Prawa naszych klientów, które wynikają z RODO

Wszystkie uprawnienia, jakie daje RODO, możesz realizować przez mLinię lub w placówce mBanku, któremu zleciliśmy obsługę i przetwarzanie danych osobowych naszych klientów. Pamiętaj – na mLinię najłatwiej zadzwonisz bezpośrednio z aplikacji mobilnej. (kliknij w słuchawkę na górze każdego ekranu).

Możesz sprostować i uzupełnić dane

Jeśli Twoje dane są nieaktualne, możesz w każdej chwili poprosić, byśmy je poprawili lub uzupełnili.
Niektóre z danych – np. adres zamieszkania czy mail - możesz zmienić samodzielnie w serwisie transakcyjnym mBanku. Szczegółowe informacje znajdziesz tutaj.

Masz dostęp do danych

Udostępnimy Ci Twoje dane osobowe, które sam dostarczyłeś. Dowiesz się między innymi, w jakich celach to robimy oraz jak długo planujemy je przetwarzać.

Możesz przenieść dane

Jeśli będziesz chciał przenieść dane do innego administratora, damy Ci taką możliwość. Dane otrzymasz od nas w szyfrowanym mailu, abyś mógł samodzielnie przekazać je według swojego uznania.

Możesz sprzeciwić się przetwarzaniu danych

Jeśli przetwarzamy Twoje dane na podstawie uzasadnionego interesu, możesz się temu sprzeciwić. Poprosimy Cię wówczas, abyś wskazał konkretny cel przetwarzania, któremu się sprzeciwiasz i ewentualnie inne okoliczności, jakie przewiduje prawo.

Masz prawo być zapomnianym (usunięcie danych)

Na Twoją prośbę, usuniemy Twoje dane osobowe. Zrobimy to, gdy nie będziemy mieć zgodnych z prawem podstaw, by kontynuować przetwarzanie.

Masz prawo do ograniczenia przetwarzania

W określonych prawem sytuacjach możesz wnioskować, byśmy ograniczyli przetwarzanie Twoich danych osobowych. Może zdarzyć się, że pomimo Twojego żądania nadal będziemy je przetwarzać - dotyczy to w szczególności sytuacji, gdy są one nam potrzebne w kontekście ewentualnych spraw sądowych.

Możesz nie zgodzić się na to, abyśmy w Twoich sprawach podejmowali decyzje w sposób automatyczny.

Decyzje automatyczne pozwalają nam obsługiwać Twoje wnioski szybko i z zachowaniem standardów, jakim hołdujemy. Otrzymasz od nas informację, czy w danym procesie skorzystaliśmy z tego rozwiązania. Od tak podjętej decyzji masz prawo się odwołać a wtedy sprawą zajmie się pracownik banku.

Pakiet RODO dla klientów mBanku Hipotecznego

  • 1.  

    RODO – ogólne informacje

    • RODO (Rozporządzenie o Ochronie Danych Osobowych) stosujemy od 25 maja 2018 r.
      Pełna nazwa to: Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

      Jaki jest cel RODO?

      RODO wprowadza i ujednolica zasady przetwarzania danych osobowych na terenie całej Unii Europejskiej. W szczególności dba o bezpieczeństwo danych osobowych i chroni prawo do prywatności.

      Krótki słowniczek pojęć:

      „Administrator” – to osoba fizyczna lub inny podmiot, który (samodzielnie lub wspólnie z innymi administratorami) ustala, po co i jak będzie przetwarzać dane osobowe.
      „Automatyczne podejmowanie decyzji” – to podejmowanie decyzji bez znaczącego udziału człowieka, w oparciu o modele i algorytmy, wykorzystywane w systemach informatycznych, w szczególności w oparciu o profilowanie.
      "Dane osobowe" – to informacje, które identyfikują (lub pozwalają zidentyfikować) osobę fizyczną (zwaną też „osobą, której dane dotyczą”). Będą to w szczególności, ale nie wyłącznie: imię i nazwisko, numer klienta (ID klienta), adres, numer telefonu, data urodzenia, historia kredytowa, numer konta bankowego, NIP, PESEL, informacje o rodzinie, imiona dzieci, wynagrodzenie, itp.
      „Klient” – to osoba fizyczna, która jest klientem detalicznym (indywidualnym) banku.
      „Podmiot przetwarzający” – to osoba fizyczna lub inny podmiot, który przetwarza dane osobowe w imieniu i na polecenie administratora.
      „Profilowanie” – to sposób zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny tego, czy klient posiada pewne cechy, w szczególności do dokonania analizy i prognozy jego osobistych preferencji, wiarygodności lub sytuacji ekonomicznej.
      "Przetwarzanie danych osobowych" – to działania dotyczące danych osobowych. Mogą one odbywać się w sposób zautomatyzowany lub niezautomatyzowany. O przetwarzaniu mówimy w szczególności wtedy, gdy dane: zbieramy, utrwalamy, organizujemy, porządkujemy, przechowujemy, adaptujemy lub modyfikujemy, pobieramy, przeglądamy, wykorzystujemy, ujawniamy (np. przesyłając), rozpowszechniamy, udostępniamy, dopasowujemy lub łączymy, ograniczamy, usuwamy lub niszczymy.

