RODO to nowe zasady ochrony danych osobowych. Wynikają one z unijnego „Ogólnego Rozporządzenia o Ochronie Danych”. RODO ma zastosowanie od 25 maja 2018 r. Możesz spotkać się także z angielskim skrótem rozporządzenia – GDPR.

RODO powstało po to, by zapewnić wszystkim mieszkańcom Unii równie wysoką i skuteczną ochronę ich danych osobowych. Dlatego warto znać swoje podstawowe prawa oraz zasady, na których różne podmioty i instytucje – w tym banki – mogą przetwarzać Twoje dane osobowe.

Nie. Zgody, które przekazałeś nam przed 25 maja 2018 r. są dalej ważne. Jeśli w przyszłości będziemy Cię prosić o inną zgodę, wyraźnie Cię poinformujemy, dlaczego chcemy przetwarzać określone dane i jak długo będziemy to robić. Dbamy o to, by dane były aktualne i dokładne. Dlatego możemy co jakiś czas poprosić Cię o to, byś sprawdził i zaktualizował dane, które posiadamy. Prosimy też, byś poinformował nas o wszelkich zmianach osobowych (np. nazwisko, dane kontaktowe, adres).

Nie, nie musisz nic robić. Wystarczy, że zapoznasz się z materiałami, które przygotowaliśmy.

Oczywiście. Zmieniliśmy wiele naszych przepisów i procesów, abyśmy byli w pełni zgodni z RODO. Powołaliśmy także Inspektora Ochrony Danych Osobowych, który dba o to, aby nasz bank działał zgodnie z zapisami RODO, współpracuje z organem nadzorczym i pomaga naszym klientom we wszystkich sprawach związanych z danymi osobowymi.

Tak, wtedy, gdy wyraziłeś na to zgodę, gdy rozpatrujemy Twój wniosek lub wykonujemy umowę, albo mamy ku temu inną podstawę prawną. Robimy to tylko wtedy, gdy nie możemy osiągnąć danego celu w inny sposób. Wykorzystujemy przy tym tylko te dane, które są niezbędne w danym przypadku.

Przetwarzamy Twoje dane przede wszystkim po to, abyś mógł w pełni korzystać z naszych produktów i usług.

Przetwarzamy dane, które nam podałeś np. wtedy, gdy otwierałeś rachunek lub brałeś kredyt. Wykorzystujemy także dane, które stworzyliśmy na podstawie analizy innych Twoich danych. Mogą to być np. wskaźniki, które opisują Twoją zdolność kredytową. Zachowujemy tylko niezbędne dane i przechowujemy je nie dłużej niż wymaga tego nasza współpraca (chyba że mamy inne powody prawne).

Przetwarzamy ogólne dane osobowe.

Dane osobowe ogólne to wszelkie informacje, które identyfikują (lub pozwalają zidentyfikować) osobę, której dane dotyczą. Najczęściej są to: 

• imię i nazwisko;
• inne dane identyfikacyjne: numer PESEL, data urodzenia, adres, email, numer telefonu;
• numer identyfikacji podatkowej (NIP);
• numer REGON;
• rodzaj, numer i seria dokumentu tożsamości;
• inne dane potrzebne do tego, byśmy mogli oferować produkty i usługi.
  
  

Nie przetwarzamy szczególnych danych osobowych, które dotyczą przede wszystkim zdrowia, w tym niepełnosprawności.

Przetwarzamy Twoje dane osobowe wtedy, gdy się na to zgodziłeś lub mamy ku temu inną podstawę prawną, np. robimy to po to, by rozpatrzyć wniosek lub wykonać umowę, którą podpisałeś z nami, realizujemy obowiązek prawny albo mamy (jako administrator danych) w tym uzasadniony interes.

Kiedy mówimy o tym, że mamy uzasadniony interes, by przetwarzać Twoje dane? Na przykład wtedy, gdy:

• oceniamy Twoją zdolność kredytową,
• badamy satysfakcję klientów,
• prowadzimy marketing bezpośredni naszego banku i podmiotów z grupy kapitałowej,
• przygotowujemy lub zmieniamy ofertę produktów i usług,
• przygotowujemy statystyki i raporty wewnętrzne,
• ustalamy oraz dochodzimy roszczeń, albo bronimy się przed nimi.

