Od 25 maja 2018 roku mają zastosowanie przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO). Najważniejszym celem RODO jest wzmocnienie ochrony danych osobowych osób fizycznych, które są gromadzone i przetwarzane przez firmy oraz instytucje prowadzące działalność na terenie Unii Europejskiej.
Warto wiedzieć coś więcej o RODO - dlatego przygotowaliśmy poniższe informacje. Informacje będą uzupełniane i aktualizowane na bieżąco, dlatego prosimy o odwiedzanie naszej strony.
RODO - Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Rozporządzenie ma na celu ochronę podstawowych praw i wolności osób fizycznych, w szczególności prawa do ochrony danych osobowych. W tej chwili brak jeszcze przepisów krajowych, zachęcamy jednak do śledzenia tematu.
RODO ma zastosowanie od 25 maja 2018 r.
Administrator - oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.
Administratorem danych osobowych jest PKO Bank Hipoteczny Spółka Akcyjna z siedzibą w Warszawie, adres: ul. Puławska 15, 02-515 Warszawa.
Administratorami danych osobowych Klientów PKO Banku Hipotecznego są PKO Bank Hipoteczny Spółka Akcyjna i PKO Bank Polski Spółka Akcyjna. Więcej informacji na ten temat podajemy w zakładce „Informacja o przetwarzaniu danych osobowych Klientów PKO Banku Hipotecznego”.
Dane osobowe - oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej; możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden, bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Dane osobowe Klientów (np. imiona i nazwiska, data i miejsce urodzenia, adres zamieszkania, numer pesel, numer telefonu) przetwarzane są przez Bank w celach obsługi produktów i świadczonych usług.
Odbiorca - oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią.
Bank udostępnia dane osobowe Klientów odbiorcom danych, którymi mogą być np. podmioty oraz organy uprawnione na podstawie powszechnie obowiązujących przepisów prawa np. inne banki, sądy, prokuratura, Biuro Informacji Kredytowej S.A.
Organ nadzorczy - oznacza niezależny organ publiczny ustanowiony przez państwo członkowskie w celu ochrony podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem danych.
Organem nadzorczym jest Prezes Urzędu Ochrony Danych Osobowych.
Przetwarzanie - oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Bank przetwarza dane osobowe tzn. zbiera, utrwala, przechowuje, usuwa lub niszczy.
Profilowanie - oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
Narzędzia oparte na profilowaniu wykorzystywane są przez Bank do kilku celów.
- profilowanie w celach oceny zdolności i wiarygodności kredytowej wspiera proces oceny transakcji oraz Klienta poprzez wykorzystanie historycznych informacji o poziomie ryzyka kredytowego dla poszczególnych grup Klientów, np. wyższą ocenę uzyska Klient regulujący terminowo swoje zobowiązania kredytowe.
Wyrażenie sprzeciwu na profilowanie w celach oceny zdolności i wiarygodności kredytowej może oznaczać:
- brak możliwości przeprowadzenia automatycznej oceny wiarygodności kredytowej, w efekcie znaczne wydłużenie procesu kredytowego,
- brak możliwości realizacji obowiązku Banku oceny wniosku Klienta zgodnie z rekomendacjami Regulatora (np. Rekomendacja T) i odmową kredytowania.
- profilowanie realizowane w celu zapobiegania przestępstwom, i przeciwdziałania praniu pieniędzy, w tym budowanie modeli wynikające z obowiązków Banku określonych przepisami powszechnie obowiązującego prawa.
Zgoda na przetwarzanie danych osobowych – oznacza okazanie woli osoby, której dane dotyczą, którego treścią jest przyzwolenie na przetwarzanie danych osobowych. Udzielenie zgody powinno być dobrowolne, konkretne, świadome i jednoznaczne.
Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie.
W związku z obsługą produktów bankowych, czy realizacji świadczonych usług dane Klientów przetwarzane są nie w oparciu o zgodę lecz ze względu na fakt, że jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (np. zawarcie umowy kredytu hipotecznego).
RODO zawiera zamknięty katalog warunków, w jakich przetwarzanie danych może zostać uznane za zgodne z prawem. Oznacza to, że każdy proces przetwarzania danych musi opierać się na co najmniej jednej podstawie prawnej, wskazanej w RODO:
a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi
f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Jeżeli wypełniając wniosek o produkt oferowany przez Bank np. kredyt hipoteczny, osoba go składająca nie poda danych, to Bank nie będzie miał możliwości rozpatrzenia wniosku i zawarcia umowy.
Bank może przetwarzać dane osobowe np.:
- w związku z zawartą umową o produkt bankowy lub usługę świadczoną przez Bank,
- gdy wypełnia obowiązki wynikające z przepisów powszechnie obowiązującego prawa np. w celu zapewnienia bezpieczeństwa Klientów (ochrony przed zagrożeniami wynikającmi m.in. z cyberprzestępczości, ochrony przed wyłudzeniami i oszustwami),
- gdy jest to niezbędne dla realizacji prawnie uzasadnionych interesów Banku jak np. ustalenia i dochodzenia roszczeń z związku z prowadzoną działalnością, w tym windykacji, egzekucji wierzytelności.