      Kto jest administratorem danych osobowych? Administratorem danych osobowych klientów jest mBank Hipoteczny S.A. z siedzibą w Warszawie (00-850), przy ul Prostej 18 („bank”), adres strony internetowej: www.mhipoteczny.pl.

      Jak przebiega komunikacja między naszym bankiem a klientami?

      We wszystkich sprawach, w tym też w kwestiach dotyczących danych osobowych, można się z nami skontaktować w następujący sposób:

      • pod adresem korespondencyjnym:
        mBank S.A. Bankowość Detaliczna
        Skrytka Pocztowa 2108
        90-959 Łódź 2
      • za pośrednictwem mBanku, któremu zleciliśmy obsługę i powierzyliśmy przetwarzanie danych osobowych naszych klientów:
        a. w placówkach mBanku – wykaz placówek dostępny jest na stronie internetowej pod tym adresem;
        b. za pośrednictwem serwisu transakcyjnego pod tym adresem;
      • poprzez kontakt z konsultantami mLinii, którzy przez całą dobę mogą przyjąć dyspozycję dotyczącą danych osobowych lub reklamację. mLinia dostępna jest 24h/dobę 7 dni w tygodniu pod następującymi numerami:

       

       

      W banku powołaliśmy również Inspektora Ochrony Danych, który odpowiada za przestrzeganie przepisów dotyczących ochrony danych oraz regulacji wewnętrznych banku. Z Inspektorem Ochrony Danych banku można skontaktować się w następujący sposób:

      • pod następującym adresem e-mail: iod@mhipoteczny.pl;
      • pod następującym adresem korespondencyjnym:

      Inspektor Ochrony Danych
      mBank Hipoteczny S.A.
      Skrytka Pocztowa nr 1005
      00-001 Warszawa 1

  • 2.  

    Podstawowe zasady RODO

    • RODO formułuje 6 zasad przetwarzania danych osobowych, którymi kieruje się nasz bank, gdy przetwarzamy dane osobowe. Są nimi:

      • zasada zgodności z prawem, rzetelności i przejrzystości: przetwarzamy dane osobowe w sposób zgodny z przepisami prawa. O wszystkich kwestiach z tym związanych informujemy wyczerpująco, ustalonymi kanałami komunikacji i jak najprostszym językiem, by osoby, których dane dotyczą, były świadome, że zbieramy, przechowujemy lub w inny sposób przetwarzamy ich określone dane osobowe;
      • zasada minimalizacji i adekwatności danych: przetwarzamy tylko te dane (adekwatne, stosowne), które są rzeczywiście potrzebne, by zrealizować dany cel;
      • zasada prawidłowości danych: dokładamy najwyższej staranności, by dane, które przetwarzamy, były zgodne z prawdą, aktualne i dokładne. Dlatego możemy co jakiś czas prosić osoby, których dane przetwarzamy o to, by sprawdziły i zaktualizowały swoje dane. Prosimy ich też o to, by klienci informowali nas o wszelkich zmianach swoich danych osobowych (imię i nazwisko, adres itp.);
      • zasada ograniczenia celu oraz przechowywania przetwarzanych danych: dane osobowe zbieramy jedynie w konkretnym, wyraźnym i zgodnym z prawem celu, którego nie moglibyśmy osiągnąć w inny sposób. Przechowujemy dane w formie, która umożliwia identyfikację osoby, której dane dotyczą. Przetwarzamy je tylko tak długo, jak jest to niezbędne, by zrealizować cel, dla którego je pozyskaliśmy (chyba, że do dalszego przetwarzania zobowiązują nas przepisy prawa);
      • zasada integralności i poufności danych: zapewniamy takie rozwiązania informatyczne i organizacyjne, dzięki którym dane osobowe, które przetwarzamy, są bezpieczne. Chronimy dane przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem;
      • zasada rozliczalności: jesteśmy w stanie wykazać (w sposób, jakiego wymaga od nas prawo), że w odniesieniu do danych osobowych działamy zgodnie z przepisami prawa, uwzględniamy ochronę danych w fazie projektowania (np. nowego produktu) oraz zapewniamy domyślną ochronę danych osobowych.
  • 3.  

    Jak przetwarzamy dane osobowe - podstawowe informacje

    • Jakie dane osobowe przetwarzamy?

      Przetwarzamy „zwyczajne” dane osobowe.
      Najczęściej przetwarzamy następujące kategorie danych:

      • dane identyfikujące klienta, takie jak: imię i nazwisko, numer klienta (ID klienta), płeć, obywatelstwo, numer PESEL, data urodzenia, numer identyfikacji podatkowej (NIP), numer REGON, numer, seria data wydania i data ważności dowodu osobistego/paszportu/karty pobytu;
      • dane kontaktowe klienta, takie jak: adres korespondencyjny, zamieszkania oraz zameldowania, email, numer telefonu stacjonarnego lub komórkowego;
      • dane finansowe klienta, takie jak: numer rachunku bankowego, numer karty kredytowej/płatniczej, imię i nazwisko posiadacza karty, dochód, źródło dochodu, historia kredytowa, informacja o produktach i usługach;
      • dane dotyczące wykształcenia klienta oraz jego zawodu lub wykonywanej pracy;
      • dane dotyczące członków rodziny klienta, takie jak: liczba posiadanych dzieci, rodzaj małżeńskiego ustroju majątkowego (rozdzielność lub wspólność majątkowa z małżonkiem);
      • dane dotyczące nieruchomości finansowanej lub/i stanowiącej zabezpieczenie kredytu.

