1. Wstęp
Niniejszy dokument (dalej: „Polityka Prywatności”) zawiera informacje ma temat zasad przetwarzania Pana/Pani danych osobowych w Bank of China (Europe) S.A. Spółka Akcyjna Oddział w Polsce (dalej „Bank”). Z poniższego tekstu dowie się Pan/Pani m.in. dla jakich celów i jak długo Bank przetwarza lub będzie przetwarzał Pana/Pani dane osobowe. Dowie się Pan/Pani, jakie kategorie podmiotów mogą mieć dostęp do Pana/Pani danych osobowych, a także z jakich praw można skorzystać w związku z przetwarzaniem Pana/Pani danych osobowych.
Zakres przekazywanych informacji odpowiada wymogom wynikającym z unijnych przepisów o ochronie danych osobowych tj. Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (dalej: „Rozporządzenie”), znoszącego dyrektywę 95/46/WE, które weszło w życie dnia 25 maja 2018 r. i zastąpiło poprzedni system ochrony danych osobowych w Europie i w Polsce. Przekazanie niniejszego dokumentu następuje w celu realizacji obowiązku Banku, który jest administratorem przekazanych mu Pana/Pani danych i jako administrator, na podstawie art. 14 Rozporządzenia jest zobowiązany do wykonania obowiązku informacyjnego wobec Pana/Pani, czyli osoby, której dane otrzymał z innego źródła niż od niej samej.
Jeżeli Polityka Prywatności została Panu/Pani udostępniona w innym języku niż polski, w razie wątpliwości czy sporów wersja polska jest obowiązującą.
2. Administrator danych osobowych oraz Inspektor Ochrony Danych Osobowych.
2.1 Administratorem Pana/Pani danych osobowych jest Bank of China (Europe) S.A. Spółka Akcyjna Oddział w Polsce, z siedzibą w Warszawie: adres: ul. Zielna 41/43, 00 – 108 Warszawa; telefon: (+48 22) 417 88 88; fax: (+48 22) 417 88 87; e-mail: service.pl@bankofchina.com;
2.2 Bank – jako administrator danych - dołoży wszelkich starań, aby w jak najpełniejszym stopniu zrealizować wymogi Rozporządzenia i w ten sposób chronić Pana/Pani dane osobowe;
2.3 Nadzór nad prawidłowym przetwarzaniem danych osobowych w Banku sprawuje Inspektor Ochrony Danych osobowych (dalej: „Inspektor”): adres: GDPR, Bank of China (Europe) S.A. Spółka Akcyjna Oddział w Polsce, ul. Zielna 41/43, 00 – 108 Warszawa; e-mail: gdpr.pl@bankofchina.com;
Może Pan/Pani kontaktować się z Inspektorem we wszystkich sprawach związanych z przetwarzaniem Pana/Pani danych osobowych, także w razie wątpliwości co do Pana/Pani praw.
3. Przetwarzanie i przekazywanie danych osobowych.
3.1 Dostęp do Pana/Pani danych osobowych– wewnątrz struktury organizacyjnej Banku- będą mieć wyłącznie upoważnieni przez Bank pracownicy i tylko w niezbędnym zakresie. W pewnych sytuacjach Pana/Pani dane osobowe mogą być ujawniane przez Bank odbiorcom poza strukturą Banku. Zawsze w takiej sytuacji Bank dokładnie bada podstawę prawną ujawnienia danych osobowych. Należy zwrócić uwagę, że odbiorcą danych w rozumieniu Rozporządzenia jest zarówno podmiot, który przetwarza dane osobowe w imieniu Banku, jak i podmiot, któremu dane są udostępniane dla jego własnych celów (np. organy administracji publicznej).
3.2 Bank przetwarza Pana/Pani dane osobowe na Pana/Pani żądanie w celu podjęcia działań zmierzających do zawarcia umowy z Bankiem, w tym w celach marketingu produktów i usług Banku oraz podobnych produktów i usług oferowanych przez partnerów Banku, a także przedstawienia oferty, tj. w prawnie uzasadnionym interesie Banku i partnerów Banku (art. 6 ust. 1 lit. f Rozporządzenia).
3.3 W przypadku, gdy w wyniku ww. działań wyrazi Pan/Pani chęć zawarcia umowy z Bankiem, Pana/Pani dane osobowe będą przetwarzane w celu podjęcia niezbędnych działań zmierzających do zawarcia umowy z Bankiem (art. 6 ust. 1 lit. b Rozporządzenia).
