Zasady zbierania danych osobowych w bankowości

Opublikowano: 06 Sie 2021 Urszula Sokół 11 min. czytania

Kategoria: Aktualności finansowe

Zbieranie danych osobowych to jeden z procesów zaliczanych do szerokiego pojęcia przetwarzania danych. Trudno wyobrazić sobie realizację zadań w bankowości bez pozyskiwania i przetwarzania danych osobowych. Praca z danymi klientów to codzienność pracowników banków, czy to przy zawarciu umowy o prowadzenie rachunku czy przy składaniu wniosku o kredyt. Zbieranie informacji jak każda inna operacja na danych osobowych musi być wykonywana zgodnie z przepisami RODO i obowiązkami nakładanymi na instytucje przez rozporządzenie.

Zasady zbierania danych osobowych w bankowości

Co to jest obowiązek informacyjny banku?

W procesie zbierania informacji podstawowym obowiązkiem instytucji pozyskującej dane jest obowiązek informacyjny. W związku z tym obowiązkiem bank powinien przekazać klientowi informacje o:

  • tożsamości i danych kontaktowych administratora,
  • danych kontaktowych inspektora ochrony danych,
  • prawnie uzasadnionych interesach realizowanych przez administratora,
  • odbiorcach danych osobowych lub o kategoriach odbiorców,
  • celach przetwarzania danych osobowych oraz podstawę prawną ich przetwarzania,
  • okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu, 
  • prawach przysługujących klientowi w związku z przetwarzaniem jego danych,
  • prawie do cofnięcia zgody na przetwarzanie danych w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem, 
  • prawie wniesienia skargi do organu nadzorczego, 
  • informacji czy podanie danych osobowych jest wymogiem ustawowym, umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych,
  • zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu oraz istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Wiadomości te najczęściej przedstawiane są klientom w formie dokumentu z wyszczególnionymi informacjami. Klient podpisuje taki dokument czym zaświadcza, że się z nim zapoznał, a więc poświadcza, że bank wywiązał się z obowiązku informacyjnego.

Ważną informacją jest, że obowiązek informacyjny względem klienta spoczywa na banku niezależnie od tego czy informacje zbierane są osobiście od klienta, telefonicznie czy inną drogą komunikacji. Bywa, że informacje są pozyskiwane przez bank z innego źródła niż bezpośrednio od osoby, której dotyczą, czyli na przykład za pomocą internetu lub Centralnej Ewidencji i Informacji o Działalności Gospodarczej. W takiej sytuacji bank również musi wywiązać się z obowiązku informacyjnego.

Zbieranie danych zgodne z RODO

Podmiot zbierający dane musi pamiętać, aby wykonywać to zgodnie z zasadami zawartymi w RODO. Oznacza to, że bank:

  • może zbierać wyłącznie te dane, które są niezbędne do osiągnięcia celu ich przetwarzania. Zabronione jest zbieranie od klientów danych, które są nieistotne dla świadczenia usług przez bank,
  • musi mieć podstawę prawną do przetwarzania danych osobowych. Podstawą taką jest na przykład zgoda na przetwarzanie zgodnie z RODO podpisana przez klienta.

Oprócz tego o czym już tu wspomnieliśmy jest jeszcze kilka istotnych kwestii, o których powinien pamiętać zarówno klient jak i pracownik banku w związku z przetwarzaniem danych osobowych.

Kiedy nie trzeba zgody na przetwarzanie danych?

W przepisach RODO pojawia się taki termin jak warunek dopuszczalności. Określono w ten sposób sytuacje i warunki, które umożliwiają administratorowi przetwarzanie danych osobowych klienta instytucji. Osoba fizyczna musi wyrazić zgodę na przetwarzanie jej danych. Są jednak pewne wyjątki od tej reguły. Zgoda nie jest potrzebna, jeżeli:

  • przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze,
  • przetwarzanie danych jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy,
  • przetwarzanie jest niezbędne do ochrony prawnie uzasadnionych interesów osoby, której dane dotyczą, lub innej osoby fizycznej. Dobrym przykładem jest wytoczenie powództwa przeciwko klientowi, który zalega ze spłatą kredytu.

Jaki musi wyglądać zgoda RODO w banku?

Jeśli już klient, osoba fizyczna wyraża zgodę na przetwarzanie danych to zgoda ta również musi spełniać pewne wymagania. Musi być:

  • dobrowolna - nikt nie może zmusić klienta do wyrażenia zgody na przetwarzanie danych. Również odmowa nie może wiązać się z jakimikolwiek konsekwencjami, czy to prawnymi, finansowymi czy też jakimikolwiek innymi,
  • jednoznaczna - nie powinno być wątpliwości co do wyrażonej zgody. Oznacza to, że oświadczenie woli musi być wyraźne. Przykładowo nie można uznać za wyrażenie zgody milczenia czy skinienia głową.
  • świadoma - osoba wyrażająca zgodę na przetwarzanie danych jest świadoma konsekwencji z tym związanych i przysługujących jej z tego tytułu praw. Dlatego tak ważne jest wypełnienie obowiązku informacyjnego, gdyż jest to jeden z elementów uznania zgody za świadomą.
  • konkretna - zgoda musi wyraźnie dotyczyć i odnosić się do celu w jakim dane będą przetwarzane. Jeśli proces ten odbywa się w kilku celach to administrator ma obowiązek wskazać każdy z nich.

