RODO - lepsza ochrona Twoich danych

RODO (Rozporządzenie o Ochronie Danych Osobowych) zaczniemy stosować od 25 maja 2018 r.

Pełna nazwa to: Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

Jaki jest cel RODO?

RODO wprowadza i ujednolica zasady przetwarzania danych osobowych na terenie całej Unii Europejskiej. W szczególności dba o bezpieczeństwo danych osobowych i chroni prawo do prywatności.

Krótki słowniczek pojęć:

„Administrator” – to osoba lub podmiot, który (samodzielnie lub wspólnie z innymi administratorami) ustala, po co i jak będzie przetwarzać dane osobowe. Administratorem danych osobowych jest mBank S.A. z siedzibą w Warszawie.
„Dane osobowe” -to informacje, które identyfikują (lub pozwalają zidentyfikować) osobę fizyczną (zwaną też „osobą, której dane dotyczą”). Będą to w szczególności: imię i nazwisko, adres, numer telefonu, data urodzenia, NIP, PESEL, wynagrodzenie, wizerunek utrwalony w obrazie monitoringu wizyjnego lub rozmowy wideo, głos itp.
„Podmiot przetwarzający” – to osoba fizyczna lub podmiot, który przetwarza dane osobowe w imieniu administratora.

„Profilowanie” - to sposób zautomatyzowanego przetwarzania danych osobowych, które wykorzystuje dane osobowe po to, aby ocenić, czy klient posiada pewne cechy.

„Przetwarzanie danych osobowych” - to działania dotyczące danych osobowych. Mogą one odbywać się automatycznie lub ręcznie. O przetwarzaniu mówimy wtedy, gdy dane: zbieramy, utrwalamy, organizujemy, porządkujemy, przechowujemy, adaptujemy lub modyfikujemy, pobieramy, przeglądamy, wykorzystujemy, ujawniamy (np. przesyłając), rozpowszechniamy, udostępniamy, dopasowujemy lub łączymy, ograniczamy, usuwamy lub niszczymy.

"Osoba, której dane dotyczą" - w szczególności klient banku, potencjalny klient, reprezentant klienta, pełnomocnik klienta, beneficjent rzeczywisty, członkowie organów spółek, zbywca nieruchomości.

Jak komunikujemy się z osobami, których dane dotyczą?

We wszystkich sprawach, w tym też w kwestiach danych osobowych, komunikujemy się z naszymi klientami: przez stronę internetową, serwis transakcyjny, mail, telefon/wideo i pocztę oraz w naszych placówkach. W umowie z klientem wskazujemy, jakie formy kontaktu z nim uzgodniliśmy.

Dane teleadresowe mBanku: 

• Centrala i Zarząd mBanku:
  ul. Prosta 18, 00-850 Warszawa
  Tel.: (22) 829 00 00

• Centrum klienta korporacyjnego:
  tel.: 801 273 273

Adres strony internetowej: www.mbank.pl

RODO formułuje 6 zasad przetwarzania danych osobowych, którymi kieruje się nasz bank, gdy przetwarzamy dane osobowe. Są nimi:

• zasada zgodności z prawem, rzetelności i przejrzystości: przetwarzamy dane osobowe w sposób zgodny z przepisami prawa. O wszystkich kwestiach z tym związanych informujemy wyczerpująco ustalonymi kanałami komunikacji i jak najprostszym językiem, by osoby, których dane dotyczą, były świadome, że zbieramy, przechowujemy lub w inny sposób przetwarzamy ich określone dane osobowe;
• zasada minimalizacji i adekwatności danych: przetwarzamy tylko te dane (adekwatne, stosowne), które są rzeczywiście potrzebne, by zrealizować dany cel;
• zasada prawidłowości danych: dokładamy najwyższej staranności, by dane, które przetwarzamy, były zgodne z prawdą, aktualne i dokładne. Dlatego możemy co jakiś czas prosić osoby, których dane przetwarzamy, o to, by sprawdziły i zaktualizowały swoje dane. Prosimy ich też o to, by klienci informowali nas o wszelkich zmianach swoich danych osobowych (imię i nazwisko, adres itp.);
• zasada ograniczenia celu oraz przechowywania przetwarzanych danych: dane osobowe zbieramy jedynie w konkretnym, wyraźnym i prawnie uzasadnionym celu, którego nie moglibyśmy osiągnąć w inny sposób. Przechowujemy dane w formie, która umożliwia identyfikację osoby, której dane dotyczą. Przetwarzamy je tylko tak długo, jak jest to niezbędne, by zrealizować cel, dla którego je pozyskaliśmy (chyba, że do dalszego przetwarzania zobowiązują nas przepisy prawa);
• zasada integralności i poufności danych: zapewniamy takie rozwiązania informatyczne i organizacyjne, dzięki którym dane osobowe, które przetwarzamy, są bezpieczne. Chronimy dane przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem;
• zasada rozliczalności: jesteśmy w stanie wykazać (w sposób, jakiego wymaga od nas prawo), że w odniesieniu do danych osobowych działamy zgodnie z przepisami prawa, uwzględniamy ochronę danych w fazie projektowania (np. nowego produktu) oraz zapewniamy domyślną ochronę danych osobowych.

Jakie dane przetwarzamy i na jakiej podstawie?

Przetwarzamy ogólne i szczególne dane osobowe. Najczęściej przetwarzamy ogólne dane takie, jak:

• imię i nazwisko;
• inne dane identyfikacyjne: płeć, numer PESEL, data, miejsce i kraj urodzenia, adres zamieszkania, korespondencyjny lub zameldowania, e-mail, telefon kontaktowy;
• numer klienta (ID klienta);
• numer identyfikacji podatkowej (NIP) lub numery identyfikacji podatkowych jurysdykcji innych niż polska;
• numer REGON;
• dane dotyczące rozmów z nami;
• numer i seria dowodu osobistego / paszportu / karty stałego pobytu / innego dokumentu dodatkowo potwierdzającego tożsamość klienta, data wydania i data ważności dokumentu;
• dane ujawnione w dokumentach dotyczących nabywanej przez klienta nieruchomości w tym dane zbywcy nieruchomości wymagane do wykonania operatu szacunkowego;
• wizerunek utrwalamy w ramach monitoringu pomieszczeń bankowych lub spotkań wideo w procesie nawiązywania relacji biznesowych lub bieżącej obsługi;
• ciasteczka, których zasady przetwarzania opisaliśmy w Polityce cookies mBanku dostępnej na stronie mbank.pl/o-nas/o-mbanku/polityka-prywatnosci.html;
• inne dane potrzebne do tego, byśmy mogli zrealizować określony cel;
• informacje o pełnomocnictwach i uprawnieniach pracowników do reprezentacji kontrahenta;
• numery legitymacji i dokumentów potwierdzających dane

Dane osobowe możemy przetwarzać, gdy:

• osoba, której dane dotyczą wyraziła na to zgodę: na tej podstawie przetwarzamy dane, gdy prowadzimy marketing produktów lub usług podmiotów innych niż nasz bank i podmioty z naszej grupy kapitałowej (marketing usług naszych i podmiotów z naszej grupy kapitałowej nie wymaga zgody) czy rozmawiamy przez telefon lub wideo;
• robimy to, aby rozpatrzyć wnioski i wykonywać umowy między nami a osobą, której dane dotyczą, w tym gdy:

1. obliczamy zdolność kredytową, aby rozpatrzyć wniosek o kredyt;
2. rozpatrujemy wnioski o produkty bankowe (rachunki, lokaty itp.);
3. obsługujemy reklamacje;