Na podstawie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwanego dalej „Rozporządzeniem”, informujemy, że:
1. Administrator danych
Administratorami danych osobowych Klientów PKO Banku Hipotecznego są:
PKO Bank Hipoteczny Spółka Akcyjna z siedzibą w Warszawie, adres: ul. Puławska 15, 02-515 Warszawa, zarejestrowana w Sądzie Rejonowym dla miasta stołecznego Warszawy w Warszawie, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod nr KRS 0000528469; NIP: 204-000-45-48; REGON: 222181030; kapitał zakładowy (kapitał wpłacony) 1 611 300 000 zł; nr tel.: +48 22 521 57 50 (sekretariat), adres e-mail: PKOBankHipoteczny@pkobh.pl, zwana dalej „PKO BH”
oraz
Powszechna Kasa Oszczędności Bank Polski Spółka Akcyjna z siedzibą w Warszawie, adres: ul. Puławska 15, 02-515 Warszawa, zarejestrowana w Sądzie Rejonowym dla m.st. Warszawy w Warszawie, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego, pod numerem KRS 0000026438, NIP: 525-000-77-38, REGON: 016298263, kapitał zakładowy (kapitał wpłacony) 1 250 000 000 zł, infolinia: 800 302 302, zwana dalej „PKO BP SA”,
każdy z nich oddzielnie zwany także „Bankiem”, a łącznie „Bankami” lub „współadministratorami”.
Administrowanie przez PKO BH i PKO BP SA (współadministrowanie) wynika ze wspólnego oferowania kredytów hipotecznych oraz wspólnej ich obsługi na podstawie umowy zawartej pomiędzy Bankami. Zakresy obowiązków współadministratorów dostępne są na stronach internetowych Banków, w zakładce „RODO”.
2. Inspektor Ochrony Danych
W Bankach powołani zostali Inspektorzy Ochrony Danych:
- w PKO BH: Inspektor Ochrony Danych PKO Banku Hipotecznego SA, adres: ul. Puławska 15, 02-515 Warszawa, adres e-mail: iod.pkobh@pkobh.pl.
- w PKO BP SA: Inspektor Ochrony Danych adres: ul. Puławska 15, 02-515 Warszawa, adres e-mail: iod@pkobp.pl.
Dane dotyczące Inspektora Ochrony Danych są dostępne na stronach internetowych Banków w zakładce „RODO” oraz w oddziałach i agencjach PKO BP SA.
3. Kategorie danych osobowych - informacja dotyczy danych osobowych pozyskanych w sposób inny niż od osoby, której dane dotyczą
Banki przetwarzają następujące kategorie danych osobowych Klientów: dane identyfikacyjne, dane adresowe oraz dane kontaktowe.
4. Cel przetwarzania danych i podstawy prawne
Dane osobowe mogą być przetwarzane przez Banki w następujących celach:
- przedstawienia ofert lub rozpatrzenia wniosku o produkt lub produkty oferowane przez Banki lub usługę świadczoną przez PKO BP SA, w tym w imieniu i na rzecz spółek z Grupy Kapitałowej PKO BP SA i podmiotów współpracujących z Bankami - na podstawie art. 6 ust. 1 lit. b lub lit. f Rozporządzenia,
- zawarcia umowy - na podstawie art. 6 ust. 1 lit. b Rozporządzenia,
- realizacji zawartej z Bankiem umowy lub w celu świadczenia usług przez PKO BP SA - na podstawie art. 6 ust. 1 lit. b-c Rozporządzenia,
- dokonania oceny zdolności kredytowej i analizy ryzyka kredytowego - na podstawie art. 6 ust. 1 lit. b-c Rozporządzenia,
- zarządzania przez Banki ryzykiem, w tym oceny zdolności i wiarygodności kredytowej - na podstawie art. 6 ust. 1 lit. b–c Rozporządzenia,
- rozpatrzenia reklamacji, wniosków oraz odwołań - na podstawie art. 6 ust. 1 lit. b-c i lit. f Rozporządzenia,
- realizacji przez Banki czynności wynikających z powszechnie obowiązujących przepisów prawa, w tym wykonywania zadań realizowanych w interesie publicznym - na podstawie art. 6 ust. 1 lit. c i lit. e Rozporządzenia,
- realizacji uprawnień wynikających z przedstawicielstwa (w tym pełnomocnictwa), poręczenia - na podstawie art. 6 ust. 1 lit b-c Rozporządzenia,
- marketingu, w tym promocji produktów oferowanych przez Banki, usług świadczonych przez PKO BP SA lub spółki z Grupy Kapitałowej PKO BP SA oraz podmioty współpracujące z Bankami - na podstawie art. 6 ust. 1 lit. f Rozporządzenia,
- ustalenia i dochodzenia roszczeń przez Banki w związku z prowadzoną działalnością, w tym restrukturyzacji, windykacji, egzekucji wierzytelności, podejmowania działań w celu znalezienia nabywców na majątek stanowiący zabezpieczenie umowy oraz sprzedaży wierzytelności wynikającej z tej umowy lub obrony przed roszczeniami kierowanymi wobec Banków, w postępowaniach przed organami ścigania, organami orzekającymi, w tym sądami powszechnymi, sądami administracyjnymi, Sądem Najwyższym, w postępowaniach administracyjnych, w tym podatkowych - na podstawie art. 6 ust. 1 lit. f Rozporządzenia,
- wykrycia i ograniczenia nadużyć finansowych związanych z działalnością Banków, jak również w celu zapewnienia bezpieczeństwa przechowywania środków pieniężnych klientów PKO BP SA oraz prowadzenia postępowań wyjaśniających - na podstawie art. 6 ust. 1 lit. f Rozporządzenia.
