INFORMACJA O PRZETWARZANIU DANYCH OSOBOWYCH W MYŚL OGÓLNEGO ROZPORZĄDZENIA O OCHRONIE DANYCH OSOBOWYCH TZW. RODO
Szanowni Państwo,
W związku z realizacją obowiązków wynikających z art. 13 i 14 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), (dalej: RODO), Południowo-Mazowiecki Bank Spółdzielczy w Jedlińsku przedstawia informację o przetwarzaniu danych osobowych dotyczących następującej kategorii osób fizycznych:
- klientów,
- pełnomocników lub reprezentantów klientów,
- osób kontaktujących się z bankiem w jakichkolwiek sprawach,
- osób odwiedzających siedzibę lub oddziały banku,
- osób działających w imieniu kontrahentów świadczących usługi na rzecz banku,
- członków banku spółdzielczego.
I. Administrator
Administratorem danych w rozumieniu art. 4 pkt 7) RODO dotyczących danych osobowych osób wskazanych w powyższych kategoriach jest Południowo-Mazowiecki Bank Spółdzielczy w Jedlińsku (dalej: Bank) z siedzibą tamże, ul. Warecka 7, 26-660 Jedlińsk, zarejestrowany w Sądzie Rejonowym dla m.st. Warszawy w Warszawie, XIV Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS 0000106505, NIP 796-119-78-98, REGON 000498129. Kontakt do administratora możliwy jest za pośrednictwem telefonu kontaktowego pod numerem: 48 32 14 980, lub na adres poczty email: sekretariat@bsjedlinsk.pl
II. Inspektor Ochrony Danych
W Banku został wyznaczony Inspektor Ochrony Danych - Pan Tomasz Tołpa, z którym w sprawach dotyczących przetwarzana danych osobowych lub realizacji praw osób których dane dotyczą można kontaktować się za pośrednictwem poczty elektronicznej na adres: iod@bsjedlinsk.pl lub pisemnie (na adres siedziby Banku).
III. Kategorie danych osobowych
Bank przetwarza następujące kategorie danych:
- dane identyfikacyjne,
- dane kontaktowe,
- dane adresowe,
- dane finansowe,
- identyfikatory,
- dane dotyczące stanu cywilnego i sytuacji rodzinnej,
- dane dotyczące działalności zawodowej lub gospodarczej,
- dane z nagrań audio lub audiowizualnych,
- dane techniczne i dotyczące wyszukiwania na stronie internetowej.
IV. Cele oraz podstawa prawna przetwarzania danych osobowych
Dane osobowe mogą być przetwarzane przez Bank w następujących celach:
- wykonywania czynności bankowych, a w szczególności w celu podjęcia niezbędnych działań związanych z zawarciem i wykonaniem umowy z Bankiem oraz podjęciem przez Bank działań, na żądanie klienta lub osób reprezentujących klienta, przed zawarciem umowy, a dodatkowo w odniesieniu do umów o produkty o charakterze kredytowym w celu oceny zdolności kredytowej i analizą ryzyka kredytowego – podstawą prawną przetwarzania danych osobowych w tym zakresie jest odpowiednio art. 6 ust. 1 lit. b) lub 6 ust. 1 lit. c)lub art. 6 ust. 1 lit. f)RODO,
- statystycznych i analiz, których wynikiem nie są dane osobowe i wynik ten nie służy za podstawę podejmowania decyzji dotyczących konkretnej osoby fizycznej – podstawą prawną przetwarzania danych osobowych w tym zakresie jest prawnie uzasadniony interes Banku wynikający z przepisów Prawa bankowego, tj. art. 6 ust. 1 lit. f) RODO,
- stosowania metod wewnętrznych oraz innych metod, o których mowa w art. 105a ust. 4 Prawa bankowego – podstawą prawną przetwarzania danych osobowych w tym zakresie jest art. 6 ust. 1 lit. c) RODO,
- w zakresie przetwarzania w celach statystycznych i raportowania wewnętrznego – podstawą prawną przetwarzania danych osobowych w tym zakresie jest art. 6 ust. 1 lit. f) RODO,