      Bank nie przetwarza danych uważanych za wrażliwe, takich jak ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, czy danych genetycznych, danych biometrycznych lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej.

  • 4.  

    Skąd mamy dane, które przetwarzamy?

    • Przetwarzamy dane, które otrzymaliśmy bezpośrednio od klientów, to znaczy takie, które klienci podali nam na formularzach, gdy wnioskowali o kredyt lub gdy wnioskują o zmiany do umowy kredytu.
      Możemy również przetwarzać dane, które przekazali nam inni administratorzy danych posiadający dane pomocne do celów oceny zdolności kredytowej (np. Biuro Informacji Kredytowej S.A., biura informacji gospodarczej) lub które pozyskaliśmy z publicznie dostępnych baz danych, np. Centralnej Ewidencji i Informacji o Działalności Gospodarczej.
      W przypadku kredytów hipotecznych przeniesionych z mBanku, dane są nam udostępniane przez mBank na podstawie umów przeniesienia kredytów z mBanku, a dane te również podali klienci na formularzach, gdy wnioskowali o kredyt hipoteczny w mBanku.

      Czy musisz podać nam swoje dane osobowe?

      Podanie danych osobowych jest niezbędne dla zawarcia umowy bądź realizacji poniżej wskazanych celów, gdy ciąży na nas obowiązek prawny ich przetwarzania. Konsekwencją niepodania niezbędnych danych będzie brak możliwości zawarcia i realizacji umowy z bankiem np. brak możliwości restrukturyzacji kredytu. Gdy podstawą przetwarzania Twoich danych jest dobrowolnie udzielona przez Ciebie zgoda, podanie danych, jak i wyrażenie zgody na ich przetwarzanie jest dobrowolne.


      W jakim celu przetwarzamy dane osobowe?

      Dane osobowe możemy przetwarzać, gdy:

      • wykonujemy umowy kredytowe lub rozpatrujemy wnioski o zmianę warunków tych umów, których stroną jest osoba, której dane dotyczą, w tym gdy:
        -obliczamy zdolność kredytową klientów, aby rozpatrzyć wniosek o zmianę umowy o kredyt;  - -obsługujemy reklamacje;
      • realizujemy w ten sposób obowiązek prawny; na tej podstawie przetwarzamy dane klientów po to, by przeciwdziałać nadużyciom i zapewniać bezpieczeństwo obrotu gospodarczego. Szczególne obowiązki nakładają na nas takie przepisy prawa, jak: Prawo bankowe; Ustawa o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, Ustawa o rozpatrywaniu reklamacji przez podmioty rynku finansowego i o Rzeczniku Finansowym, Ustawa o ordynacji podatkowej, Ustawa o rachunkowości, Ustawa o wykonywaniu Umowy między Rządem Rzeczypospolitej Polskiej a Rządem Stanów Zjednoczonych Ameryki w sprawie poprawy wypełniania międzynarodowych obowiązków podatkowych oraz wdrożenia ustawodawstwa FATCA, Ustawa o wymianie informacji podatkowej z innymi państwami (CRS)
      • wymaga tego nasz (administratora) prawnie uzasadniony interes, czyli w sytuacjach gdy:
        - budujemy prawidłowy i bezpieczny model ryzyka dla portfela kredytowego, oceniając zdolność kredytową klientów w trakcie trwania umów kredytowych;
        - ustalamy oraz dochodzimy roszczeń lub bronimy się przed nimi, prowadzimy postępowania sądowe i windykacyjne;
        - przygotowujemy statystyki i raporty wewnętrzne, w tym analizy portfela kredytowego, także w ramach Grupy Kapitałowej, do której należy bank (aktualna lista podmiotów Grupy Kapitałowej jest dostępna na tej stronie)
        - budujemy nasze modele statystyczne i oceny ryzyka operacyjnego;
        - badamy satysfakcję klientów;
        - sprzedajemy wierzytelności;
        - zapewniamy integralność kopii zarchiwizowanych/zapasowych/awaryjnych oraz archiwizujemy dane i dokumenty;
        - zapobiegamy i wykrywamy przestępstwa (dbamy o bezpieczeństwo).
      • na podstawie zgody klienta w celu zarządzania ryzykiem oraz oceny zdolności kredytowej i ryzyka kredytowego po wygaśnięciu umowy kredytowej z klientem.
  • 5.  

    Automatyczne podejmowanie decyzji

    • Automatyczne podejmowanie decyzji polega na tym, że decyzje w sprawie wniosków klientów zapadają bez udziału człowieka, w oparciu o modele i algorytmy. Robimy to, by skrócić czas, w którym klienci oczekują na decyzje i by zachować najlepszy standard obsługi.
      Takim procesem jest proces restrukturyzacji kredytu, podczas którego może zostać podjęta automatyczna decyzja o zmianie warunków udzielonego kredytu. W procesie tym badamy w szczególności historię kredytową oraz współpracę z naszym bankiem.
      O tym, że w/w została podjęta automatycznie, poinformujemy w samej decyzji. W takim przypadku klienci mają prawo do:

      • uzyskania interwencji ludzkiej, tj. do przeprowadzenia procesu i podjęcia decyzji przy udziale człowieka;
      • wyrażenia własnego stanowiska;
      • zakwestionowania podjętej decyzji.
  • 6.  