Dane dotyczące Grupy Kapitałowej PKO BP SA i podmiotów współpracujących z Bankami są dostępne na stronach internetowych Banków w zakładce „RODO” oraz w oddziałach i agencjach PKO BP SA
5. Udostępnienie danych osobowych
Dane Klientów mogą być udostępniane przez Banki:
- podmiotom i organom, którym Banki są zobowiązane lub upoważnione udostępnić dane osobowe na podstawie powszechnie obowiązujących przepisów prawa, w tym podmiotom oraz organom uprawnionym do otrzymania od Banków danych osobowych lub uprawnionych do żądania dostępu do danych osobowych na podstawie powszechnie obowiązujących przepisów prawa, w szczególności na podstawie art. 104 ust. 2 i art. 105 ust. 1 i 2 ustawy Prawo bankowe,
- podmiotom, którym powierzono wykonywanie czynności bankowych lub czynności związanych z działalnością bankową na podstawie art. 6a ustawy Prawo bankowe,
- instytucjom, o których mowa w art. 105 ust. 4 ustawy Prawo bankowe,
- organom i podmiotom uprawnionym do otrzymania danych osobowych na podstawie art. 149 lub 150 ustawy o obrocie instrumentami finansowymi lub innych przepisów prawa, dotyczących obrotu instrumentami finansowymi (w zakresie usług powierniczych świadczonych przez PKO BP SA na podstawie art. 119 ustawy o obrocie instrumentami finansowymi lub usług wykonywanych przez PKO BP SA na podstawie art. 70 ust. 2 ustawy o obrocie instrumentami finansowymi),
- biurom informacji gospodarczej, działającym na podstawie ustawy o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych, na podstawie przepisów tej ustawy,
- podmiotom z Grupy Kapitałowej PKO BP SA i podmiotom współpracującym z Bankami, w związku z produktami i usługami oferowanymi przez te podmioty. Lista tych podmiotów dostępna jest na stronach internetowych Banków w zakładce „RODO” oraz w oddziałach i agencjach PKO BP SA.
6. Przekazywanie danych osobowych do państwa trzeciego
Dane Klientów mogą być przekazane administracji rządowej Stanów Zjednoczonych Ameryki w związku z dokonywaniem międzynarodowych transferów pieniężnych za pośrednictwem SWIFT.
7. Okres przechowywania danych osobowych
Dane osobowe Klientów będą przechowywane przez okres:
- ważności oferty lub rozpatrzenia wniosku o produkty oferowane przez Banki lub usługę świadczoną przez PKO BP SA, w tym w imieniu i na rzecz spółek z Grupy Kapitałowej PKO BP SA i podmiotów współpracujących z Bankami,
- obowiązywania umowy zawartej z Bankiem, a po jej zakończeniu, w związku z obowiązkiem prawnym Banku wynikającym z powszechnie obowiązujących przepisów prawa,
- niezbędny do dochodzenia roszczeń przez Bank w związku z prowadzoną działalnością lub obrony przed roszczeniami kierowanymi wobec Banku, na podstawie powszechnie obowiązujących przepisów prawa, z uwzględnieniem okresów przedawnienia roszczeń określonych w powszechnie obowiązujących przepisach prawa,
- stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej Rozporządzenia nr 575/2013 Parlamentu Europejskiego i Rady (UE) nr 575/2013 z dnia 26 czerwca 2013r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, zmieniającego rozporządzenie (UE) nr 648/2012,
- obowiązywania udzielonego Klientowi pełnomocnictwa, a po jego wygaśnięciu, w związku z obowiązkiem prawnym Banków wynikającym z powszechnie obowiązujących przepisów prawa.
Informacje dotyczące okresów przechowywania danych są dostępne na stronach internetowych Banków w zakładce „RODO” oraz w oddziałach i agencjach PKO BP SA.