Możemy przetwarzać Twoje dane, jeśli mamy w tym uzasadniony interes (przy zachowaniu wszystkich zasad RODO). Jeśli nie zgadasz się na to, musisz wskazać konkretny cel przetwarzania, który Ci nie odpowiada. Możesz to zrobić w oddziale korporacyjnym, składając odpowiedni wniosek.

Usuwamy lub zanonimizujemy dane, gdy osiągniemy cel przetwarzania. Nasze rozwiązania techniczne i organizacyjne gwarantują Ci, że Twoje dane „znikną” w całości i bezpiecznie.

Tak, gdy wykonujemy nasze obowiązki (w tym prawne) i realizujemy umowy, możemy zgodnie z prawem przekazywać Twoje dane innym instytucjom. Ich listę zamieszczamy poniżej.

Ważne! Nigdy nie przekazujemy Twoich danych nieautoryzowanym instytucjom (np. firmom telemarketingowym), bo naszym priorytetem jest bezpieczeństwo Twoich danych.

Zgodnie z prawem, Twoje dane możemy przekazywać innym instytucjom, aby zawierać i wykonywać umowy z klientami oraz realizować ustawowe obowiązki. Twoje dane przekazujemy instytucjom, którymi są w szczególności: 

• Związek Banków Polskich, administrator bazy danych „System Bankowy Rejestr” (BR); 
• Biuro Informacji Kredytowej. Więcej informacji na stronie www.mbank.pl/rodo; 
• biura informacji gospodarczej; 
• banki (zapytania o klientów – art. 105 ust. 1 Prawa bankowego); 
• podmioty, z którymi zawarliśmy umowy outsourcingowe w trybie wynikającym z Prawa bankowego (w szczególności są to nasi pośrednicy kredytowi czy też firmy kurierskie dostarczające dokumenty klientom) ich pełna lista znajduje się pod linkiem https://www.mbank.pl/o-nas/informacje-wymagane-przepisami-prawa/. Trzeba otworzyć plik o nazwie: Informacje o przedsiębiorcach zgodnie z art.111b ustawy Prawo bankowe; 
• SWIFT - Międzynarodowe Stowarzyszenie Międzybankowej Transmisji Danych Finansowych (na podstawie umowy między Unią Europejską a Stanami Zjednoczonymi Ameryki o przetwarzaniu i przekazywaniu z Unii Europejskiej do Stanów Zjednoczonych danych z komunikatów finansowych do celów Programu śledzenia środków finansowych należących do terrorystów); 
• podmioty wchodzące w skład Grupy mBanku, Commerzbank AG oraz podmioty wchodzące w skład Grupy Commerzbanku – wyłącznie za zgodą klienta – art. 104 ust. 3 Prawa bankowego. 

Dane zgromadzone w BR oraz w BIK mogą być udostępniane: 

• innym bankom, 
• instytucjom finansowym będącym podmiotami zależnymi od banków, 
• innym podmiotom ustawowo upoważnionym, 
• biurom informacji gospodarczej. 

Możemy przekazywać Twoje dane osobowe instytucjom i podmiotom z krajów Unii Europejskiej, Islandii, Norwegii i Liechtensteinu oraz innych krajów, które – w opinii Komisji Europejskiej - zapewniają odpowiednią ochronę.

Jeśli spełnimy określone warunki, możemy także bez zgody Prezesa Urzędu Ochrony Danych Osobowych (UODO) przekazać dane do innych krajów.

Tak, dostosowaliśmy się do RODO organizacyjnie i technologicznie, traktując priorytetowo bezpieczeństwo danych klientów. Dbamy o to, by Twoje dane nie były modyfikowane, usuwane, dodawane czy niszczone w sposób nieautoryzowany. Zapobiegamy sytuacjom, w których Twoje dane mogłyby trafić do nieautoryzowanych podmiotów czy procesów.

Pamiętaj, że wszystkie informacje, które dotyczą naszej relacji, są objęte tajemnicą bankową. Do jej zachowania zobowiązani są wszyscy nasi pracownicy oraz osoby, które wykonują czynności bankowe na naszą rzecz. Szkolimy również naszych wszystkich pracowników z zakresu bezpieczeństwa informacji chronionych, w tym z zakresu ochrony danych osobowych i tajemnicy bankowej.

RODO zapewnia Ci prawo dostępu do danych.