    Profilowanie danych

    • O profilowaniu danych mówimy wtedy, gdy wykorzystujemy algorytmy czy modele matematyczne, by ocenić profil osobowy klienta. Nasze modele statystyczne są zgodne z dobrymi praktykami rynku bankowego (ujętymi m.in. w Rekomendacji W Komisji Nadzoru Finansowego).

      Dlaczego profilujemy?


      Profilujemy, by realizować nasze obowiązki prawne:

      • zapobiegamy przestępstwom na szkodę naszego banku i klientów;
      • przeciwdziałamy praniu pieniędzy, budujemy modele, dzięki którym rozpoznajemy działania przestępcze;
      • zarządzamy ryzykiem detalicznych ekspozycji kredytowych monitorując udzielone kredyty.

      Profilujemy, gdy jest to niezbędne, by zawrzeć lub wykonać umowę:

      Gdy klient wnioskuje o zmianę warunków zawartej umowy kredytu, przeprowadzamy ocenę zdolności i wiarygodności kredytowej osoby, której dane dotyczą. Działanie to pozwala nam budować prawidłowy i bezpieczny profil ryzyka banku, poprzez ustalanie zdolności kredytowej klientów. Możemy w tym celu wysyłać zapytania do baz zewnętrznych. 

      Profilujemy, by realizować nasz prawnie uzasadniony interes:

      Gdy zapewniamy spersonalizowane funkcje w systemach bankowości elektronicznej dostarczanych klientowi za pośrednictwem mBank ułatwiające klientowi obsługę jego kredytu.

  • 7.  

    Obowiązki informacyjne wobec klientów (osób, których dane dotyczą)

    • Informacje na temat ochrony danych osobowych są dostępne dla naszych klientów obsługiwanych za pośrednictwem mBanku:


      Kiedy informujemy?

      Jeżeli zbieramy dane bezpośrednio od osoby, której dane dotyczą, przekazujemy taką informację od razu. Gdy dane pochodzą z innego źródła, np. gdy nabywamy wierzytelności z tytułu kredytów hipotecznych od innych podmiotów, informacje przekazujemy osobie, której dane dotyczą:

      • w rozsądnym terminie, nie później jednak niż w ciągu miesiąca od pozyskania danych;
      • najpóźniej przy pierwszej komunikacji z osobą, której dane dotyczą (jeżeli wykorzystujemy dane właśnie w komunikacji z tą osobą);
        chyba że udzielenie informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku lub gdy dane muszą pozostać poufne w związku z obowiązkiem zachowania tajemnicy przewidzianego prawem.


      Jak informujemy?

      Informacje te możemy przekazywać:

      • w klauzulach informacyjnych zamieszczanych w dokumentach przeznaczonych dla osoby, której dane dotyczą (np. w piśmie dotyczącym przeniesienia kredytu) lub w systemach bankowości elektronicznej (serwis transakcyjny, aplikacja mobilna) mBanku;
      • osobiście bądź telefonicznie w trakcie rozmowy z konsultantem;
      • elektronicznie poprzez umieszczenie tej informacji na stronie internetowej mBanku https://www.mbank.pl/rodo w zakładce zawierającej informacje dla klientów mBanku Hipotecznego S.A oraz na naszej stronie internetowej pod adresem www.mhipoteczny.pl/rodo.
  • 8.  

    Jakie uprawnienia mają osoby, których dane dotyczą i jak je realizujemy?

    • Uprawnienia naszych klientów będą realizowane za pośrednictwem mBanku, któremu zleciliśmy obsługę i przetwarzanie danych osobowych naszych klientów.

      Prawo dostępu do danych

      Osoba, której dane dotyczą, ma prawo dostać od nas informację o tym, czy przetwarzamy jej dane osobowe, otrzymać w tym zakresie dodatkowe informacje oraz uzyskać dostęp do tych danych (w tym ich kopię). Przekazując dodatkowe informacje – wskazujemy klientowi:

      • jaki jest cel przetwarzania;
      • jakie typy danych przetwarzamy;
      • jakim odbiorcom lub kategoriom odbiorców ujawniliśmy (lub możemy ujawnić) dane
      • jak długo planujemy (o ile można to określić) przetwarzać dane albo na podstawie jakich kryteriów ustalaliśmy ten okres;
      • jakie prawa mu przysługują;
      • że może wnieść skargę do organu nadzorczego;
      • skąd pozyskaliśmy jego dane;
      • czy podejmujemy decyzje w sposób automatyczny.

       

      Uprawnienie związane z prawem dostępu do danych realizujemy w sposób elektroniczny lub papierowo po pozytywnej identyfikacji tożsamości podmiotu danych. Odpowiedź wysyłamy na adres, który posiadamy w systemach teleinformatycznych.