8. Przysługujące prawa
W związku z przetwarzaniem przez Banki danych osobowych Klientów, przysługuje im:
- prawo dostępu do danych osobowych,
- prawo do sprostowania danych osobowych,
- prawo usunięcia danych osobowych (prawo do bycia zapomnianym),
- prawo do ograniczenia przetwarzania danych osobowych,
- prawo do przenoszenia danych do innego administratora,
- prawo do wniesienia sprzeciwu wobec przetwarzania danych, w tym profilowania, oraz na potrzeby marketingu bezpośredniego, w tym profilowania,
- prawo do cofnięcia zgody w przypadku, gdy Banki będzie przetwarzały dane osobowe Klienta w oparciu o zgodę, w dowolnym momencie i w dowolny sposób, bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem,
- prawo wniesienia skargi do Organu Nadzoru, gdy Klient uzna, że przetwarzanie danych osobowych narusza przepisy Rozporządzenia.
9. Źródło pochodzenia danych - informacja dotyczy danych osobowych pozyskanych w sposób inny niż od osoby, której dane dotyczą
Dane osobowe Klientów mogą pochodzić od przedstawiciela ustawowego, mocodawcy w przypadku udzielonego pełnomocnictwa, przedsiębiorcy, w stosunku do którego Klient pozostaje beneficjentem rzeczywistym, pracodawcy, strony umowy zawartej z Bankiem oraz ze źródeł powszechnie dostępnych, w szczególności z baz i rejestrów: PESEL, Rejestru Dowodów Osobistych, Krajowego Rejestru Sądowego (KRS), Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG), REGON.
10. Wymóg podania danych
Podanie danych osobowych Klient jest konieczne w celu określonym w pkt 4 powyżej, dla:
- rozpatrzenia wniosku o produkty oferowane przez Banki lub usługę świadczoną przez PKO BP SA, w tym w imieniu i na rzecz spółek z Grupy Kapitałowej PKO BP SA i podmiotów współpracujących z Bankami, a konsekwencją niepodania danych osobowych Klienta będzie brak możliwości rozpatrzenia wniosku o produkty oferowane przez Banki lub usługę świadczoną przez PKO BP SA, w tym w imieniu i na rzecz spółek z Grupy Kapitałowej PKO BP SA i podmiotów współpracujących z Bankami,
- zawarcia i wykonania umowy zawartej z Bankiem, a konsekwencją niepodania danych osobowych będzie brak możliwości zawarcia i wykonania zawartej umowy,
- świadczenia usług przez PKO BP SA, a konsekwencją niepodania danych osobowych Klienta będzie brak świadczenia usług,
- rozpatrzenia reklamacji, wniosku lub odwołania, a konsekwencją niepodania danych osobowych Klienta będzie brak możliwości rozpatrzenia reklamacji, wniosku lub odwołania,
- otrzymywania ofert lub marketingu produktów oferowanych przez Banki lub usług świadczonych przez PKO BP SA, w tym w imieniu i na rzecz spółek z Grupy Kapitałowej PKO BP SA i podmiotów współpracujących z Bankami, a konsekwencją niepodania danych osobowych Klienta jest brak możliwości otrzymywania tych ofert lub marketingu produktów lub usług.
11. Zautomatyzowane podejmowanie decyzji, w tym profilowanie
Dane osobowe Klientów będą przetwarzane w sposób zautomatyzowany, w tym profilowane, w celu oceny zdolności kredytowej oraz w celach marketingowych, konsekwencją czego będzie możliwość zastosowania uproszczonej ścieżki obsługi oraz przedstawienia zindywidualizowanej oferty produktów oferowanych przez Banki lub usług świadczonych przez PKO BP SA, w tym w imieniu i na rzecz spółek z Grupy Kapitałowej PKO BP SA i podmiotów współpracujących z Bankami.
Informacje dotyczące zautomatyzowanego podejmowania decyzji, w tym profilowania są dostępne na stronach internetowych Banków w zakładce „RODO” oraz w oddziałach i agencjach PKO BP SA.
Celem RODO jest zapewnienie każdej osobie możliwości ochrony jej praw i wolności oraz zapewnienie kontroli nad przetwarzaniem należących do niej danych. W tym celu może ona skorzystać ze swoich praw:
- prawa dostępu do danych - osoba, której dane dotyczą ma prawo do otrzymania informacji m.in. jakie jej dane Bank przetwarza, w jakich celach są one przetwarzane, oraz uzyskania ich kopii.
Każdy może zwrócić się do Banku z wnioskiem o otrzymanie informacji, czy Bank przetwarza jego dane osobowe.
- prawa do usunięcia danych (prawo do bycia zapomnianym) – osoba, której dane dotyczą może wskazać zakres i okoliczności uzasadniające wnioskowane usunięcie danych np. dane nie są już niezbędne do realizacji celów, dla których zostały zebrane, a nie występują podstawy prawne do dalszego przetwarzania danych, dane są przetwarzane niezgodnie z prawem.
Prawo do usunięcia danych może być zrealizowane w przypadkach, gdy Bank nie ma podstaw prawnych do przetwarzania danych. Zwracamy uwagę, że w przypadku posiadania czynnej umowy z Bankiem, przetwarzanie danych jest niezbędne do jej realizacji i dane osobowe nie mogą zostać usunięte.