• realizujemy w ten sposób obowiązek prawny; na tej podstawie przetwarzamy dane po to, by przeciwdziałać nadużyciom i zapewniać bezpieczeństwo obrotu gospodarczego. Szczególne obowiązki nakładają na nas takie przepisy prawa, jak: Prawo bankowe; Ustawa o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu czy Ustawa o obrocie instrumentami finansowymi;
• wymaga tego nasz (administratora) prawnie uzasadniony interes, czyli w sytuacjach, gdy:
  – budujemy prawidłowy i bezpieczny model ryzyka dla portfela kredytowego, oceniając zdolność kredytową;
  – wyceniamy i monitorujemy wartość zabezpieczenia, analizujemy portfel naszych zabezpieczeń;
  – prowadzimy marketing bezpośredni produktów lub usług naszego banku i podmiotów z naszej grupy kapitałowej (ich pełny spis znajduje się na https://www.mbank.pl/o-nas/grupa/);
  – ustalamy roszczenia oraz dochodzimy ich lub bronimy się przed nimi;
  – przygotowujemy statystyki i raporty;
  – budujemy, monitorujemy i zmieniamy metody wewnętrzne oraz metody i modele w sprawie wymogów ostrożnościowych, w tym ryzyka operacyjnego;
  – badamy satysfakcję klientów;
  – przygotowujemy lub zmieniamy naszą ofertę oraz plany operacyjne i strategię banku;
  – sprzedajemy wierzytelności;
  – archiwizujemy dane;
  – zapobiegamy przestępstwom i wykrywamy je (dbamy o bezpieczeństwo).

• Szczególne dane osobowe:

Za zgodą osoby, której dane dotyczą, przetwarzamy informacje, które samodzielnie nam przekazała, o:

- niepełnosprawności. Robimy to po to, abyśmy mogli dostosować nasze usługi do potrzeb klientów z niepełnosprawnościami (np. słabosłyszących, słabowidzących);

- stanie zdrowia i trudnej sytuacji życiowej.

Przetwarzamy dane, które osoby, których dane dotyczą, podają nam na formularzach, np. gdy otwierają rachunek, wnioskują o kredyt lub przekazują podczas spotkań z pracownikami banku.

Możemy również wykorzystywać dane, które przekazali nam inni administratorzy (np. Biuro Informacji Kredytowej S.A., Ministerstwo Finansów lub organy ścigania) lub które pozyskaliśmy z ogólnie dostępnych baz danych (np. Centralnej Ewidencji i Informacji o Działalności Gospodarczej oraz Krajowego Rejestru Sądowego) albo które pozyskaliśmy od zewnętrznych dostawców na podstawie zawartych z nimi umów lub od naszych klientów w związku z realizacją obowiązków wynikających z przepisów prawa.

W przypadku zbywcy nieruchomości, ich dane otrzymujemy od osób wnioskujących o kredyt.

O profilowaniu danych mówimy wtedy, gdy wykorzystujemy algorytmy czy modele matematyczne, by określać cechy, preferencje i przyszłe zachowania klientów. Stosujemy odpowiednie rozwiązania (techniczne i organizacyjne), by zmniejszyć ryzyko błędów w procedurach profilowania.

Dokładamy wszelkich starań, aby ocena była obiektywna, a nasze procesy nie dyskryminowały klientów. Nasze modele statystyczne są zgodne z dobrymi praktykami rynku bankowego (ujętymi m.in. w Rekomendacji W Komisji Nadzoru Finansowego).

Profilujemy, by realizować nasze obowiązki prawne:

• dbamy o bezpieczeństwo przechowywanych środków i wykonywania transakcji;
• przeciwdziałamy praniu pieniędzy i finansowaniu terroryzmu, budujemy modele, dzięki którym rozpoznajemy takie działania przestępcze;
• określamy, jakie produkty i usługi nie odpowiadają potrzebom poszczególnych grup klientów, i powstrzymujemy się od ich oferowania – w ten sposób chronimy klientów przed nieodpowiednią sprzedażą produktów finansowych (tzw. missellingiem);
• badamy poziom wiedzy inwestycyjnej i doświadczenia klientów (by ocenić, czy dana usługa maklerska lub inwestycyjna jest odpowiednia dla danego klienta);
• monitorujemy jakość spłaty udzielonych kredytów, przez co skutecznie zarządzamy ryzykiem detalicznych ekspozycji kredytowych.