      Prawo do sprostowania i uzupełnienia danych

      Klient może żądać niezwłocznego sprostowania jego nieprawidłowych danych osobowych lub uzupełnienia niekompletnych danych.

      Prawo do usunięcia danych (prawo do bycia zapomnianym)

      Klient może żądać niezwłocznego usunięcia danych, gdy:

      • dane nie są już niezbędne, by zrealizować cel, dla którego zostały zebrane;
      • cofnięto zgodę, na której opiera się przewarzanie i bank nie ma innej podstawy prawnej przetwarzania;
      • dane nie były przetwarzane zgodnie z RODO lub innymi przepisami prawa;
      • dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego.

      Żądanie usunięcia danych uwzględnimy, gdy – w naszej ocenie – nie będziemy mieć prawnie uzasadnionych podstaw, by kontynuować przetwarzanie, np. do wywiązywania się z obowiązków prawnych lub do ustalenia, dochodzenia lub obrony roszczeń.
      Jeżeli usuniemy dane klienta, mamy prawo zachować informacje o tym, na czyj wniosek to zrobiliśmy. Będziemy przechowywać te dane zgodnie z zasadą minimalizacji i adekwatności.
      Żądanie klienta uwzględnimy tak szybko jak to będzie możliwe, biorąc pod uwagę okoliczności i nasze możliwości techniczne.

      Prawo do ograniczenia przetwarzania danych osobowych

      Klient może również żądać, byśmy ograniczyli przetwarzanie jego danych. Prawo to dotyczy następujących sytuacji:

      Sytuacja klienta

      Nasze działanie

      Klient wskaże, że przetwarzane dane nie są prawidłowe.

      Ograniczymy przetwarzanie takich danych, sprawdzimy ich prawidłowość i zaproponujemy klientowi ich korektę.

      W przypadku, gdy przetwarzanie danych przez bank jest niezgodne z prawem, a klient sprzeciwia się usunięciu jego danych osobowych i żąda ograniczenia ich wykorzystania.

      Ograniczymy przetwarzanie takich danych, oznaczymy właściwe dane i nie usuniemy ich do czasu, gdy klient odwoła swoje żądanie ograniczenia.

      Dane osobowe nie są już potrzebne bankowi do osiągnięcia zamierzonych celów przetwarzania, natomiast klient sprzeciwia się, byśmy usunęli jego dane osobowe, gdyż potrzebuje ich do dochodzenia lub obrony swoich roszczeń.

      Klient chce złożyć sprzeciw z przyczyn związanych z jego szczególną sytuacją (gdy podstawą przetwarzania jest uzasadniony interes banku).

      Ograniczymy przetwarzanie takich danych, zweryfikujemy wskazaną sytuację i zaproponujemy klientowi złożenie sprzeciwu na określony cel przetwarzania danych będący uzasadnionym interesem banku.

      Niekiedy jednak nawet, jeśli klient zgłosił żądanie, byśmy ograniczyli przetwarzanie danych, będziemy wciąż przetwarzać te dane, które są niezbędne w celu ustalenia, dochodzenia lub obrony roszczeń lub w celu ochrony prawnej innej osoby, lub gdy uzyskamy na to zgodę klienta.

      Prawo do przenoszenia danych

      Każdy klient ma także prawo przenieść swoje dane. Aby to zrobić klient powinien zwrócić się z taką prośbą do banku za pośrednictwem mLinii lub placówek mBanku.
      Dane przekażemy w szyfrowanym mailu (w powszechnie używanym formacie, który banki uzgodniły w toku wspólnych ustaleń w Związku Banków Polskich). W zestawieniu uwzględnimy dane, które osoba wnioskująca sama nam przekazała oraz dane, które powstały dzięki jej działaniom (w tym dane dotyczące transakcji). Nie udostępnimy danych, które sami wywnioskowaliśmy (w szczególności na podstawie oceny zdolności kredytowej).
      Jeżeli nie będziemy mogli oddzielić danych klienta od innych danych, które są w naszych systemach, a które nie podlegają przenoszeniu możemy wstrzymać się z realizacją żądania – do czasu, gdy wspólnie uzgodnimy, które dane możemy udostępnić.

      Prawo sprzeciwu wobec przetwarzania

      Klient może sprzeciwić się przetwarzaniu przez nas swoich danych osobowych, które odbywa się w oparciu o prawnie uzasadniony interes banku. Zgłaszając sprzeciw klient powinien wykazać, na czym polega jego szczególna sytuacja, a my przeanalizujemy sytuację. W przypadku uzasadnionego sprzeciwu przestaniemy przetwarzać dotyczące go dane. Gdy ocenimy, że cel dla którego przetwarzamy jest nadrzędny wobec tej sytuacji lub istnieją podstawy do ustalenia, dochodzenia lub obrony roszczeń nadal będziemy przetwarzać dane w tym celu. 
      Sprzeciwy klientów będziemy realizować tak szybko, jak to będzie technicznie możliwe.

      Prawo do wycofania zgody

      Jeżeli przetwarzanie odbywa się na podstawie zgody klienta, klient ma prawo w dowolnym momencie wycofać wyrażoną zgodę, w sposób równie łatwy, jak jej wyrażenie. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem.