- prawa do przenoszenia danych - osoba, której dane dotyczą ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła Bankowi.
Wniosek o przeniesienie danych może złożyć osoba, której dane dotyczą. Informacja przekazywana będzie w formie pliku przekazywanego na zabezpieczonej hasłem płycie CD.
- prawa do ograniczenia przetwarzania danych - osoba, której dane dotyczą wskazuje, że wystąpiły przesłanki określone w art. 18 RODO dla ograniczenia przetwarzania jej danych np. Bank nie potrzebuje pewnych danych, nie występują przesłanki do dalszego ich przetwarzania a osoba, której dane dotyczą wnosi o wstrzymanie operacji na danych lub nieusuwanie danych.
Każdy wniosek o ograniczenie przetwarzania danych będzie wymagał indywidualnego rozpatrzenia pod względem istniejących podstaw dla przetwarzania danych, celu i zakresu ich przetwarzanych.
- prawo do sprostowania danych – w każdym momencie, gdy zajdzie taka potrzeba osoba, której dane dotyczą informuje Bank o zmianie swoich danych osobowych.
Każdy może zwrócić się do Banku z prośbą o sprostowanie swoich nieprawidłowych, czy uzupełnienie niekompletnych danych osobowych.
- prawo sprzeciwu - w każdym momencie można złożyć sprzeciw wobec przetwarzania danych w sposób zautomatyzowany, w tym profilowania a także sprzeciw wobec przetwarzania danych w celach marketingowych.
Sprzeciw wobec przetwarzania danych Klienci PKO Banku Hipotecznego mogą złożyć np. w placówce PKO BP, listownie na adres Banku, w bankowości elektronicznej lub dzwoniąc na infolinię PKO BP. Pozostałe osoby mogą złożyć sprzeciw wobec przetwarzania danych listownie lub drogą elektroniczną na adres Banku albo skontaktować się z Inspektorem Ochrony Danych PKO BH.
Wyrażenie sprzeciwu wobec profilowania oznacza, że dane osobowe Klientów nie będą przetwarzane w sposób zautomatyzowany, poza wyjątkowymi przypadkami określonymi w obowiązującym prawie. W konsekwencji, Bank nie będzie mógł zastosować wobec uproszczonej ścieżki obsługi oraz ocenić potrzeb lub zdolności kredytowej Klientów, aby przedstawić zindywidualizowaną propozycję nabycia produktów i usług Banku, spółek z Grupy Kapitałowej Banku i podmiotów współpracujących z Bankiem.
W celu skorzystania z wskazanych praw Klienci mogą zgłosić się do placówek PKO BP lub przesłać wniosek na adres Banku listownie lub drogą elektroniczną. Pozostałe osoby mogą zgłosić się do PKO Banku Hipotecznego listownie lub drogą elektroniczną na adres Banku albo skontaktować się z Inspektorem Ochrony Danych PKO BH.
Bank udziela informacji na piśmie. Klienci Banku mogą odebrać ją w placówce PKO BP po otrzymaniu wcześniejszego powiadomienia (e-mail lub sms).
Bank bez zbędnej zwłoki – a w każdym razie w terminie miesiąca od dnia wpłynięcia wniosku – udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z realizacją ww. praw. W razie potrzeby termin ten może zostać przedłużony o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania Bank informuje osobę, której dane dotyczą, o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia.
Bank przetwarza dane z wykorzystaniem wszelkich środków technicznych i organizacyjnych niezbędnych do zapewnienia bezpieczeństwa tych danych. Dane osobowe stanowią najcenniejsze zasoby dla Banku. Bank wdrożył i wdraża odpowiednie środki techniczne i organizacyjne zapewniające ochronę przetwarzania danych osobowych, w szczególności zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, utratą oraz zmianą, uszkodzeniem lub zniszczeniem.
Ponadto, wszelkie informacje dotyczące relacji Klient – Bank objęte są także tajemnicą bankową, zgodnie z którą - Bank, osoby w nim zatrudnione oraz osoby, za których pośrednictwem Bank wykonuje czynności bankowe, są obowiązane zachować tajemnicę bankową, która obejmuje wszystkie informacje dotyczące czynności bankowej, uzyskane w czasie negocjacji, w trakcie zawierania i realizacji umowy, na podstawie której Bank tę czynność wykonuje.
Pracownicy Banku realizują szkolenia z zakresu bezpieczeństwa informacji chronionych, w tym z zakresu ochrony danych osobowych i tajemnicy bankowej.
W Banku został wyznaczony Inspektor Ochrony Danych: Pani Magdalena Dłużewska. Z Inspektorem Ochrony Danych będzie można kontaktować się listownie kierując korespondencję na adres Inspektora Ochrony Danych PKO Banku Hipotecznego S.A., ul. Puławska 15, 02-515 Warszawa, bądź na adres e-mail: iod.pkobh@pkobh.pl.
