BBANKIO

RODO w bankowosci

RODO w bankowości to Rozporządzenie o Ochronie Danych Osobowych (GDPR), które reguluje sposób przetwarzania danych osobowych klientów przez banki od 25 maja 2018 roku. Banki jako administratorzy danych muszą zapewnić bezpieczeństwo informacji klientów, informować o celach przetwarzania oraz respektować prawa osób do kontroli nad swoimi danymi osobowymi.

Definicja

RODO (Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679) nakłada na banki szczególne obowiązki ze względu na wrażliwy charakter danych finansowych. Banki przetwarzają dane identyfikacyjne, historię transakcji, informacje o dochodach, zdolności kredytowej oraz dane biometryczne wykorzystywane do autoryzacji. Rozporządzenie wprowadza zasady minimalizacji danych, celowości przetwarzania oraz obowiązek zgłaszania naruszeń ochrony danych do organu nadzorczego (UODO) w ciągu 72 godzin.

Kary za naruszenie RODO mogą wynosić do 20 milionów euro lub 4% rocznego globalnego obrotu przedsiębiorstwa. Banki muszą wyznaczyć Inspektora Ochrony Danych (IOD), przeprowadzać oceny skutków dla ochrony danych (DPIA) oraz zapewnić klientom realizację praw: dostępu do danych, sprostowania, usunięcia (prawo do bycia zapomnianym), ograniczenia przetwarzania oraz przenoszenia danych.

Jak dziala

RODO w bankowości działa poprzez system zabezpieczeń technicznych i organizacyjnych oraz procedur zapewniających zgodność z przepisami. Banki muszą przestrzegać zasad przetwarzania danych na każdym etapie relacji z klientem.

Podstawowe mechanizmy działania RODO w banku:

  • Podstawa prawna przetwarzania: bank przetwarza dane na podstawie umowy (obsługa rachunku, kredytu), obowiązku prawnego (AML, raportowanie do KNF, BFG) lub prawnie uzasadnionego interesu (ocena ryzyka kredytowego)
  • Obowiązek informacyjny: przy zawieraniu umowy bank dostarcza klauzulę informacyjną określającą cele, podstawy prawne, okres przechowywania danych oraz prawa klienta
  • Zgoda marketingowa: kontakt w celach marketingowych wymaga oddzielnej, dobrowolnej zgody klienta, którą można wycofać w dowolnym momencie
  • Bezpieczeństwo danych: szyfrowanie transmisji, kontrola dostępu pracowników, monitoring systemów, regularne audyty bezpieczeństwa
  • Prawo dostępu: klient może złożyć wniosek o udostępnienie kopii swoich danych, bank ma 30 dni na realizację
  • Przekazywanie danych: bank może udostępniać dane podmiotom trzecim (biura informacji gospodarczej, firmy windykacyjne) tylko na podstawie przepisów prawa lub zgody klienta

Bank przechowuje dane przez okres wymagany przepisami: dokumenty księgowe przez 5 lat, dokumenty kredytowe zazwyczaj 10 lat od zakończenia umowy, a dane dotyczące przeciwdziałania praniu pieniędzy przez 5 lat od zakończenia relacji.

Przyklad

Klient Jan Kowalski otwiera konto osobiste w banku i składa wniosek o kredyt hipoteczny na 300 000 PLN. W procesie tym bank przetwarza jego dane zgodnie z RODO:

Etap Dane przetwarzane Podstawa prawna Okres przechowywania
Otwarcie konta Imię, nazwisko, PESEL, adres Wykonanie umowy Do zamknięcia konta + 5 lat
Wniosek kredytowy Dochody, zatrudnienie, historia BIK Prawnie uzasadniony interes 10 lat od spłaty kredytu
Weryfikacja tożsamości Skan dowodu osobistego, selfie Obowiązek prawny (AML) 5 lat od zakończenia relacji
Marketing Adres e-mail, telefon Zgoda (opcjonalna) Do wycofania zgody

Po 2 latach Jan chce sprawdzić, jakie dane bank o nim posiada. Składa wniosek o dostęp do danych - bank w ciągu 28 dni przesyła mu pełen raport zawierający kopie dokumentów, historię transakcji oraz informacje o odbiorcach danych (przekazanie zapytania do BIK). Jan decyduje się wycofać zgodę marketingową - bank natychmiast przestaje wysyłać oferty promocyjne, ale nadal przetwarza dane niezbędne do obsługi konta i kredytu.

Najczesciej zadawane pytania - RODO w bankowosci

Czy bank może odmówić usunięcia moich danych osobowych?
Tak, bank może odmówić usunięcia danych, jeśli jest zobowiązany do ich przechowywania na podstawie przepisów prawa, takich jak ustawa o rachunkowości (5 lat), przepisy podatkowe lub regulacje dotyczące przeciwdziałania praniu pieniędzy. Prawo do usunięcia danych nie ma zastosowania, gdy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego lub do ustalenia, dochodzenia lub obrony roszczeń.
Jak długo bank przechowuje dane po zamknięciu konta?
Bank przechowuje dane przez okres wynikający z przepisów prawa: dokumenty księgowe minimum 5 lat od zakończenia roku obrotowego, dokumenty kredytowe zazwyczaj 10 lat od spłaty kredytu, a dane związane z przeciwdziałaniem praniu pieniędzy 5 lat od zakończenia relacji biznesowej. Po upływie tych okresów dane powinny zostać usunięte lub zanonimizowane.
Czy mogę przenieść historię transakcji do innego banku?
Tak, na podstawie prawa do przenoszenia danych możesz otrzymać historię transakcji w ustrukturyzowanym, powszechnie używanym formacie (zazwyczaj CSV lub XML) i przekazać ją innemu bankowi. Prawo to dotyczy danych przetwarzanych na podstawie umowy lub zgody w sposób zautomatyzowany. Bank ma 30 dni na realizację takiego wniosku.
Co się stanie, jeśli bank naruszy RODO i wyciekną moje dane?
Bank ma obowiązek zgłosić naruszenie do UODO w ciągu 72 godzin oraz poinformować Cię o incydencie, jeśli naruszenie może powodować wysokie ryzyko dla Twoich praw. Możesz złożyć skargę do UODO oraz dochodzić odszkodowania od banku za poniesione szkody materialne i niematerialne (np. stres, utrata reputacji). UODO może nałożyć na bank karę do 20 milionów euro lub 4% rocznego obrotu.

Powiazane pojecia