Europejskie Rozporządzenie o Ochronie Danych Osobowych obowiązuje w Polsce od maja 2018 roku. Nowe przepisy nie ominęły instytucji finansowych, w tym banków i agencji kredytowych. Co RODO oznacza dla klientów banków? Kiedy warto udzielić zgody na wykorzystanie danych osobowych?
Wizyta w banku lub agencji finansowej niemal zawsze wiąże się z udostępnieniem danych osobowych. RODO nałożyło na te instytucje nowe obowiązki w zakresie ochrony danych osobowych, choć nie wszystkie przepisy rozporządzenia dotyczą działalności banków. Np. banki nie świadczą usług na rzecz dzieci, więc w praktyce nie miały obowiązku spełnienia wymagań dotyczących osób poniżej 16 raku życia. Jednak większość wymagań RODO znalazła zastosowanie wobec banków.
Co zmieniło RODO? Rozporządzenie ujednoliciło przepisy w krajach Unii Europejskiej, a w Polsce ma za zadanie poprawić ochronę danych osobowych, która dotąd była regulowana prawem krajowym. Warto pamiętać, że dane osobowe, to nie tylko imię i nazwisko, PESEL czy adres, ale również wszelkie inne informacje, które umożliwiają identyfikację osoby fizycznej, np. specyficzne czynniki określające jej cechy.
Co to są dane osobowe?
Dane osobowe nie zostały określone jako zamknięty zbiór informacji. Można do nich zaliczyć m.in. imię, nazwisko, adres zamieszkania, e-mail, numery identyfikacyjne np. PESEL, data urodzenia oraz cechy fizyczne, fizjologiczne, ekonomiczne, kulturowe czy społeczne. Ale i to nie jest do końca precyzyjne wyjaśnienie. Otóż warto wiedzieć, że pojedyncze informacje, np. samo imię, samo miasto, sama data urodzenia nie stanowią danych osobowych. Dopiero w zestawieniu np. imię, miasto i data urodzenia umożliwiają identyfikację konkretnej osoby, więc stanowią dane osobowe.
Osobna grupa danych osobowych to dane wrażliwe. Należą do nich informacje ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, stan zdrowia, nałogi, orientację seksualną oraz kary (mandat, orzeczenie sądu).
Nie zawsze potrzebna nowa zgoda
Według nowych zasad przetwarzanie danych osobowych, np. imienia i nazwiska klienta, odbywa się na podstawie jego zgody. Zgoda udzielona przez klienta banku musi być dobrowolna i udzielona w konkretnym celu, który zawarty jest w treści oświadczenia. Poza tym klient banku musi być poinformowany o tym, kto administruje jego danymi osobowymi i w jaki sposób można się skontaktować z administratorem danych.
Nie wszystkie banki musiały na nowo pozyskiwać zgody na przetwarzanie danych osobowych od swoich klientów. Jeśli wcześniejsza zgoda, uzyskana na podstawie ustawy o ochronie danych osobowych, spełnia wymagania RODO, pozyskanie nowych nie było konieczne. Zatem jeśli bank nie zwrócił się do klienta z prośbą o zgodę na przetwarzanie jego danych, zapewne posiada już właściwą dokumentację.
Komunikacja banku z klientem
W niektórych przypadkach RODO może utrudniać bankom komunikowanie się z klientami. Zgoda na wykorzystanie danych osobowych obejmuje również zgodę na przedstawianie ofert przez telefon lub e-mailowo. Drogę komunikacji powinien wskazać klient – słowem wyrazić zgodę na otrzymywanie e-mali i telefonów (z wyraźnym wskazaniem kanału komunikacji).
Co to oznacza dla klienta? Jeśli w zgodzie na przesyłanie ofert i informacji marketingowych nie ma opcji, która pozwala na kontakty przez telefon, bank nie będzie się kontaktował w ten sposób. Dla jednych oznacza to koniec niechcianych telefonów z banku, a dla innych brak informacji o korzystnych ofertach banku, np. możliwości uruchomienia kredytu. Jednak brak zgody na kontakty telefoniczne (lub e-mailowe) nie powinien wpływać na warunki oferty proponowanej klientowi. Z tym skutkiem, że klient banku, aby poznać szczegóły oferty, bezie musiał udać się do placówki osobiście.
W praktyce banki mają jeszcze inne ograniczenia: brak zgody marketingowej od klienta uniemożliwia wysyłanie mu spersonalizowanej oferty, dostosowanej do jego potrzeb.
Kiedy można usunąć dane osobowe?
Zmiany w swoich danych osobowych można wprowadzić zawsze, a bank jest zobowiązany zapewnić taką możliwość swoim klientom. W myśl przepisów RODO klient banku może również dowiedzieć się, jak jego dane są przetwarzane, poprawić w nich błędy, przenieść swoje dane do innej instytucji, albo usunąć swoje dane z systemu banku (prawo do bycia zapomnianym). Warto o tym pamiętać, kiedy rezygnujemy z usług banku lub innej instytucji finansowej. Prawo do bycia zapomnianym nie zadziała, jeśli nadal korzystamy z usług banku, np. obowiązuje umowa kredytu lub rachunku, a dane klienta są potrzebne w czynnościach bankowych i przetwarzane zgodnie z prawem.