- promocji i marketingu działalności prowadzonej przez Bank w trakcie obowiązywania umowy – podstawą prawną przetwarzania danych osobowych w tym zakresie jest prawnie uzasadniony interes realizowany przez Bank, tj. art. 6 ust. 1 lit. f) RODO,
- promocji i marketingu działalności prowadzonej przez Bank po rozwiązaniu, wygaśnięciu lub odstąpieniu od umowy – podstawą prawną przetwarzania danych osobowych w tym zakresie jest zgoda osoby, której dane dotyczą, tj. art. 6 ust. 1 lit. a) RODO,
- ustalenia i dochodzenia własnych roszczeń lub obrony przed zgłoszonymi roszczeniami – podstawą prawną przetwarzania danych osobowych w tym zakresie jest prawnie uzasadniony interes realizowany przez Bank, tj. art. 6 ust. 1 lit. f) RODO,
- wypełnienia obowiązków prawnych ciążących na Banku w związku
z prowadzeniem działalności bankowej oraz w związku z realizacją umowy – podstawą prawną przetwarzania danych osobowych w tym zakresie jest art. 6 ust. 1 lit. c) RODO; statystycznych i raportowania wewnętrznego – podstawą prawną przetwarzania danych osobowych w tym zakresie jest art. 6 ust. 1 lit. f) RODO,
- realizacji zadań wynikających z faktu posiadania statusu banku spółdzielczego, w szczególności w stosunku do członków banku spółdzielczego – podstawą prawną przetwarzania danych osobowych w tym zakresie jest odpowiednio art. 6 ust. 1 lit. c) lub art. 6 ust. 1 lit. f) RODO,
- zapewnienia bezpieczeństwa informatycznego Banku oraz usług elektronicznych świadczonych przez Bank, w tym bezpieczne i prawidłowe wyświetlanie stron internetowych lub komunikowania się przez te strony – podstawą prawną przetwarzania danych osobowych w tym zakresie jest art. 6 ust. 1 lit. f) RODO,
- przeprowadzenia, jeszcze przed zawarciem umowy, oceny odpowiedniości i adekwatności usług i instrumentów finansowych w ramach oferowania klientom instrumentów finansowych oraz świadczenia usług inwestycyjnych - jeżeli charakter zawieranej umowy z Bankiem wymaga dokonania takiej oceny - podstawę prawną stanowią przepisy o obrocie instrumentami finansowymi oraz właściwe przepisy wykonawcze, w tym zakresie Bank może dokonywać profilowania - w szczególności w celu sprawdzenia wiedzy i doświadczenia klienta w zakresie usług inwestycyjnych i usług finansowych oraz w celu zapewnienia zgodności produktów i usług z potrzebami i celami – podstawą przetwarzania danych osobowych w tym zakresie jest art. 6 ust. 1 lit. f) RODO,
- wykonywania obowiązków wynikających z prawa podatkowego, prawa spółek oraz przepisów prawa dotyczących obrotu instrumentami finansowymi, przepisów o rachunkowości lub archiwizacji, przepisów, które dotyczą przeciwdziałania czynom zabronionym przez prawo lub nakładających obowiązki w celu zachowania bezpieczeństwa transakcji wykonując w tym zakresie obowiązki identyfikacji i weryfikacji lub monitorowania stosunków gospodarczych (np. przepisów o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu lub przepisów dotyczących bezpieczeństwa usług płatniczych) – podstawą przetwarzania danych osobowych w tym zakresie jest art. 6 ust. 1 lit. c) RODO,
- wykonywania obowiązków, zaleceń lub rekomendacji wydanych przez uprawnione organy lub instytucje – podstawą przetwarzania danych osobowych w tym zakresie jest art. 6 ust. 1 lit. c) RODO,