      Prawo do niepodlegania automatycznej decyzji

      Klient ma prawo do niepodlegania automatycznym decyzjom, tzn. decyzjom podejmowanym bez udziału człowieka. Klient zostanie poinformowany jeśli w danym procesie zostanie podjęta decyzja w sposób automatyczny. W takim przypadku klient ma prawo do uzyskania interwencji ludzkiej, tj. do przeprowadzenia procesu i podjęcia decyzji przy udziale człowieka, wyrażenia własnego stanowiska, zakwestionowania podjętej decyzji.

      Jak możesz zrealizować swoje prawa?

      Aby zrealizować powyższe prawa klient powinien skontaktować się z bankiem w jeden z następujących sposobów:

      • w placówkach mBanku;
      • telefonicznie za pośrednictwem mLinii;
      • korespondencyjnie na adres podany poniżej:

      mBank S.A. Bankowość Detaliczna
      Skrytka Pocztowa 2108
      90-959 Łódź

  • 9.  

    Zasady postępowania przy naruszeniach ochrony danych

    • O naruszeniu ochrony danych osobowych mówimy wtedy, gdy administrator lub działający na jego zlecenie podmiot przetwarzający dane przypadkowo lub niezgodnie z prawem je zniszczy, utraci, zmodyfikuje, ujawni lub udostępni.
      Gdyby doszło do naruszenia, poinformujemy o tym:

      • organ nadzorczy (jeśli ocenimy, że ryzyko naruszenia praw lub wolności osób fizycznych jest większe niż niskie) oraz
      • osoby, których dane dotyczą (jeśli ryzyko naruszenia praw i wolności oszacowaliśmy jako wysokie).

      O naruszeniu ochrony danych osobowych będziemy informować organ nadzorczy niezwłocznie – w miarę możliwości, nie później niż w terminie 72 godzin - po tym, kiedy stwierdzimy, że do naruszenia doszło.
      W informacji o naruszeniu podamy także zalecenia, jak ograniczyć potencjalne niekorzystne skutki zdarzenia. Jeżeli ryzyko naruszenia praw lub wolności osób ocenimy jako wysokie, niezwłocznie powiadomimy bezpośrednio osoby, których danych dotyczy to ryzyko. Gdyby przekazanie bezpośredniej informacji było bardzo trudne, wydamy publiczny komunikat.

      Komu i w jakim celu możemy przekazywać dane klientów?

      Zgodnie z prawem, dane klientów możemy przekazywać innym instytucjom, aby zawierać i wykonywać umowy z klientami oraz realizować ustawowe obowiązki. Odbiorcami danych osobowych klientów mogą być w szczególności następujące instytucje:

      • Biuro Informacji Kredytowej; Klauzula informacyjna Biura Informacji Kredytowej jako administratora dostępna jest na stronie internetowej mBanku pod adresem https://www.mbank.pl/rodo w zakładce zawierającej informacje dla klientów mBanku Hipotecznego S.A. oraz na stronie internetowej mBanku Hipotecznego S.A. www.mhipoteczny.pl/rodo;
      • Ministerstwo Finansów (wysyłamy do Generalnego Inspektora Informacji Finansowej rejestry transakcji, zgodnie z przepisami dotyczącymi przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu);
      • Komisja Nadzoru Finansowego;
      • Związek Banków Polskich;
      • Krajowa Izba Rozliczeniowa;
      • podmioty z Grupy Kapitałowej mBanku (aktualna lista podmiotów Grupy Kapitałowej jest dostępna na stronie https://www.mbank.pl/o-nas/grupa/ );
      • podmioty, z którymi zawarliśmy umowy outsourcingowe w trybie wynikającym z Prawa bankowego oraz umowy powierzenia przetwarzania danych, w szczególności mBank, któremu powierzyliśmy obsługę naszych klientów (pełna lista podmiotów znajduje się na naszej stronie internetowej pod adresem https://www.mhipoteczny.pl/strefaklienta/informacje-wymaganeprawem-bankowym , tj. na podstronie: Strefa klienta w zakładce: Informacje wymagane prawem bankowym w dokumencie: Informacja o przedsiębiorcach lub przedsiębiorach zagranicznych;
      • banki, instytucje kredytowe i inne podmioty upoważnione do odbioru danych osobowych klientów na podstawie odpowiednich przepisów prawa (np. biura informacji gospodarczej, Narodowy Bank Polski, Bankowy Fundusz Gwarancyjny, w określonych przypadkach organy administracji i sądy powszechne);
  • 10.  

    Zasady przekazywania danych poza Polskę

    • Dane osobowe można przekazywać podmiotom (oczywiście w sytuacjach, gdy są ku temu podstawy), które znajdują się na terytorium Europejskiego Obszaru Gospodarczego (obecnie Unia Europejska oraz Norwegia, Islandia i Lichtenstein; w skrócie – EOG).
      Do państw trzecich (czyli innych niż państwa EOG) lub organizacji międzynarodowych możemy przekazać dane osobowe, jeżeli dane państwo gwarantuje przynajmniej taką ochronę danych, jaką gwarantuje RODO. W praktyce taką gwarancją jest to, że dane państwo lub organizacja zostało uznane przez Komisję Europejską za zapewniające odpowiednią ochronę.
      Możemy bez zgody organu nadzoru w zakresie danych osobowych (Prezes Urzędu Ochrony Danych Osobowych), przekazywać dane osobowe do państw trzecich lub organizacji międzynarodowych, które nie zapewniają odpowiedniego poziomu ich ochrony, gdy w umowach zastosowaliśmy specjalne rozwiązania, przewidziane przez prawo lub zatwierdzone przez w/w organ nadzoru.
      Aktualnie bank nie przekazuje danych osobowych do państw trzecich.