Profilujemy, gdy jest to niezbędne, by zawrzeć lub wykonać umowę:
gdy klient wnioskuje o kredyt lub zmianę warunków posiadanego kredytu, przeprowadzamy ocenę zdolności i wiarygodności kredytowej takiej osoby. Działanie to pozwala nam budować prawidłowy i bezpieczny profil ryzyka banku. Możemy w tym celu wysyłać zapytania do baz zewnętrznych.

Profilujemy, by realizować nasz prawnie uzasadniony interes:

• przeprowadzamy ocenę zdolności i wiarygodności kredytowej osoby, której dane dotyczą, aby budować bezpieczny profil ryzyka banku i ustalać kwoty kredytu/limitu kredytowego, które klient mógłby otrzymać w prosty i szybki sposób (bez dodatkowych dokumentów czy wizyty w placówce);
• dostarczamy spersonalizowane funkcje w systemach bankowości elektronicznej (serwis transakcyjny, aplikacja mobilna), które wspomagają zarządzanie finansami (m.in. kategoryzację płatności klienta w historii transakcji, asystenta płatności itp.);
• pełna lista tych funkcjonalności jest dostępna na www.mbank.pl/rodo;
• prowadzimy marketing bezpośredni produktów i usług banku i spółek z naszej grupy kapitałowej, by obsługiwać i oferować nasze produkty możliwie adekwatnie do potrzeb i bieżącej sytuacji klienta (m.in. w zakresie kanałów obsługi, specyfiki produktów, opłat, procesów komunikacyjnych), przypisujemy klientów do określonych grup (dochodowych, marketingowych, produktowych), by obsługiwać ich zgodnie z indywidualnymi potrzebami (w zakresie usług, kosztów, kanałów obsługi, procesów komunikacyjno-sprzedażowych).

Wszystkie informacje na temat przetwarzania i ochrony danych osobowych są cały czas dostępne dla klientów na naszej stronie www.mbank.pl/rodo . Chętnie odpowiadamy też na wszystkie pytania zadawane przez klientów w tym zakresie. Przekazujemy indywidualne informacje wtedy, gdy zbieramy dane lub gdy zmieniamy cel ich przetwarzania. 

Kiedy informujemy?

Jeżeli zbieramy dane bezpośrednio od osoby, której dane dotyczą, przekazujemy taką informację od razu. Gdy dane pochodzą z innego źródła, przekazujemy je osobie, której dotyczą:

• w rozsądnym terminie, nie później jednak niż w ciągu miesiąca od pozyskania danych;
• najpóźniej przy pierwszej komunikacji z osobą, której dane dotyczą (jeżeli wykorzystujemy dane właśnie w komunikacji z tą osobą);

chyba, że udzielenie informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku.

Jak informujemy?

Informacje te możemy przekazywać:

• w klauzulach informacyjnych – zamieszczamy je w dokumentach przeznaczonych dla osoby, której dane dotyczą, lub w systemach bankowości elektronicznej (serwis transakcyjny, aplikacja mobilna);
• osobiście bądź telefonicznie, w trakcie rozmowy z przedstawicielem naszego banku;
• elektronicznie, w tym poprzez umieszczenie tej informacji na naszej stronie internetowej.

Uprawnienia realizujemy po pozytywnej identyfikacji tożsamości osoby, której dane dotyczą. Wniosek o realizację uprawnienia w szczególności można złożyć w placówce lub poprzez system bankowości elektronicznej. Odpowiedź wysyłamy na adres, który podała nam osoba, której dane dotyczą.

Prawo dostępu do danych

Osoba, której dane dotyczą, ma prawo dostać od nas informację o tym, czy przetwarzamy jej dane osobowe. Zainteresowana osoba ma prawo wiedzieć:

• dlaczego przetwarzamy określone dane;
• jakie dane przetwarzamy;
• jakim odbiorcom lub kategoriom odbiorców ujawniliśmy (lub możemy ujawnić) dane;
• jak długo planujemy (o ile można to określić) przetwarzać dane albo na podstawie jakich kryteriów ustalaliśmy ten okres.