- zapewnienia bezpieczeństwa osób (przede wszystkim Klientów oraz pracowników) i mienia Banku. Dotyczy to również monitoringu placówek Banku – z zachowaniem prywatności i godności osób – podstawą przetwarzania danych osobowych w tym zakresie jest art. 6 ust. 1 lit. f) RODO,
- zapewnienia bezpieczeństwa środków i transakcji, które nie wynika
z obowiązków nałożonych przepisami prawa, a z zasad i polityk przyjętych przez Bank – podstawą przetwarzania danych osobowych w tym zakresie jest art. 6 ust. 1 lit. f) RODO,
- utrwalania rozmów telefonicznych dla potrzeb dokonanych zleceń, zgłoszeń dot. blokowania kart i innych potrzeb dowodowych – podstawą przetwarzania danych osobowych w tym zakresie jest art. 6 ust. 1 lit. f) RODO,
- zawarcia i wykonania umów z osobami reprezentującymi klientów lub kontrahentów – podstawą przetwarzania danych osobowych w tym zakresie jest art. 6 ust. 1 lit. f) RODO,
- rozpatrzenia reklamacji, wniosków oraz odwołań od decyzji Banku - podstawą prawną przetwarzania danych osobowych w tym zakresie jest odpowiednio art. 6 ust. 1 lit. b) lub 6 ust. 1 lit. c)lub art. 6 ust. 1 lit. f)RODO,
V. Informacja o okresach przetwarzania danych osobowych
Okres przetwarzania danych zależy od celu, w jakim zostały zebrane i są przetwarzane lub od przepisów prawa lub zgód i innych oświadczeń osób których dane dotyczą. Zasadniczy okres przetwarzania danych nie przekracza okresu archiwizacji dokumentacji, który wynosi 6 (sześć) lat, z tym, że okres ten kończy się z upływem ostatniego dnia roku kalendarzowego, chyba, że przepisy prawa przewidują inny okres. Poniżej wskazujemy główne cele i odpowiadające im okresy przetwarzania danych. Informacje o pozostałych okresach przetwarzania danych przekazywane są w odrębnych klauzulach informacyjnych dedykowanych poszczególnym celom przetwarzania.
Bank będzie przechowywał dane osobowe:
- w związku z zawarciem umowy i w celu jej realizacji – przez okres obowiązywania umowy, a następnie przez okres oraz w zakresie wymaganym przez przepisy prawa, jak również przez okres niezbędny do ustalenia i dochodzenia własnych roszczeń lub obrony przed zgłoszonymi roszczeniami;
- dla celów wykonywania czynności bankowych, w szczególności dokonywania oceny zdolności kredytowej i analizy ryzyka kredytowego – przez okres trwania Pani/Pana zobowiązania, a po jego wygaśnięciu – tylko w przypadku wyrażenia przez Panią/Pana zgody lub spełnienia warunków, o których mowa w art. 105a ust. 3 Prawa bankowego, przy czym w żadnym wypadku nie dłużej niż przez okres 5 lat po wygaśnięciu zobowiązania;
- dla celów statystycznych i analiz – przez okres trwania zobowiązania oraz przez okres 12 lat od wygaśnięcia zobowiązania;
- w zakresie przetwarzania dla celów statystycznych i raportowania wewnętrznego – do czasu wypełnienia prawnie uzasadnionego interesu Banku stanowiącego podstawę tego przetwarzania lub do czasu wniesienia przez Panią/Pana sprzeciwu;
- w zakresie promocji i marketingu działalności prowadzonej przez Bank w trakcie trwania umowy – do momentu wniesienia przez Panią/Pana sprzeciwu;
- w zakresie promocji i marketingu działalności prowadzonej przez Bank po rozwiązaniu, wygaśnięciu lub odstąpieniu od umowy – do momentu wycofania przez Panią/Pana zgody;
- w zakresie ustalenia i dochodzenia własnych roszczeń lub obrony przed zgłoszonymi roszczeniami – do momentu przedawnienia potencjalnych roszczeń wynikających z umowy lub z innego tytułu;
- w zakresie nagrań rozmów telefonicznych przez okres 12 miesięcy.
