RODO w bankowosci
RODO w bankowości to Rozporządzenie o Ochronie Danych Osobowych (GDPR), które reguluje sposób przetwarzania danych osobowych klientów przez banki od 25 maja 2018 roku. Banki jako administratorzy danych muszą zapewnić bezpieczeństwo informacji klientów, informować o celach przetwarzania oraz respektować prawa osób do kontroli nad swoimi danymi osobowymi.
Definicja
RODO (Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679) nakłada na banki szczególne obowiązki ze względu na wrażliwy charakter danych finansowych. Banki przetwarzają dane identyfikacyjne, historię transakcji, informacje o dochodach, zdolności kredytowej oraz dane biometryczne wykorzystywane do autoryzacji. Rozporządzenie wprowadza zasady minimalizacji danych, celowości przetwarzania oraz obowiązek zgłaszania naruszeń ochrony danych do organu nadzorczego (UODO) w ciągu 72 godzin.
Kary za naruszenie RODO mogą wynosić do 20 milionów euro lub 4% rocznego globalnego obrotu przedsiębiorstwa. Banki muszą wyznaczyć Inspektora Ochrony Danych (IOD), przeprowadzać oceny skutków dla ochrony danych (DPIA) oraz zapewnić klientom realizację praw: dostępu do danych, sprostowania, usunięcia (prawo do bycia zapomnianym), ograniczenia przetwarzania oraz przenoszenia danych.
Jak dziala
RODO w bankowości działa poprzez system zabezpieczeń technicznych i organizacyjnych oraz procedur zapewniających zgodność z przepisami. Banki muszą przestrzegać zasad przetwarzania danych na każdym etapie relacji z klientem.
Podstawowe mechanizmy działania RODO w banku:
- Podstawa prawna przetwarzania: bank przetwarza dane na podstawie umowy (obsługa rachunku, kredytu), obowiązku prawnego (AML, raportowanie do KNF, BFG) lub prawnie uzasadnionego interesu (ocena ryzyka kredytowego)
- Obowiązek informacyjny: przy zawieraniu umowy bank dostarcza klauzulę informacyjną określającą cele, podstawy prawne, okres przechowywania danych oraz prawa klienta
- Zgoda marketingowa: kontakt w celach marketingowych wymaga oddzielnej, dobrowolnej zgody klienta, którą można wycofać w dowolnym momencie
- Bezpieczeństwo danych: szyfrowanie transmisji, kontrola dostępu pracowników, monitoring systemów, regularne audyty bezpieczeństwa
- Prawo dostępu: klient może złożyć wniosek o udostępnienie kopii swoich danych, bank ma 30 dni na realizację
- Przekazywanie danych: bank może udostępniać dane podmiotom trzecim (biura informacji gospodarczej, firmy windykacyjne) tylko na podstawie przepisów prawa lub zgody klienta
Bank przechowuje dane przez okres wymagany przepisami: dokumenty księgowe przez 5 lat, dokumenty kredytowe zazwyczaj 10 lat od zakończenia umowy, a dane dotyczące przeciwdziałania praniu pieniędzy przez 5 lat od zakończenia relacji.
Przyklad
Klient Jan Kowalski otwiera konto osobiste w banku i składa wniosek o kredyt hipoteczny na 300 000 PLN. W procesie tym bank przetwarza jego dane zgodnie z RODO:
| Etap | Dane przetwarzane | Podstawa prawna | Okres przechowywania |
|---|---|---|---|
| Otwarcie konta | Imię, nazwisko, PESEL, adres | Wykonanie umowy | Do zamknięcia konta + 5 lat |
| Wniosek kredytowy | Dochody, zatrudnienie, historia BIK | Prawnie uzasadniony interes | 10 lat od spłaty kredytu |
| Weryfikacja tożsamości | Skan dowodu osobistego, selfie | Obowiązek prawny (AML) | 5 lat od zakończenia relacji |
| Marketing | Adres e-mail, telefon | Zgoda (opcjonalna) | Do wycofania zgody |
Po 2 latach Jan chce sprawdzić, jakie dane bank o nim posiada. Składa wniosek o dostęp do danych - bank w ciągu 28 dni przesyła mu pełen raport zawierający kopie dokumentów, historię transakcji oraz informacje o odbiorcach danych (przekazanie zapytania do BIK). Jan decyduje się wycofać zgodę marketingową - bank natychmiast przestaje wysyłać oferty promocyjne, ale nadal przetwarza dane niezbędne do obsługi konta i kredytu.