Prawo do sprostowania danych

Osoba, której dane dotyczą może żądać, byśmy niezwłocznie sprostowali je nieprawidłowe dane osobowe lub uzupełnili niekompletne dane. Aby sprostować dane osoby, której dane dotyczą musimy otrzymać od niej wniosek, złożony w oddziale korporacyjnym, w którym określi zakres sprostowania.

Prawo do usunięcia danych (prawo do bycia zapomnianym)

Osoba, której dane dotyczą, może żądać, byśmy usunęli jej dane, gdy:

• dane nie są już niezbędne, by zrealizować cel, dla którego je zebraliśmy,
• dane nie były przetwarzane zgodnie z RODO lub innymi przepisami prawa.

Aby usunąć dane osoby, której dane dotyczą, musimy otrzymać od niej odpowiedni wniosek, w którym określi swoje żądania. Uwzględnimy je, gdy – w naszej ocenie – nie będziemy mieć prawnie uzasadnionych podstaw, by kontynuować przetwarzanie.

Żądanie uwzględnimy tak szybko, jak to będzie możliwe, biorąc pod uwagę okoliczności i nasze możliwości techniczne.

Jeżeli usuniemy dane osoby, której dane dotyczą, mamy prawo zachować informacje o tym, na czyj wniosek to zrobiliśmy.

Prawo do ograniczenia przetwarzania danych osobowych

Osoba, której dane dotyczą może również żądać, byśmy ograniczyli przetwarzanie jej danych. Prawo to dotyczy następujących sytuacji:

• osoba, której dane dotyczą wskaże, że dane, które przetwarzamy nie są prawidłowe;
• osoba, której dane dotyczą uważa, że przetwarzamy dane niezgodnie z prawem i żąda, abyśmy ograniczyli ich wykorzystanie (ale sprzeciwia się usunięciu;
• nie potrzebujemy już danych osobowych, by osiągnąć zamierzony cel, ale osoba, której dane dotyczą, sprzeciwia się, byśmy usunęli jej dane, gdyż potrzebuje ich, aby dochodzić lub bronić swoich roszczeń;
• osoba, której dane dotyczą chce złożyć sprzeciw z przyczyn związanych z jej szczególną sytuacją (gdy przetwarzamy dane na podstawie naszego uzasadnionego interesu).

Mogą zdarzyć się sytuacje, gdy będziemy przetwarzać dane, pomimo żądania osoby, której dane dotyczą, aby ograniczyć przetwarzanie jej danych. Dotyczy to w szczególności sytuacji, gdy ustalamy lub dochodzimy roszczeń albo bronimy się przed nimi.

Aby ograniczyć przetwarzanie danych osoby, której dane dotyczą, musimy otrzymać od niej odpowiedni wniosek.

Prawo do przenoszenia danych

Każda osoba, której dane dotyczą, ma prawo przenieść swoje dane. Przekażemy dane bezpośrednio osobie, która o nie wnioskuje, oraz dodatkowo wskazanemu przez nią administratorowi.

Dane przekażemy w formie zaszyfrowanej w e-mailu. W zestawieniu uwzględnimy dane, które osoba wnioskująca sama nam przekazała, oraz dane, które powstały dzięki jej działaniom. Nie udostępnimy danych, które sami wywnioskowaliśmy.

Jeżeli nie będziemy mogli oddzielić danych osoby wnioskującej od innych danych, które są w naszych systemach, możemy wstrzymać się z realizacją żądania – do czasu, gdy wspólnie uzgodnimy, które dane możemy udostępnić.

Prawo sprzeciwu wobec przetwarzania

Osoba, której dane dotyczą, może sprzeciwić się przetwarzaniu przez nas swoich danych osobowych, które odbywa się w oparciu o nasz prawnie uzasadniony interes. Osoba wnioskująca powinna każdorazowo wskazać nam, jaki konkretnie sprzeciw składa.