- w zakresie wypełnienia obowiązków prawnych ciążących na Banku – przez okres, w jakim przepisy prawa nakazują bankom przechowywanie dokumentacji i wypełnianie względem Pani/Pana obowiązków z nich wynikających;
- w zakresie przetwarzania w celach statystycznych i raportowania wewnętrznego – do czasu wypełnienia prawnie uzasadnionych interesów Banku stanowiących podstawę tego przetwarzania lub do czasu wniesienia przez Panią/Pana sprzeciwu
VI. Informacja o okresach przetwarzania danych osobowych
Dane są przeznaczone dla Banku oraz mogą być przekazane następującym odbiorcom:
- podmiotom i organom, którym Bank jest zobowiązany lub upoważniony udostępnić dane osobowe na podstawie powszechnie obowiązujących przepisów prawa, w tym podmiotom lub organom uprawnionym do otrzymania od Banku danych osobowych lub uprawnionych do żądania dostępu do danych osobowych na podstawie powszechnie obowiązujących przepisów prawa (np. Biuro Informacji Kredytowej S.A. z siedzibą w Warszawie, Związek Banków Polskich z siedzibą w Warszawie, Narodowy Bank Polski, Komisja Nadzoru Finansowego, Spółdzielczy System Ochrony);
- podmiotom uczestniczącym w procesach niezbędnych do wykonywania zawartych z osobą, której dane dotyczą umów, w tym Krajowej Izbie Rozliczeniowej S.A., VISA, Mastercard, First Data Polska S.A.;
- biurom informacji gospodarczej, działającym na podstawie przepisów ustawy o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych, na podstawie przepisów tej ustawy (np. Krajowy Rejestr Długów S.A. z siedzibą we Wrocławiu, Biuro Informacji Gospodarczej InfoMonitor S.A. z siedzibą w Warszawie);
- podmiotom przetwarzającym dane osobowe osoby, której dane dotyczą w imieniu i na rzecz Banku w związku z dostarczanymi usługami na podstawie zawartych z Bankiem odpowiednich umów;
- podmiotom powiązanym działającym w ramach Spółdzielczej Grupy Bankowej;
- podmiotom wspierającym Bank w procesach biznesowych i w czynnościach bankowych.
VII. Zautomatyzowane podejmowanie decyzji, w tym profilowanie
Profilowanie należy rozumieć jako dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych cech osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się. W zakresie niezbędnym do zawarcia i wykonania umowy z Bankiem bądź wypełnienia obowiązków prawnych ciążących na Banku, dane osobowe osoby, której dane dotyczą mogą być przetwarzane w sposób zautomatyzowany, co może się wiązać ze zautomatyzowanym podjęciem decyzji, w tym profilowaniem. Tego rodzaju przypadki wystąpią w następujących sytuacjach:
- dokonywania oceny ryzyka prania pieniędzy oraz finansowania terroryzmu; ocena dokonywana jest na podstawie danych zadeklarowanych w dokumentach przedstawionych przy złożeniu dyspozycji lub zlecenia przeprowadzenia transakcji albo przy zawieraniu umowy w oparciu o ustalone kryteria (rodzaju klienta, obszaru geograficznego, przeznaczenia rachunku, rodzaju produktów, usług i sposobów ich dystrybucji, poziomu wartości majątkowych deponowanych przez klienta lub wartości przeprowadzonych transakcji, celu, regularności lub czasu trwania stosunków gospodarczych); konsekwencją dokonania oceny może być automatyczne zakwalifikowanie do grupy ryzyka, gdzie kwalifikacja do grupy nieakceptowanego ryzyka może skutkować blokadą i nienawiązaniem relacji; skutkiem ewentualnego stwierdzenia uzasadnionych podejrzeń prania pieniędzy lub finansowania terroryzmu jest zgłoszenie takiej transakcji do odpowiednich organów państwowych lub możliwość wypowiedzenia umowy;
- w celach marketingu i promocji działalności prowadzonej przez Bank – Pani/Pana dane osobowe (m. in. dane demograficzne, historia transakcji dokonywanych na rachunku z uwzględnieniem transakcji wykonywanych kartą płatniczą) mogą być wykorzystane do profilowania w celu skierowania do Pani/Pana spersonalizowanej oferty (bez negatywnych skutków dla Pani/Pana dotyczą w przypadku nieskorzystania z tej oferty);
- w uzasadnionych przypadkach możliwe jest podjęcie wobec osoby, której dane dotyczą zautomatyzowanej decyzji o odmowie wykonania transakcji płatniczej w przypadku podejrzenia, iż została zainicjowana przez osobę nieuprawnioną; identyfikacja takich przypadków odbywa się na podstawie profilowania ustalonego według kryteriów związanych z cechami Pani/Pana transakcji, w tym kwoty transakcji, miejsca inicjowania transakcji, sposobu jej autoryzowania.
