opierać się na co najmniej jednej podstawie prawnej:
- osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
- przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
- przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
- przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
- przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
- przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Jakie są prawa osób, których dane dotyczą?
W związku z przetwarzaniem przez Bank danych osobowych, osobom, których dane dotyczą przysługują następujące prawa:
- prawo dostępu do treści danych – na podstawie art. 15 Rozporządzenia – osoba, której dane dotyczą ma prawo do otrzymania informacji m.in. czy Bank przetwarza jej dane, jakie dane przetwarza, w jakich celach są one przetwarzane, jaki jest planowany okres przechowywania oraz ma prawo uzyskania ich kopii;
- prawo do sprostowania danych – na podstawie art. 16 Rozporządzenia – osoba, której dane dotyczą może zwrócić się do Banku z prośbą o sprostowanie nieprawidłowych danych czy uzupełnienie niekompletnych danych osobowych;
- prawo do usunięcia danych – na podstawie art. 17 Rozporządzenia – tzw. prawo do bycia zapomnianym – osoba, której dane dotyczą może wskazać zakres i okoliczności uzasadniające wnioskowane usunięcie danych np. dane nie są już niezbędne do realizacji celów, dla których zostały zebrane, a nie występują podstawy prawne do dalszego przetwarzania danych, osoba cofnęła zgodę i nie ma innej podstawy prawnej przetwarzania, dane są przetwarzane niezgodnie z prawem;
- prawo do ograniczenia przetwarzania danych – na podstawie art. 18 Rozporządzenia – osoba, której dane dotyczą wskazuje, że wystąpiły przesłanki określone w art. 18 RODO dla ograniczenia przetwarzania jej danych osobowych i ma prawo żądania ograniczenia przetwarzania; wnioski o ograniczenie przetwarzania danych osobowych będą rozpatrywane indywidualnie pod względem występujących podstaw prawnych dla przetwarzania danych, celu oraz zakresu ich przetwarzania;
- prawo do przenoszenia danych – na podstawie art. 20 Rozporządzenia – osoba, której dane dotyczą ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła Bankowi; wniosek o przeniesienie danych może złożyć w Banku osoba, której dane dotyczą, informacje przesyłane będą w formie pliku do innego wskazanego administratora lub przekazywane osobie, której dane dotyczą, na zabezpieczonej hasłem płycie CD;
- prawo do wniesienia sprzeciwu wobec przetwarzania danych – na podstawie art. 21 Rozporządzenia – osoba, której dane dotyczą ma prawo do wniesienia w dowolnym momencie sprzeciwu wobec przetwarzania danych w zakresie, w jakim podstawą przetwarzania danych osobowych jest przesłanka prawnie uzasadnionego interesu Banku, sprzeciwu wobec przetwarzania danych na potrzeby promocji i marketingu działalności prowadzonej przez Bank, w tym profilowania, w zakresie, w jakim przetwarzanie jest związane z promocją i marketingiem działalności prowadzonej przez Bank.
Co oznacza zautomatyzowane podejmowanie decyzji, w tym profilowanie?
Profilowanie należy rozumieć jako dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych cech osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
W zakresie niezbędnym do zawarcia i wykonania umowy z Bankiem bądź wypełnienia obowiązków prawnych ciążących na Banku, dane osobowe osoby, której dane dotyczą mogą być przetwarzane w sposób zautomatyzowany, co może się wiązać ze zautomatyzowanym podjęciem decyzji, w tym profilowaniem.
Tego rodzaju przypadki wystąpią w następujących sytuacjach:
- dokonywania oceny ryzyka prania pieniędzy oraz finansowania terroryzmu; ocena dokonywana jest na podstawie danych zadeklarowanych w dokumentach przedstawionych przy złożeniu dyspozycji lub zlecenia przeprowadzenia transakcji albo przy zawieraniu umowy w oparciu o ustalone kryteria (rodzaju klienta, obszaru geograficznego, przeznaczenia rachunku, rodzaju produktów, usług i sposobów ich dystrybucji, poziomu wartości majątkowych deponowanych przez klienta lub wartości przeprowadzonych transakcji, celu, regularności lub czasu trwania stosunków gospodarczych); konsekwencją dokonania oceny może być automatyczne zakwalifikowanie do grupy ryzyka, gdzie kwalifikacja do grupy nieakceptowanego ryzyka może skutkować blokadą i nienawiązaniem relacji; skutkiem ewentualnego stwierdzenia uzasadnionych podejrzeń prania pieniędzy lub finansowania terroryzmu jest zgłoszenie takiej transakcji do odpowiednich organów państwowych lub możliwość wypowiedzenia umowy,
- w celach marketingu i promocji działalności prowadzonej przez Bank – dane osobowe (m. in. dane demograficzne, historia transakcji dokonywanych na rachunku z uwzględnieniem transakcji wykonywanych kartą płatniczą) mogą być wykorzystane do profilowania w celu skierowania spersonalizowanej oferty (bez negatywnych skutków w przypadku nieskorzystania z tej oferty),
- w uzasadnionych przypadkach możliwe jest podjęcie wobec osoby, której dane dotyczą zautomatyzowanej decyzji o odmowie wykonania transakcji płatniczej w przypadku podejrzenia, iż została zainicjowana przez osobę nieuprawnioną; identyfikacja takich przypadków odbywa się na podstawie profilowania ustalonego według kryteriów związanych z cechami transakcji, w tym kwoty transakcji, miejsca inicjowania transakcji, sposobu jej autoryzowania.