Osobie, której dane dotyczą, przysługuje w szczególności sprzeciw wobec:

• marketingu produktów i usług banku oraz spółek z naszej grupy kapitałowej;
• marketingu opartego na profilowaniu.

Kiedy osoba, której dane dotyczą, chce skorzystać ze swoich uprawnień, może złożyć odpowiedni wniosek.

W tym wniosku osoba, której dane dotyczą, powinna wskazać dane, które pozwolą nam zidentyfikować jej tożsamość, czyli:

• imię i nazwisko;
• numer PESEL;
• rodzaj, serię i numer dokumentu tożsamości;
• adres do korespondencji (ulica, numer domu/mieszkania, miejscowość, kod pocztowy, kraj);
• REGON oraz NIP (w przypadku osoby fizycznej prowadzącej działalność gospodarczą);
• adresy poczty elektronicznej oraz numery telefonów komórkowych, którymi klient posługuje się albo posługiwał się w kontaktach z nami;
• czy i jakie umowy klient zawarł z naszym bankiem (posiada albo posiadał w przeszłości).

O naruszeniu ochrony danych osobowych mówimy wtedy, gdy administrator przypadkowo lub niezgodnie z prawem zniszczy, utraci, zmodyfikuje, ujawni lub udostępni dane osobowe.

Kogo i kiedy poinformujemy, gdyby w naszym banku doszło do naruszenia?

Komu i w jakim celu możemy przekazywać dane klientów?

Zgodnie z prawem, dane klientów możemy przekazywać innym instytucjom, aby zawierać i wykonywać umowy z klientami oraz realizować ustawowe obowiązki.

Dane klientów przekazujemy instytucjom lub podmiotom, którymi są w szczególności:

• Związek Banków Polskich, administrator bazy danych „System Bankowy Rejestr” (BR);
• Biuro Informacji Kredytowej. Więcej informacji na stronie www.mbank.pl/rodo;
• biura informacji gospodarczej;
• banki (zapytania o klientów – art. 105 ust. 1 Prawa bankowego);
• Ministerstwo Finansów (co miesiąc wysyłamy do Generalnego Inspektora Informacji Finansowej rejestry transakcji, zgodnie z przepisami dotyczącymi przeciwdziałania praniu pieniędzy oraz finansowania terroryzmu);
• Urząd Ochrony Konkurencji i Konsumentów, Komisja Nadzoru Finansowego, Rzecznik Finansowy, Krajowa Administracja Skarbowa, Narodowy Bank Polski, Bankowy Fundusz Gwarancyjny zgodnie z obowiązującymi przepisami prawa;
• podmioty, z którymi zawarliśmy umowy outsourcingowe w trybie wynikającym z Prawa bankowego (w szczególności są to nasi pośrednicy kredytowi czy też firmy kurierskie dostarczające dokumenty klientom) – ich pełna lista znajduje się pod linkiem https://www.mbank.pl/o-nas/informacje-wymagane-przepisami-prawa/ (w pliku o nazwie Informacje o przedsiębiorcach zgodnie z art.111b ustawy Prawo bankowe);
• SWIFT - Międzynarodowe Stowarzyszenie Międzybankowej Transmisji Danych Finansowych (na podstawie umowy między Unią Europejską a Stanami Zjednoczonymi Ameryki o przetwarzaniu i przekazywaniu z Unii Europejskiej do Stanów Zjednoczonych danych z komunikatów finansowych do celów Programu śledzenia środków finansowych należących do terrorystów).
• podmioty trzecie – podmioty wchodzące w skład Grupy kapitałowej mBanku, Commerzbank AG, podmioty wchodzące w skład Grupy Commerzbanku lub partnerzy banku (w oparciu o zgodę lub upoważnienia osób, których dane dotyczą lub zgodnie z zawartą z klientem umową); którym przekazanie danych jest konieczne dla wykonania określonej czynności np. transakcji płatniczej lub innej usługi lub czynności; które są izbami rozliczeniowymi, lub innymi podmiotami prowadzącymi rozliczenia lub rozrachunek, instytucjami lub schematami płatniczymi, lub podmiotami, które takie podmioty reprezentują.