Dane mogą być udostępnione np. podmiotom i organom, którym Bank jest zobowiązany lub upoważniony udostępnić dane osobowe na podstawie powszechnie obowiązujących przepisów prawa, w tym podmiotom oraz organom uprawnionym do otrzymania od Banku danych osobowych lub uprawnionych do żądania dostępu do danych osobowych na podstawie powszechnie obowiązujących przepisów prawa, w szczególności na podstawie art. 104 ust. 2 i art. 105 ust. 1 i 2 ustawy Prawo bankowe, instytucjom, o których mowa w art. 105 ust. 4 ustawy Prawo bankowe.
Instytucją funkcjonującą na podstawie art. 1-5 ust.4 ustawy Prawo bankowe jest między innymi Biuro Informacji Kredytowej S.A. (BIK) – pobierz przygotowaną przez tę Instytucję klauzulę informacyjną dotyczącą przetwarzania danych osobowych przez BIK.
Przez państwo trzecie rozumie się państwo nienależące do Europejskiego Obszaru Gospodarczego. Oznacza to, że przepływ danych w obrębie Europejskiego Obszaru Gospodarczego jest traktowany tak samo, jak transfer danych na terytorium Polski. Zasada ta dotyczy wszystkich państw członkowskich Unii Europejskiej oraz tych państw członkowskich Europejskiego Obszaru Gospodarczego, które nie są członkami UE (Norwegia, Islandia i Lichtenstein).
Informujemy ponadto, że dane Klientów Banku mogą być przekazane administracji rządowej Stanów Zjednoczonych Ameryki w związku z dokonywaniem za pośrednictwem PKO BP SA międzynarodowych transferów pieniężnych przy zastosowaniu systemu SWIFT. Za pomocą przelewu SWIFT dokonamy transakcji w każdej walucie i do każdego banku na świecie.
Dane osobowe są przetwarzane dla celów wynikających z powszechnie obowiązujących przepisów prawa, również po ustaniu umowy łączącej Klienta z Bankiem.
Obowiązki i uprawnienia związane z przetwarzaniem danych dla celów archiwalnych, a także ustalenia i dochodzenia roszczeń przez Bank w związku z prowadzoną działalnością, w tym restrukturyzacji, windykacji, egzekucji wierzytelności, podejmowania działań w celu znalezienia nabywców na majątek stanowiący zabezpieczenie umowy oraz sprzedaży wierzytelności wynikającej z tej umowy lub obrony przed roszczeniami kierowanymi wobec Banku, przed organami ścigania, organami orzekającymi, w tym sądami powszechnymi, sądami administracyjnymi, Sądem Najwyższym, w postępowaniach administracyjnych, w tym podatkowych, wynikają m.in. z następujących przepisów:
- Ustawa z dnia 29 sierpnia 1997 r. Prawo bankowe,
- Ustawa z dnia 23 kwietnia 1964 r. Kodeks cywilny,
- Ustawa z dnia 29 września 1994 r. o rachunkowości,
- Ustawa z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu,
- Rozporządzenie Ministra Finansów z dnia 1 października 2010 r. w sprawie szczególnych zasad rachunkowości banków,
- Rozporządzenie Ministra Finansów z dnia 30 maja 2018 r. w sprawie trybu i warunków postępowania firm inwestycyjnych, banków, o których mowa w art. 70 ust. 2 ustawy o obrocie instrumentami finansowymi, oraz banków powierniczych
- Rozporządzenie Ministra Finansów z dnia 29 maja 2018 r. w sprawie szczegółowych warunków technicznych i organizacyjnych dla firm inwestycyjnych, banków, o których mowa w art. 70 ust. 2 ustawy o obrocie instrumentami finansowymi, i banków powierniczych.
W skład Grupy Kapitałowej PKO Banku Polskiego SA wchodzi PKO Bank Polski SA jako jednostka dominująca oraz jednostki zależne bezpośrednio, w tym PKO Bank Hipoteczny, i jednostki zależne pośrednio. Dane osobowe przekazywane są tylko do wybranych Spółek Grupy Kapitałowej PKO Banku Polskiego SA.
PKO Bank Hipoteczny specjalizuje się w kredytach hipotecznych dla klientów indywidualnych. W oparciu o strategiczną współpracę z PKO Bankiem Polskim SA, kredyty te są oferowane klientom detalicznym w Polsce poprzez sieć oddziałów, pośredników i agentów PKO Banku Polskiego SA.
PKO Towarzystwo Ubezpieczeń SA wraz z PKO Życie Towarzystwo Ubezpieczeń S.A. funkcjonuje pod wspólną marką PKO Ubezpieczenia. Towarzystwo specjalizuje się w obszarze ubezpieczeń majątkowych i pozostałych osobowych, oferując rozwiązania ściśle powiązane z produktami bankowymi dostępnymi w ofercie Banku. W ofercie Spółki znajdują się m.in. ubezpieczenia do kredytów hipotecznych.