Co to jest organ nadzorczy w obszarze ochrony danych osobowych?
Organ nadzorczy oznacza niezależny organ publiczny ustanowiony przez państwo członkowskie w celu ochrony podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem danych.
Aktualnie organem tym jest Generalny Inspektor Ochrony Danych Osobowych. W zmienionej ustawie o ochronie danych osobowych organem nadzorczym będzie Prezes Urzędu Ochrony Danych Osobowych.
Jak Bank będzie realizował prawa osób, których dane dotyczą?
W celu realizacji swoich praw w obszarze ochrony danych osobowych mogą Państwo zgłosić się do Oddziałów Banku lub pozostałych placówek Banku, a także wysłać stosowny wniosek na adres siedziby Banku listownie lub drogą elektroniczną.
Bank udzieli Państwu informacji na piśmie – korespondencja zostanie wysłana przy pomocy operatora pocztowego lub będzie można ją odebrać w placówce Banku po wcześniejszym powiadomieniu (telefon, e-mail lub sms). W przypadku Klientów korzystających z usługi Internet Bankingu Bank udzieli informacji w formie elektronicznej.
W jakim terminie Bank udzieli informacji na temat praw osób, których dane dotyczą?
Bank bez zbędnej zwłoki, najpóźniej w terminie jednego miesiąca od dnia wpłynięcia wniosku, udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z realizacją przysługujących jej praw.
W razie potrzeby termin jednego miesiąca może zostać przedłużony o kolejne dwa miesiące, z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie jednego miesiąca od otrzymania żądania, Bank informuje osobę, której dane dotyczą, o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia.
Czy Bank udostępnia dane osobowe?
Państwa dane osobowe są przeznaczone dla Banku oraz mogą być przekazane następującym odbiorcom:
- podmiotom i organom, którym Bank jest zobowiązany lub upoważniony udostępnić dane osobowe na podstawie powszechnie obowiązujących przepisów prawa, w tym podmiotom lub organom uprawnionym do otrzymania od Banku danych osobowych lub uprawnionych do żądania dostępu do danych osobowych na podstawie powszechnie obowiązujących przepisów prawa (np. Biuro Informacji Kredytowej S.A. z siedzibą w Warszawie, Związek Banków Polskich z siedzibą w Warszawie, Narodowy Bank Polski, Komisja Nadzoru Finansowego, Spółdzielczy System Ochrony),
- podmiotom uczestniczącym w procesach niezbędnych do wykonywania zawartych z osobą, której dane dotyczą umów, w tym Krajowej Izbie Rozliczeniowej S.A., VISA, Mastercard, First Data Polska S.A.,
- biurom informacji gospodarczej, działającym na podstawie przepisów ustawy o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych, na podstawie przepisów tej ustawy (np. Krajowy Rejestr Długów S.A. z siedzibą we Wrocławiu, Biuro Informacji Gospodarczej InfoMonitor S.A. z siedzibą w Warszawie),
- podmiotom przetwarzającym dane osobowe osoby, której dane dotyczą w imieniu Banku na podstawie zawartej z Bankiem umowy powierzenia przetwarzania danych osobowych,
- podmiotom wspierającym Bank w procesach biznesowych i w czynnościach bankowych.
Czy Bank przekazuje dane osobowe do państwa trzeciego?
Przez państwo trzecie rozumie się państwo, które nie należy do Europejskiego Obszaru Gospodarczego (EOG). Oznacza to, że przepływ danych w obrębie EOG jest traktowany tak samo, jak transfer danych na terytorium Polski. Zasada ta dotyczy wszystkich państw członkowskich Unii Europejskiej oraz tych państw członkowskich EOG, które nie są członkami UE (Lichtenstein, Norwegia, Islandia).
Bank w przypadkach uzasadnionych i koniecznych w celu wykonania umowy (np. realizacji dyspozycji związanych z umową), a także w przypadkach, gdy transfer danych osobowych jest konieczny, przekaże Państwa dane osobowe do organizacji międzynarodowych (np. SWIFT) lub udostępni dane osobowe podmiotom mającym siedzibę poza Europejskim Obszarem Gospodarczym.
Jak długo Bank przetwarza dane osobowe?
Państwa dane osobowe są przetwarzane dla celów wynikających z powszechnie obowiązujących przepisów prawa również po ustaniu umowy łączącej Państwa z Bankiem.
Bardziej szczegółowe informacje dotyczące okresów przetwarzania danych osobowych przez Bank podane zostały w Komunikacie zamieszczonym powyżej.
Czy Bank chroni dane osobowe?
Bank przetwarza dane osobowe z wykorzystaniem odpowiednich środków technicznych i organizacyjnych niezbędnych do zapewnienia ich bezpieczeństwa.
Bank należycie zabezpiecza dane osobowe oraz wszelkie informacje stanowiące tajemnicę bankową przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, utratą oraz zmianą, uszkodzeniem lub zniszczeniem, zgodnie z obowiązującymi przepisami prawa oraz rekomendacjami nadzorczymi.
Pracownicy Banku odbywają systematyczne szkolenia z zakresu ochrony danych osobowych, bezpieczeństwa informacji i ochrony tajemnicy bankowej.