Dane osobowe możemy przekazywać wtedy, gdy są ku temu podstawy, podmiotom z Europejskiego Obszaru Gospodarczego (EOG). Tworzą go państwa Unii Europejskiej, Islandia, Norwegia i Liechtenstein. Do państwa trzeciego (spoza EOG) możemy przekazać dane osobowe, jeżeli gwarantuje ono przynajmniej taką ochronę danych, jaka obowiązuje w Polsce. W praktyce taką gwarancją jest to, że dane państwo zostało uznane przez Komisję Europejską za kraj, który zapewnia odpowiednią ochronę.

Możemy bez zgody urzędu nadzorującego ochronę danych osobowych w Polsce przekazywać dane osobowe do innych państw trzecich, gdy w umowach z podmiotami z tych państw zastosowaliśmy specjalne rozwiązania, takie jak standardowe klauzule ochrony danych osobowych zatwierdzone przez Komisję, przewidziane przez prawo lub zatwierdzone przez urząd nadzorujący ochronę danych osobowych w Polsce. Informacje na temat takich rozwiązań lub, w razie takiej możliwości, ich kopię, możesz uzyskać kontaktując się z nami.

Dostęp do danych osobowych może wyjątkowo uzyskać administracja rządowa Stanów Zjednoczonych Ameryki, gdyż przelewy zagraniczne realizujemy za pośrednictwem SWIFT (Stowarzyszenia na Rzecz Światowej Międzybankowej Telekomunikacji Finansowej). Władze amerykańskie zobowiązały się, że będą wykorzystywać te dane wyłącznie do walki z terroryzmem (z poszanowaniem gwarancji, które zapewnia europejski system ochrony danych osobowych). Więcej informacji na temat zasad przetwarzania danych osobowych przez SWIFT znajdziesz pod adresem https://www.swift.com/about-us/legal/compliance/data-protection-policies

Powołaliśmy Inspektora Danych Osobowych – Agatę Rowińską.

Kontakt z Inspektorem Danych Osobowych:

• mailowo: inspektordanychosobowych@mbank.pl
• pocztą wysłaną na adres:

Inspektor Danych Osobowych 
mBank S.A. 
ul. Prosta 18, 00-850 Warszawa

Jeśli osoba, której dane dotyczą, podejrzewa, że jej dane są przetwarzane niezgodnie z RODO, może wnieść skargę do organu nadzorczego w zakresie ochrony danych osobowych (UODO) w sposób wskazany na stronie internetowej organu nadzorczego pod adresem https://www.uodo.gov.pl.

Dane przetwarzamy przez czas, jaki jest niezbędny, aby osiągnąć cel przetwarzania, tj.:

• 5 lat, gdy nie zawrzemy umowy o korzystanie z produktu depozytowego
• 2 lata, gdy nie zawrzemy umowy o produkt kredytowy lub nie wydamy karty kredytowej
• nie dłużej niż 10 lat po rozwiązaniu umowy (aby móc ustalić nasze roszczenia, dochodzić ich albobronić lub w związku z koniecznością wypełnienia obowiązku prawnego)
• 90 dni od dnia nagrania monitoringu wizyjnego.

Stosujemy zasadę ograniczenia przechowywania danych osobowych, która zabezpiecza dane przed ich przetwarzaniem przez nieograniczony okres. Gdy osiągniemy cel przetwarzania, usuwamy lub anonimizujemy dane (ich odzyskanie jest wówczas niemożliwe). Wyjątkiem są sytuacje, gdy musimy przechowywać dane z powodu odrębnych przepisów (np. aby realizować zadania związane z zapobieganiem przestępstwom)

• www.mbank.pl/rodo/
• strona Urzędu Ochrony Danych Osobowych: www.uodo.gov.pl
• tekst RODO:  https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX%3A32016R0679