PKO BP Finat sp. z o.o. świadczy kompleksowe usługi firmom z sektora finansowego – m.in.: usługi agenta transferowego, księgowości funduszy i spółek.
Informacje o podmiotach współpracujących z Bankiem w związku z produktami i usługami oferowanymi przez te podmioty znajdziesz tutaj.
Informacja nt. treści zasadniczych uzgodnień
pomiędzy PKO Bankiem Polskim S.A. a PKO Bankiem Hipotecznym S.A.
z Umowy współadministrowania w zakresie danych osobowych Klientów[1] z dnia 25 maja 2018 r.
1. Administratorami (współadministratorami) danych osobowych Klientów są:
Powszechna Kasa Oszczędności Bank Polski Spółka Akcyjna z siedzibą w Warszawie, adres: ul. Puławska 15, 02-515 Warszawa, zwana dalej „PKO BP”
oraz
PKO Bank Hipoteczny Spółka Akcyjna z siedzibą w Warszawie, adres: ul. Puławska 15, 02-515 Warszawa, zwana dalej „PKO BH”.
zwane dalej łącznie „Bankami”.
2. Relacje pomiędzy administratorami
- Banki należą do jednej grupy kapitałowej, a PKO BP jest jedynym akcjonariuszem PKO BH;
- w procesie obsługi kredytów hipotecznych Banki stosują jednolite zasady i procedury obsługi Klientów oraz korzystają ze współdzielonych zasobów teleinformatycznych.
3. Zakres przetwarzanych danych osobowych
Dane osobowe objęte współadministrowaniem obejmują w szczególności dane identyfikacyjne, dane adresowe, dane kontaktowe, dane finansowe Klientów:
- przetwarzane w związku z oferowaniem kredytu hipotecznego oraz rozpatrywaniem wniosku o jego udzielenie, pochodzące od klienta oraz ze źródeł zewnętrznych (np. BIK, MIG DZ),
- przetwarzane w toku rozpatrywania wniosku kredytowego oraz wykonania umowy kredytu, udostępniane wzajemnie przez Banki na podstawie zgody Klienta wyrażonej we wniosku kredytowym,
- dotyczące kredytu hipotecznego udzielonego lub nabytego przez PKO BH, pozyskiwane i wykorzystywane przez PKO BP w wykonaniu Umowy Outsourcingowej[2], a także oferowania i obsługi produktów własnych PKO BP,
- niezbędne dla realizacji obowiązków Banków, wynikających z powszechnie obowiązujących przepisów prawa.
4. Dane osobowe przetwarzane są przez Banki w następujących celach:
- przedstawienia ofert lub rozpatrzenia wniosku o produkt lub produkty oferowane przez Banki lub usługę świadczoną przez PKO BP, w tym w imieniu i na rzecz spółek z Grupy Kapitałowej PKO BP S.A. i podmiotów współpracujących z Bankami - na podstawie art. 6 ust. 1 lit. b lub lit. f RODO[3],
- zawarcia umowy - na podstawie art. 6 ust. 1 lit. b RODO,
- realizacji zawartej umowy lub w celu świadczenia usług przez PKO BP - na podstawie art. 6 ust. 1 lit. b-c RODO,
- dokonania oceny zdolności kredytowej i analizy ryzyka kredytowego - na podstawie art. 6 ust. 1 lit. b-c RODO,
- zarządzania przez Banki ryzykiem, w tym oceny zdolności i wiarygodności kredytowej - na podstawie art. 6 ust. 1 lit. b–c RODO,
- rozpatrzenia reklamacji, wniosków oraz odwołań - na podstawie art. 6 ust. 1 lit. b-c i lit. f RODO,
- realizacji przez Banki czynności wynikających z powszechnie obowiązujących przepisów prawa, w tym wykonywania zadań realizowanych w interesie publicznym - na podstawie art. 6 ust. 1 lit. c i lit. e RODO,
- realizacji uprawnień wynikających z przedstawicielstwa (w tym pełnomocnictwa), poręczenia - na podstawie art. 6 ust. 1 lit b-c RODO,
- marketingu, w tym promocji produktów oferowanych przez Banki, usług świadczonych przez PKO BP lub spółki z Grupy Kapitałowej PKO BP S.A. oraz podmioty współpracujące z Bankami - na podstawie art. 6 ust. 1 lit. f RODO,
- ustalenia i dochodzenia roszczeń przez Banki w związku z prowadzoną działalnością, w tym restrukturyzacji, windykacji, egzekucji wierzytelności, podejmowania działań w celu znalezienia nabywców na majątek stanowiący zabezpieczenie umowy oraz sprzedaży wierzytelności wynikającej z tej umowy lub obrony przed roszczeniami kierowanymi wobec Banków, w postępowaniach przed organami ścigania, organami orzekającymi, w tym sądami powszechnymi, sądami administracyjnymi, Sądem Najwyższym, w postępowaniach administracyjnych, w tym podatkowych - na podstawie art. 6 ust. 1 lit. f RODO,
- wykrycia i ograniczenia nadużyć finansowych związanych z działalnością Banków, jak również w celu zapewnienia bezpieczeństwa przechowywania środków pieniężnych klientów PKO BP oraz prowadzenia postępowań wyjaśniających - na podstawie art. 6 ust. 1 lit. f RODO.