3.4 Dodatkowo Pana/Pani dane osobowe mogą być przetwarzane:
a) w przypadku zainteresowania produktami o charakterze kredytowym oferowanymi przez Bank:
i. w celach związanych z dokonaniem oceny zdolności kredytowej lub analizy ryzyka kredytowego (zgodnie z art. 9 Ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim lub art. 70 Ustawy– Prawo bankowe);
ii. w celu przekazywania informacji do instytucji utworzonych na podstawie art. 105 ust. 4 Ustawy- Prawo bankowe, w tym do Biura Informacji Kredytowej S.A. („BIK”), do Związku Banków Polskich, a także do biur informacji gospodarczej na zasadach określonych w Ustawie z dnia 9 kwietnia 2010 r. o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych;
b) w celu wypełniania obowiązków prawnych ciążących na Banku w związku z prowadzeniem działalności bankowej, w tym:
i. wynikających z Ustawy z dnia z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (tzw. “Ustawa AML”);
ii. związanych z rozpatrywaniem skarg i reklamacji dotyczących usług świadczonych przez Bank na podstawie art. 5 Ustawy z dnia 5 sierpnia 2015 r. o rozpatrywaniu reklamacji przez podmioty rynku finansowego i o Rzeczniku Finansowym, a także innych wniosków i zapytań skierowanych do Banku; iii. obowiązków wynikających z przepisów prawa podatkowego, np. rozliczeń podatkowych oraz innych przepisów prawa mających zastosowanie do umowy i działalności Banku, w tym wynikających z umów międzynarodowych np. umowy dotyczącej stosowania ustawy amerykańskiej FATCA (Foreign Account Tax Compliance Act) tj. w celu wypełnienia obowiązków prawnych Banku wynikających z przepisów prawa (podstawa prawna– art. 6 ust. 1 pkt c Rozporządzenia);
c) w celach archiwizacyjnych na podstawie art. 74 Ustawy z dnia 29 września 1994 r. o rachunkowości;
d) w celach udostępniania informacji organom władzy publicznej oraz podmiotom wykonującym zadania publiczne lub działającym na zlecenie organów władzy publicznej, w zakresie i w celach, które wynikają z przepisów prawa, np. Komisji Nadzoru Finansowego, Ministerstwu Finansów, Generalnemu Inspektorowi Informacji Finansowej, Urzędowi Skarbowemu, Arbitrowi bankowemu.
3.5 Ponadto, w niektórych sytuacjach jest lub może okazać się konieczne przetwarzanie Pana/Pani danych dla celów innych niż wskazane wyżej, a niezbędnych z uwagi na realizację prawnie uzasadnionych interesów Banku (art. 6 ust. 1 lit. f Rozporządzenia), w szczególności:
a) w celach związanych z monitorowaniem i poprawą jakości świadczonych przez Bank produktów i usług, w tym monitorowaniem rozmów telefonicznych i spotkań z Bankiem, badaniem Pana/Pani satysfakcji ze świadczonych usług;
b) w celach związanych z zarządzaniem ryzykiem oraz kontrolą wewnętrzną Banku na zasadach określonych w art. 9 i nast. Prawa bankowego;
c) w celu przeciwdziałania nadużyciom oraz wykorzystywaniu działalności Banku dla celów przestępczych, w tym w celu przetwarzania i udostępniania informacji dotyczącej podejrzeń lub wykrycia przestępstw na zasadach określonych w art. 106d i nast. Prawa bankowego;
d) w przypadku jeśli znajdzie to zastosowanie, w celach związanych z prowadzeniem wewnętrznej ewidencji wręczanych i otrzymywanych korzyści, konfliktów interesów i naruszeń etycznych w zakresie niezbędnym do przeciwdziałania nadużyciom lub wykorzystywaniu działalności Banku dla celów przestępczych;
e) jeśli znajdzie to zastosowanie, w celach powiązanych z prowadzeniem postępowań spornych, a także postępowań przed organami władzy publicznej oraz innych postępowań, w tym w celu dochodzenia oraz obrony przed roszczeniami;
f) w przypadku jeśli znajdzie to zastosowanie, w celu wewnętrznego raportowania w ramach Banku.