Ponadto obowiązkiem administratora jest uzyskanie zgody na przetwarzanie danych przed rozpoczęciem tego przetwarzania.

Co ze zgodami sprzed przepisów RODO?

A co w przypadku zgód, które zostały udzielone bankom przed wejściem w życie RODO i opierają się na przepisach uprzednio obowiązujących? Zgody takie zachowują swoją ważność pod warunkiem, że cel przetwarzania danych nie uległ zmianie. W przeciwnym razie, to znaczy gdy zgoda została udzielona na inny cel, niezbędne jest ponowne uzyskanie zgody w myśl aktualnych przepisów RODO.

A czy jako klienci banku potrzebujemy oddzielnej kopii zgody na przetwarzanie danych osobowych? Nie. To administrator danych, w naszym przypadku bank, ma obowiązek wykazania, że zgoda została udzielona. Jeśli nie jest w stanie tego zrobić uznaje się, że nie udzielono takiej zgody. Dlatego też instytucje przetwarzające dane powinny stosować formy wyrażenia zgody łatwe do udokumentowania i potwierdzenia tego faktu. Najczęstszą praktyką są zgody udzielane na piśmie bądź w przypadku rozmów telefonicznych- nagrywane. Gdy mamy do czynienia z pisemnym wyrażeniem zgody na przetwarzanie danych kwestia ta powinna wyraźnie odznaczać się od reszty dokumentu. Administrator nie może także uzależniać świadczenia usług od udzielenia zgody na przetwarzanie danych. W przeciwnym razie oznaczałoby to, że zgoda nie była dobrowolna, a więc stałaby się nie ważna.

Zasady przetwarzania danych w bankach

RODO określa również bardzo istotne zasady dotyczące przetwarzania danych. Są to:

  1. Zasada zgodności z prawem, rzetelności i przejrzystości.
  2. Zasada ograniczenia celu - mówiliśmy o tym już wcześniej i warunek ten wiąże się z możliwością przetwarzania danych wyłącznie w konkretnych, wyraźnych i prawnie uzasadnionych celach.
  3. Zasada minimalizacji danych - ilość gromadzonych i przetwarzanych danych musi być minimalna ale jednocześnie adekwatna do celu.
  4. Zasada prawidłowości - pozyskiwane i przetwarzane dane muszą być aktualne i zgodne z rzeczywistością. W razie potrzeby nieaktualne dane można usunąć lub sprostować.
  5. Zasada ograniczenia przechowywania - dane powinny być przechowywane w taki sposób aby wykluczyć dostęp osób nieuprawnionych a także aby możliwe było zidentyfikowanie osób, które miały dostęp do danych.
  6. Zasada integralności i poufności - administrator ma obowiązek zapewnienia bezpieczeństwa danych osobowych zalicza się do tego również ochrona danych przed przypadkową utratą, zniszczeniem lub uszkodzeniem. Stosuje się do tego celu odpowiednie środki techniczne lub organizacyjne.

Na koniec chcielibyśmy jeszcze wspomnieć o bardzo ważnej rzeczy jaką są dane osobowe szczególnych kategorii. Zwracamy na to wyjątkową uwagę, gdyż przepisy nie dopuszczają przetwarzania tych danych. Do danych osobowych szczególnych kategorii ustawodawca zaliczył:

  • pochodzenie rasowe lub etniczne,
  • poglądy polityczne,
  • przekonania religijne lub światopoglądowe,
  • przynależność do związków zawodowych, 
  • dane genetyczne oraz dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej czy też danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.

Warto o tym wiedzieć ponieważ mimo wyrażenia zgody przetwarzanie tych danych nie jest dopuszczalne a tym samym zgoda staje się nieważna.

Podsumowanie

Wiedza w pigułce, którą staraliśmy się przekazać w tym wideo z pewnością będzie bardzo przydatna przy załatwianiu wszelkiego rodzaju spraw bankowych. Warto również pamiętać o tych kwestiach przy dochodzeniu swoich praw w nierzetelnych instytucjach. No i w końcu zgodnie z zasadą “nieznajomość prawa szkodzi”, lepiej wiedzieć i nie działać na swoją niekorzyść.

Zaktualizowano: 15.09.2021

Czy ten artykuł był pomocny?


Ocena / gł.

Komentarze, pytania i odpowiedzi do artykułu (0)


Artykuły powiązane

Ochrona danych osobowych w bankowości - czym jest RODO i dlaczego zostało wprowadzone?

Ochrona danych osobowych w bankowości - czym jest RODO i dlaczego zostało wprowadzone?

19 Lip 2021Autor: Urszula Sokół

Wejście w życie przepisów RODO wywołało niemały popłoch i zamieszanie. Dotyczy to każdej branży, nie tylko bankowości i finansów. Jednak przez te kilka lat zdążyliśmy się już oswoić z terminologią RODO, a także dostosować praktykę do przepisów. Dodatkowo cyfryzacja i przenoszenie większości działań (...)

Czytaj więcej
Top