VIII. Prawa osoby, której dane dotyczą
Osoba, której dane dotyczą może skorzystać wobec Banku z następujących praw:
- prawa do żądania dostępu do swoich danych osobowych, w tym uzyskania ich kopii (art. 15 RODO),
- prawo do żądania sprostowania danych osobowych (art. 16 RODO),
- prawa do ograniczenia przetwarzania jej danych w sytuacjach i na zasadach wskazanych w art. 18 RODO lub do ich usunięcia zgodnie z art. 17 RODO („prawo do bycia zapomnianym”),
- prawa do przenoszenia danych, w przypadku gdy podstawą ich przetwarzania jest udzielona zgoda osoby, której dane dotyczą lub zawarta umowa będąca podstawą przetwarzania, a dane te przetwarzane są w sposób automatycznych (art 20 RODO). W takiej sytuacji osoba ma prawo do otrzymania od Banku tych danych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego oraz prawo żądania bezpośredniego przeniesienia tych danych przez Bank innemu Administratorowi o ile jest to technicznie możliwe.
- prawa do wniesienia w dowolnym momencie sprzeciwu wobec przetwarzania jej danych osobowych z przyczyn związanych z jej szczególną sytuacją, o którym mowa w art. 21 ust. 1 RODO, w szczególności gdy podstawą przetwarzania danych jest prawnie uzasadniony interes administratora,
- prawa do cofnięcia zgody w dowolnym momencie bez podawania przyczyn i bez wpływu na zgodność z przetwarzaniem którego dokonano na podstawie zgody przed jej wycofaniem – w przypadku gdy podstawą przetwarzania danych jest udzielona zgoda na ich przetwarzanie,
- prawa wniesienia skargi na przetwarzanie jej danych osobowych przez Administratora do Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa).
IX. Źródło pochodzenia danych
Najczęściej dane osobowe pochodzą bezpośrednio od Państwa.
Niektóre jednak dane mogą pochodzić z innych źródeł np. z biur informacji gospodarczej, Biura Informacji Kredytowej S.A., Związku Banków Polskich, Systemu Elektronicznego Ksiąg Wieczystych, od podmiotów, którym udzielili Państwo zgody na ich przekazanie, od osób reprezentujących Państwa na podstawie udzielonego pełnomocnictwa, przedsiębiorców, pracodawców, w tym stron umów zawieranych z Bankiem.
Niektóre dane przedsiębiorców Bank pozyskuje ze źródeł publicznych: z Krajowego Rejestru Sądowego (KRS), Centralnej Ewidencji Działalności Gospodarczej (CEIDG).
Dane osób reprezentujących przedsiębiorców lub też działających w inny sposób na ich rzecz pozyskiwane są zarówno od przedsiębiorców, jak i z wyżej wymienionych źródeł.
X. Przekazanie danych osobowych do państwa trzeciego
Bank w przypadkach uzasadnionych i koniecznych, w celu wykonania umowy (np. realizacji Pani/Pana dyspozycji związanych z umową), a także w przypadkach, gdy transfer danych osobowych jest konieczny przekaże Pani/Pana dane osobowe do organizacji międzynarodowych (np. SWIFT) lub udostępni Pani/Pana dane osobowe podmiotom mającym siedzibę poza Europejskim Obszarem Gospodarczym (EOG).
XI. Obowiązek podania danych osobowych
Podanie przez Państwa danych osobowych jest dobrowolne, jednakże jest konieczne dla rozpatrzenia wniosku o produkt oferowany przez Bank, zawarcia i realizacji umowy, ustawowo określonych uprawnień i obowiązków Banku związanych z wykonywaniem czynności bankowych oraz świadczenia usług przez Bank, w tym usług elektronicznych, marketingowych, informacyjnych i tak np. w przypadku rozpatrzenia wniosku o produkt oferowany przez Bank lub usługę świadczoną przez Bank, niepodanie danych skutkuje tym, że Bank nie będzie miał możliwości rozpatrzenia wniosku o produkt oferowany przez Bank lub usługę świadczoną przez Bank i zmuszony będzie odmówić świadczenia współpracy.
W zakresie w jakim dane osobowe są zbierane na podstawie Państwa zgody, podanie danych osobowych jest dobrowolne.
Aby Bank mógł spełnić swoje obowiązki wynikające m.in. z przepisów RODO lub w ramach realizacji czynności bankowych wymagane jest dostarczenie Bankowi niezbędnych informacji i dokumentacji oraz niezwłocznego powiadomienia Banku o wszelkich zmianach.
Jeśli Państwo nie dostarczą Bankowi niezbędnych informacji i dokumentów, Bank nie będzie mógł zawrzeć z Państwem ani realizować umów oraz prowadzić Państwa obsługi.