Odwiedź oddział korporacyjny, a potwierdzimy Ci, czy przetwarzamy Twoje dane. Możemy podać także dodatkowe wyjaśnienia: dlaczego to robimy, jakie kategorie danych przetwarzamy, komu je ujawniliśmy (lub możemy ujawnić), jak długo planujemy (o ile można to określić) przetwarzać dane, z jakiego źródła je pozyskaliśmy.

Oczywiście, masz prawo żądać, abyśmy niezwłocznie sprostowali lub usunęli nieprawidłowe dane. Złóż swoje żądanie w oddziale korporacyjnym.

Tak, możesz to zrobić w kilku przypadkach.

• osoba, której dane dotyczą wskaże, że dane, które przetwarzamy nie są prawidłowe; 
• gdy przetwarzanie danych przez bank jest niezgodne z prawem,  
• osoba, której dane dotyczą sprzeciwia się usunięciu jej danych osobowych i żąda ograniczenia ich wykorzystania; 
• dane osobowe nie są już potrzebne bankowi do osiągnięcia zamierzonych celów przetwarzania, natomiast klient sprzeciwia się, byśmy usunęli jego dane osobowe, gdyż potrzebuje ich do dochodzenia lub obrony swoich roszczeń; 
• klient chce złożyć sprzeciw z przyczyn związanych z jego szczególną sytuacją (gdy podstawą przetwarzania  jest uzasadniony interes banku). 

Mogą zdarzyć się sytuacje, gdy będziemy przetwarzać dane, pomimo żądania osoby, której dane dotyczą, aby ograniczyć przetwarzanie jej danych. Dotyczy to w szczególności sytuacji, gdy ustalamy, dochodzimy lub bronimy się przed roszczeniami. 

Aby ograniczyć przetwarzanie danych osobowych Klienta, musimy otrzymać od niego odpowiedni wniosek, złożony w oddziale korporacyjnym.

RODO wprowadza nowe prawo – do bycia zapomnianym. Możesz zażądać, abyśmy usunęli Twoje dane, między innymi wtedy gdy:

• dane nie są już niezbędne, by zrealizować cel, dla którego je zebraliśmy,
• dane nie były przetwarzane zgodnie z RODO lub innymi przepisami prawa.

Jeśli chcesz, abyśmy usunęli Twoje dane, złóż odpowiedni wniosek w oddziale korporacyjnym.

Jeżeli usuniemy Twoje dane, mamy prawo zachować informacje o tym, na czyj wniosek to zrobiliśmy.

Możesz poprosić o kopię danych osobowych, które przetwarzamy. Złóż wniosek o dostęp do danych osobowych w oddziale korporacyjnym.

Na Twój wniosek, możemy przesłać Twoje dane osobowe szyfrowaną pocztą elektroniczną na wskazany przez Ciebie adres mailowy innego administratora danych osobowych.

Możesz skontaktować się bezpośrednio z Inspektorem Ochrony Danych Osobowych mBanku.

• mailem: Inspektorochronydanychosobowych@mbank.pl

• pocztą:

Inspektor Ochrony Danych Osobowych

mBank S.A.

Prosta 18, 00-850 Warszawa

Pomocą służą także pracownicy oddziałów korporacyjnych, którzy mogą przyjąć Twój wniosek.

Od 26 maja 2018 roku skargi związane z ochroną danych osobowych przyjmuje Urząd Ochrony Danych Osobowych (UODO). Możesz skargę złożyć elektronicznie przez ePUAP (https://epuap.gov.pl/wps/portal/strefa-klienta/katalog-spraw/opis-uslugi/nieprawidlowosci-w-procesie-przetwarzania-danych-osobowych).

Od UODO otrzymasz informacje o postępach i efektach Twojej skargi.

„Wyciek” danych to tylko jedno z naruszeń ochrony danych osobowych. Mówimy o nim także wtedy, gdy np. administrator danych przypadkowo lub niezgodnie z prawem zniszczy, utraci lub zmodyfikuje dane osobowe.

Dokładamy starań, by chronić dane naszych klientów przed tymi ryzykami. Gdyby jednak doszło do takiej sytuacji, poinformujemy o niej niezwłocznie – czyli w ciągu 72 godzin od naruszenia - organ nadzorczy.

Jeśli oszacujemy ryzyko naruszenia praw i wolności jako wysokie, przekażemy niezwłocznie taką informację wszystkim klientom, których to ryzyko dotyczy. Wskażemy również jakie podjęliśmy działania, aby zminimalizować ryzyko powstania szkody oraz w celu zapobiegania podobnym zdarzeniom w przyszłości.