3.6 W niektórych przypadkach, gdy Bank poprosi Pana/Panią o zgodę na przetwarzanie danych i Pan/Pani wyrażą zgodę na przetwarzanie danych, dane osobowe będą przetwarzane wyłącznie w celach wskazanych w zgodzie. W takich przypadkach podstawą przetwarzania danych osobowych będzie zgoda (art. 6 ust. 1 pkt a Rozporządzenia). Zgodę można cofnąć w dowolnym momencie, co nie wpłynie na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej odwołaniem. Odmowa wyrażenia zgody lub jej wycofanie spowoduje, że Bank nie będzie mógł przetwarzać danych w celach wskazanych w zgodzie.
3.7 Dane osobowe oraz inne informacje związane z zawarciem oraz realizacją umowy mogą być przekazywane do:
a) Bank Of China (Europe) S.A., Boulevard Royal 55, 2449 Luxembourg
b) Bank of China Limited, No. 1 FuXingMenNeiDaJie, Pekin, Chiny, 100818
w celu zarządzania wewnętrznego, statystyki, księgowości i raportowania, zapewnienia infrastruktury teleinformatycznej (IT), umożliwienia Bankowi świadczenia usług i wykonania zobowiązań umownych wobec Pana/Pani lub podjęcia na Pana/Pani żądanie działań w celu zawarcia lub wykonania umowy.
Przekazywanie danych osobowych do centrali Banku w Chinach:
• zostanie dokonane przy zapewnieniu pełnej wykonalności Pana/Pani praw i skutecznych środków ochrony prawnej (art. 46 ust. 1 Rozporządzenia);
• będzie opierać się na odpowiednich zabezpieczeniach zgodnych z art. 46 ust. 2 lit. C Rozporządzenia.
Przekazywanie danych osobowych do Chin będzie dokonywane przez Bank na podstawie umów z odbiorcą zgodnie z art. 28 Rozporządzenia.
3.8 Ponadto Bank może przekazywać dane osobowe do podmiotów świadczących usługi na rzecz Banku takich jak audytorzy, doradcy, dostawcy usług informatycznych, kancelarie prawne oraz do innych podmiotów na podstawie przepisów prawa lub na podstawie Państwa zgody.
4. Okres przetwarzania danych osobowych.
Bank będzie przetwarzać Pana/Pani dane osobowe przez okres trwania umowy a następnie przez okres oraz w zakresie wymaganym przez przepisy prawa (np. 5 lat po zakończeniu umowy dla celów AML/CFT). Możliwe jest przechowywanie kompletu lub części danych osobowych przez dłuższy okres czasu w celu egzekwowania lub obrony przysługujących praw, w dowolnej lokalizacji, a w szczególności w stosownej jurysdykcji. W przypadku wyrażenia przez Pana/Panią zgody na przetwarzanie danych dla innych celów niż wskazanych w pkt. 3 powyżej, Pana/Pani dane osobowe będą przetwarzane do czasu wycofania tej zgody.
5. Pozyskiwanie danych osobowych oraz rodzaje pozyskiwanych danych.
5.1 Bank przetwarza Pana/Pani dane osobowe pozyskane od Pana/Pani pracodawcy/ zleceniodawcy, źródeł powszechnie dostępnych, w szczególności z baz i rejestrów: PESEL, Rejestru Dowodów Osobistych, Krajowego Rejestru Sądowego (KRS), Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG), REGON, a także bezpośrednio od Pana/Pani (np. dane podane na formularzach). W każdym ze wskazanych przypadków Bank skrupulatnie weryfikuje czy ma podstawę prawną przetwarzania danych osobowych.
5.2 Administrator może przetwarzać następujące kategorie danych:
a) dane identyfikujące osobę (np. imię i nazwisko, adres zameldowania, numer dowodu osobistego, PESEL);
b) dane teleadresowe (np. numer telefonu, adres korespondencyjny, adres email);
c) dane dotyczące posiadanych produktów (np. rodzaje produktów, dane transakcyjne);
d) dane socjo-demograficzne (np. informacje o zatrudnieniu lub prowadzonej działalności gospodarczej, wykształcenie, dochody i wydatki, narodowość);
e) dane dotyczące zobowiązania (np. źródło zobowiązania, kwota i waluta zobowiązania, przyczyny wygaśnięcia zobowiązania, informacja o upadłości konsumenckiej, decyzja kredytowa, dane dotyczące wniosków kredytowych);
f) dane audio-wizualne (np. dane związane z nagrywaniem wizerunku dla celów bezpieczeństwa i dowodowych).