  • 11.  

    Jak można skarżyć się na ochronę swoich danych osobowych?

    • Jeśli klient podejrzewa, że jego dane są przetwarzane niezgodnie z RODO, może wnieść skargę do organu nadzorczego w zakresie ochrony danych osobowych (Prezes Urzędu Ochrony Danych Osobowych).

  • 12.  

    Jak długo przetwarzamy dane?

    • Dane osobowe klientów przetwarzamy przez czas, jaki jest niezbędny do osiągnięcia celu ich przetwarzania.
      Stosowana przez bank zasada ograniczenia przechowywania danych osobowych ma na celu zabezpieczenie danych klientów przed ich przetwarzaniem przez nieograniczony okres. Po osiągnięciu zamierzonych celów przetwarzania, dane osobowe klientów zostają przez bank usunięte lub zanonimizowane (zidentyfikowanie podmiotu danych jest wówczas niemożliwe), chyba że ich dalsze przechowywanie znajduje podstawę prawną wynikającą z odrębnych przepisów prawa.
      Dane osobowe przetwarzamy zasadniczo do czasu, gdy:

      • osoba, której dane dotyczą, wycofa zgodę na przetwarzanie danych osobowych (jeżeli podstawą przetwarzania była taka zgoda);
      • osoba, której dane dotyczą wyrazi skuteczny sprzeciw wobec dalszego przetwarzania (jeżeli podstawą przetwarzania był uzasadniony interes banku);
      • nastąpi przedawnienie ewentualnych roszczeń zgodnie z obowiązującymi przepisami (jeżeli dane były przetwarzane w celu realizacji umowy, która może stanowić podstawę do formułowania takich roszczeń);
      • jeśli przetwarzanie danych wynika z obowiązku ciążącego na banku na podstawie przepisów prawa (np. prawa podatkowego, przepisów rachunkowych, dotyczących przeciwdziałania praniu pieniędzy, przepisów Prawa Bankowego) do czasu upływu terminów wynikających z tych przepisów.

      W związku z powyższym, co do zasady usuwamy lub anonimizujemy dane najpóźniej po
      przedawnieniu ewentualnych roszczeń wynikających z umowy kredytu z klientem.

  • 13.  

    Przydatne dokumenty i informacje

RODO w pytaniach i odpowiedziach

Poniżej znajdziesz wybrane przez nas, najbardziej praktyczne aspekty nowych przepisów. Materiał ten nie wyczerpuje obszernej tematyki Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO).

 

Jeśli chcesz dowiedzieć się więcej o reformie ochrony danych osobowych, zachęcamy do zapoznania się z treścią RODO oraz związanych z nim powszechnie obowiązujących przepisów prawa polskiego, bowiem to z RODO oraz właściwych przepisów prawa polskiego – wynikać będą Twoje prawa, a nasze obowiązki jako administratora danych.


Materiał ten ma jedynie charakter informacyjny i nie może być traktowany jako porada prawna.

Przetwarzamy Twoje dane osobowe, wtedy gdy:

  • wykonujemy umowę o kredyt hipoteczny lub rozpatrujemy wniosek o jej zmianę,
  • realizujemy nasz obowiązek prawny,
  • mamy (jako administrator danych) w tym uzasadniony interes,
  • odebraliśmy od Ciebie zgodę na przetwarzanie.

 

Jeżeli dane przetwarzamy na podstawie Twojej zgody, masz prawo w dowolnym momencie wycofać tę zgodę, co nie wpłynie jednak na zgodność z prawem przetwarzania, którego dokonaliśmy na podstawie zgody przed jej wycofaniem.


Gdy realizujemy nasz obowiązek prawny, wykonujemy zawartą z Tobą umowę lub przetwarzamy dane na podstawie naszego uzasadnionego interesu, mamy podstawę do przetwarzania Twoich danych niezależnie od Twojej zgody. RODO gwarantuje Ci, jednak określone prawa związane z takim przetwarzaniem Twoich danych; informacje dotyczące Twoich uprawnień znajdziesz w pakiecie RODO.

RODO powstało po to, by zapewnić wszystkim mieszkańcom Unii Europejskiej równie wysoką i skuteczną ochronę ich danych osobowych oraz prawo do prywatności. Dlatego warto znać swoje prawa oraz zasady, którymi powinny kierować się różne podmioty i instytucje – także banki, w tym mBank Hipoteczny – przetwarzając dane osobowe.

Nie musisz podejmować żadnych działań.


W przyszłości możemy prosić Cię o udzielenie zgody na przetwarzanie Twoich danych w konkretnym celu. W takiej sytuacji wyraźnie poinformujemy Cię, dlaczego i jak długo chcemy przetwarzać określone dane. Udzielenie przez Ciebie zgody będzie dobrowolne.