5. Obowiązki PKO BP:
- Dostarczenie i utrzymanie infrastruktury teleinformatycznej i oprogramowania niezbędnych do przetwarzania danych osobowych w całym cyklu ich życia, w tym rozwój, modyfikacje, aktualizacje, współpraca z dostawcami, przy uwzględnieniu ochrony danych w fazie projektowania oraz domyślnej ochrony danych (privacy by design i privacy by default).
- Zabezpieczenie danych osobowych w środowisku teleinformatycznym oraz zawierającej dane osobowe dokumentacji tradycyjnej (papierowej).
- Zapewnienie zasobów ludzkich, technicznych i organizacyjnych niezbędnych do obsługi danych osobowych, tj. wykonywanie następujących procesów: pozyskanie, rejestracja w systemach informatycznych, digitalizacja (o ile dotyczy), zmiany, aktualizacja, archiwizacja, pseudonimizacja, anonimizacja, usuwanie (brakowanie dokumentów papierowych).
- Przetwarzanie danych osobowych w związku z przyjmowaniem reklamacji, wniosków i odwołań od Klientów. Jeżeli w toku obsługi reklamacji, wniosków lub odwołań Klientów PKO BP zidentyfikuje sprawę powiązaną z ochroną danych osobowych, powinien skierować ją na odpowiednią ścieżkę obsługi w celu zapewnienia prawidłowej realizacji praw podmiotów oraz postępowania ze zidentyfikowanymi incydentami.
- Zapewnienie technicznej obsługi realizacji praw przysługujących Klientom w zakresie związanym z ich danymi.
6. Obowiązki wspólne Banków:
- Ustalanie procedur obsługi Klienta, w tym wzorów formularzy służących do zbierania danych osobowych.
- Wypełnianie obowiązków informacyjnych wobec Klientów, zgodnie z art. 13 i 14 RODO.
- Realizacja praw (obsługa wniosków) Klientów wynikających z RODO:
- dostępu do Danych Osobowych,
- do sprostowania Danych Osobowych,
- usunięcia Danych Osobowych (prawo do bycia zapomnianym),
- do ograniczenia przetwarzania Danych Osobowych,
- do przenoszenia Danych Osobowych do innego administratora,
- do wniesienia sprzeciwu wobec przetwarzania Danych Osobowych, w tym profilowania, w przypadkach, w których prawo takie przysługuje Klientom na podstawie RODO,
- do cofnięcia zgody na przetwarzanie Danych Osobowych.
- Udostępnianie danych osobowych – identyfikacja podmiotu uzyskującego dostęp do danych osobowych, weryfikacja podstaw prawnych udostępnienia, określanie zakresu udostępnianych danych osobowych.
- Przeprowadzenie procesu oceny ryzyka wiążącego się z przetwarzaniem danych osobowych Klientów.
7. Wspólny punkt kontaktowy dla Klientów stanowią:
- oddziały i agencje PKO BP,
- formularz kontaktowy w systemie iPKO,
- adres do korespondencji pisemnej: Inspektor Ochrony Danych ul. Puławska 15, 02-515 Warszawa, adres e-mail: iod@pkobp.pl.
8. Zasady obsługi pism Klientów
Korespondencja przekazana poprzez wspólny punkt kontaktowy obsługiwana jest przez PKO BP. Jeżeli korespondencja od Klienta dotycząca danych osobowych wpłynie w inny sposób niż poprzez wspólny punkt kontaktowy (np. do IOD), zostanie ona skierowana na właściwą ścieżkę obsługi, zgodnie z wewnętrznymi procedurami.
9. Zawiadamianie Klientów o incydencie
- Jeżeli w toku analizy i obsługi incydentu dotyczącego danych osobowych Banki ustaliły, że może on powodować wysokie ryzyko naruszenia praw lub wolności Klientów, Banki bez zbędnej zwłoki zawiadamiają Klientów o takim naruszeniu.
- Zawiadomienie nie jest wymagane, w następujących przypadkach:
- Banki wdrożyły odpowiednie techniczne i organizacyjne środki ochrony, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie;
- Banki zastosowały środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane osobowe dotyczą;
- wymagałoby ono niewspółmiernie dużego wysiłku; w takim przypadku Banki wydają publiczny komunikat lub stosują podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.
[1] Pod pojęciem Klientów należy rozumieć konsumentów, wobec których PKO BH obowiązana jest zachować tajemnicę bankową, zgodnie z ustawą Prawo Bankowe
[2] Umowa zawarta pomiędzy Bankami, na podstawie której PKO BP wykonuje na rzecz PKO BH powierzone czynności związane z zawieraniem i obsługą kredytów hipotecznych
[3] RODO - rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)