5.3 Przekazanie danych osobowych Bankowi jest dobrowolne, jednakże niepodanie danych może uniemożliwić zawarcie i wykonanie umowy lub podjęcie działań, o które Pan/Pani wnioskuje np. rozpatrzenie reklamacji.
6. Decyzje podejmowane w sposób automatyczny, profilowanie.
Profilowanie należy rozumieć jako dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na ich wykorzystaniu do oceny niektórych cech osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
Pana/Pani dane osobowe nie będą przetwarzane w sposób zautomatyzowany, który mógłby skutkować zautomatyzowanym podejmowaniem decyzji, w tym decyzji opartych na profilowaniu.
7. Prawa osoby, której dane dotyczą.
Bank pragnie zapewnić Pana/Panią, że wszystkim osobom, których dane osobowe są przetwarzane przez Bank przysługują odpowiednie prawa wynikające z Rozporządzenia. W związku z tym, przysługują Panu/Pani następujące prawa:
7.1 prawo dostępu do danych osobowych, w tym prawo do uzyskania kopii tych danych;
7.2 prawo do żądania sprostowania (poprawiania) danych osobowych – w przypadku gdy dane są nieprawidłowe lub niekompletne;
7.3 prawo do żądania usunięcia danych osobowych (tzw. „prawo do bycia zapomnianym”) – w przypadku gdy:
a. dane nie są już niezbędne do celów, dla których były zebrane lub w inny sposób przetwarzane,
b. osoba, której dane dotyczą wniosła sprzeciw wobec przetwarzania danych osobowych,
c. osoba, której dane dotyczą, cofnęła zgodę na której opiera się przetwarzanie i nie ma innej podstawy prawnej przetwarzania,
d. dane przetwarzane są niezgodnie z prawem,
e. dane muszą być usunięte w celu wywiązania się z obowiązku wynikającego z przepisów prawa;
7.4 prawo do żądania ograniczenia przetwarzania danych osobowych – w przypadku gdy:
a. osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych,
b. przetwarzanie danych jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych, żądając w zamian ich ograniczenia,
c. administrator nie potrzebuje już danych dla swoich celów, ale osoba, której dane dotyczą, potrzebuje ich do ustalenia, obrony lub dochodzenia roszczeń,
d. osoba, której dane dotyczą wniosła sprzeciw wobec przetwarzania danych – do czasu ustalenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstawy sprzeciwu;
7.5 prawo do sprzeciwu wobec przetwarzania danych osobowych gdy:
a. zaistnieją przyczyny związane z Pana/Pani szczególną sytuacją, oraz
b. przetwarzanie danych oparte jest na podstawie niezbędności do celów wynikających z prawnie uzasadnionego interesu Banku, o którym mowa w pkt. 2 powyżej.
7.6 prawo do cofnięcia zgody na przetwarzanie danych osobowych- w zakresie, w jakim udzielił Pan/Pani zgodę na przetwarzanie danych osobowych, przysługuje Panu/Pani prawo do cofnięcia zgody na przetwarzanie danych osobowych. Cofnięcie zgody nie ma wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem.
7.7 prawo wniesienia skargi do organu nadzorczego- w przypadku uznania, iż przetwarzanie przez Bank Pana/Pani danych osobowych narusza przepisy Rozporządzenia, przysługuje Panu/Pani prawo do wniesienia skargi do właściwego organu nadzorczego:
• Urząd Ochrony Danych Osobowych z siedzibą w Warszawie, ul. Stawki 2, 00-193 Warszawa; Infolinia: (+48) 606-950-000; Email: kancelaria@uodo.gov.pl; Strona www: www.uodo.gov.pl
8. Pozostałe informacje
8.1 Bank może w dowolnym momencie zaktualizować niniejszą Politykę prywatności w celu uwzględnienia wszelkich zmian legislacyjnych lub regulacyjnych, a także zmian w praktyce rynku bankowego.
8.2 Jeśli którekolwiek z postanowień niniejszego dokumentu zostanie uznane za nieważne lub niewykonalne przez jakikolwiek sąd lub organ właściwej jurysdykcji lub na mocy jakiegokolwiek ustawodawstwa, któremu podlega lub z jakiegokolwiek innego powodu, będzie nieważne lub niewykonalne tylko w takim zakresie i nie ma to wpływu na ważność i wykonalność któregokolwiek z pozostałych postanowień niniejszej Polityki prywatności w zakresie dozwolonym przez prawo.