Dbamy również o to, by Twoje dane były aktualne i dokładne. Dlatego możemy co jakiś czas poprosić Cię o to, byś sprawdził i zaktualizował dane, które przetwarzamy. Prosimy też, byś informował nas  -za pośrednictwem mBanku - o wszelkich zmianach swoich danych osobowych (w szczególności takich jak imię i nazwisko, dane kontaktowe, adres).

Jeżeli jesteś naszym klientem, przetwarzamy Twoje dane w związku z udzielonymi przez nas lub przejętymi od mBanku kredytami hipotecznymi, a więc gdy wykonujemy umowy kredytowe lub rozpatrujemy wnioski o zmianę warunków tych umów.


Ponadto przetwarzamy Twoje dane wykonując obowiązki wynikające z innych niż RODO przepisów prawa, a więc np. gdy raportujemy do organów nadzorczych lub prowadzimy księgi rachunkowe i podatkowe.


Dane przetwarzamy również, gdy mamy – jako administrator danych – uzasadniony interes, np. przygotowujemy statystyki i raporty wewnętrzne lub w związku z dochodzeniem roszczeń.

Przetwarzamy przede wszystkim dane osobowe niezbędne do obsługi kredytu hipotecznego.


Są to dane identyfikacyjne i kontaktowe, w szczególności takie jak: imię i nazwisko, numer klienta (ID klienta), płeć, obywatelstwo, numer PESEL, data urodzenia, adres korespondencyjny, zamieszkania oraz zameldowania, email, numer telefonu stacjonarnego lub komórkowego, wykształcenie, zawód, stanowisko, wykonywana praca, dane z dokumentów (dowód osobisty, paszport, karta pobytu), NIP czy REGON.


Przetwarzamy także dane dotyczące członków rodziny (liczba posiadanych dzieci, rodzaj małżeńskiego ustroju majątkowego), dane finansowe (w szczególności takie jak numer rachunku bankowego, dochód, źródło dochodu, historia kredytowa) oraz dane dotyczące nieruchomości.

Naszym priorytetem jest bezpieczeństwo Twoich danych. Nigdy nie przekazujemy ich bez podstawy prawnej, w szczególności nieautoryzowanym instytucjom (np. firmom telemarketingowym).

Gdy wykonujemy nasze obowiązki (w tym prawne) i realizujemy umowy, możemy zgodnie z prawem przekazywać Twoje dane do:

  • Biura Informacji Kredytowej S.A.,
  • Ministerstwa Finansów,
  • Komisji Nadzoru Finansowego,
  • Związku Banków Polskich, Krajowej Izby Rozliczeniowej, Urzędu Ochrony Konkurencji i Konsumentów, Krajowej Administracji Skarbowej,
  • podmiotów, które wykonują zadania na naszą rzecz, w szczególności mBank (ich listę znajdziesz na naszej stronie internetowej pod adresem pod adresem https://www.mhipoteczny.pl/strefa-klienta/informacje-wymaganeprawem-bankowym , tj. na podstronie: Strefa klienta w zakładce: Informacje wymagane prawem bankowym w dokumencie: Informacja o przedsiębiorcach lub przedsiębiorcach zagranicznych)
  • bankom, instytucjom kredytowym i innym podmiotom uprawnionym na podstawie przepisów prawa do otrzymywania danych osobowych oraz informacji stanowiących tajemnicę bankową.

O profilowaniu danych mówimy wtedy, gdy wykorzystujemy algorytmy czy modele matematyczne, by ocenić Twój profil osobowy i następnie podejmować na tej podstawie decyzje, a także by zachować najlepszy standard obsługi.

W banku profilujemy Twoje dane, aby :

  • realizować ciążące na banku obowiązki prawne, w szczególności zapobiegać przestępstwom na szkodę naszego banku i klientów, przeciwdziałać praniu pieniędzy oraz zarządzać ryzykiem detalicznych ekspozycji kredytowych;
  • przeprowadzać ocenę zdolności i wiarygodności kredytowej, dzięki czemu budujemy prawidłowy i bezpieczny profil ryzyka banku;
  • zapewniać spersonalizowane funkcje w systemach bankowości elektronicznej, dostarczanych Ci za pośrednictwem mBanku, ułatwiające obsługę Twojego kredytu hipotecznego.

mBank Hipoteczny nie profiluje Twoich danych w celach marketingowych.

Kontakt

  • konsultanci mLinii: zadzwoń (801 300 800; +48 42 6 300 800; 783 300 800), lub pracownicy placówek mBanku, by złożyć dyspozycję, która dotyczy Twoich danych osobowych
  • Inspektor Ochrony Danych mBanku Hipotecznego: napisz, jeśli Twoja sprawa dotyczy sposobu, w jaki przetwarzamy dane w mBanku Hipotecznym (iod@mhipoteczny.pl)
  • Urząd Ochrony Danych Osobowych (UODO): jeśli chcesz wnieść skargę na to, jak przetwarzane są Twoje dane osobowe (uodo.gov.pl)

Jako mBank Hipoteczny realizujemy także obowiązek informacyjny dla Biura Informacji Kredytowej. Więcej informacji znajdziesz tutaj.