Ochrona danych osobowych

„RODO”, zwane jest także „GDPR” lub „Ogólnym Rozporządzeniem o Ochronie Danych”. Oznacza rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

RODO zastępuje dotychczas obowiązującą dyrektywę 95/46/WE, a w konsekwencji również Ustawę o ochronie danych osobowych z dnia 29 sierpnia 1997 r. RODO będzie bezpośrednio stosowane od 25 maja 2018 roku we wszystkich państwach członkowskich Unii Europejskiej.

Rozporządzenie ma na celu ochronę podstawowych praw i wolności osób fizycznych, w szczególności prawa do ochrony danych osobowych.

Administratorem, czyli podmiotem decydującym o celach i sposobach przetwarzania danych osobowych, jest Santander Consumer Bank S.A. z siedzibą we Wrocławiu pod adresem ul. Legnicka 48 B, 54-202 Wrocław (dalej: Bank).

Dane kontaktowe Banku:

a) numer telefonu dla osób dzwoniących z Polski: 195 00,

b) numer telefonu dla osób dzwoniących spoza Polski: +48 713 589 909,

c) adres e-mail: biuro@santanderconsumer.pl

d) dowolny oddział Banku

Funkcjonujący dotąd w Banku Administrator Bezpieczeństwa Informacji staje się Inspektorem Ochrony Danych (dalej: IOD), do którego zadań będzie należało m.in. wspieranie administratora danych  w zapewnieniu przestrzegania przepisów RODO, udzielanie zaleceń co do oceny skutków dla ochrony danych, współpraca i punkt kontaktowy dla organu nadzorczego. Inspektor jest także punktem kontaktowym dla osób, których dane dotyczą (w sprawach związanych z przetwarzaniem ich danych osobowych oraz wykonywaniem praw przysługujących im w związku z RODO).

Z IOD (Pani Grażyna Deberny) można skontaktować się pisząc:

a) na adres e-mail: iod@santanderconsumer.pl 

b) na adres siedziby Banku tj. ul. Legnicka 48 B, 54-202 Wrocław z dopiskiem „Inspektor Ochrony Danych”.

Dane Inspektora Danych Osobowych znajdują się także na stronie Banku pod adresem https://www.santanderconsumer.pl/

Przetwarzanie danych osobowych wymaga podstawy prawnej. W RODO znajduje się zamknięty katalog warunków, jakie dają możliwość przetwarzania danych osobowych legalnie. Oznacza to, że w każdym przypadku proces przetwarzania danych musi opierać się na co najmniej jednej podstawie prawnej, wskazanej w RODO:

a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Bank może przetwarzać dane osobowe w następujących celach:

a) podjęcia na żądanie Klienta działań zmierzających do zawarcia umowy z Bankiem, w tym w celu dokonania badania zdolności kredytowej i analizy ryzyka kredytowego;

b) realizacji zawartej przez Klienta z Bankiem umowy;

c) wypełnieniu obowiązków prawnych ciążących na Banku w związku z prowadzeniem działalności bankowej i realizacją zawartych umów;

d) marketingu i promocji produktów i usług oferowanych przez Bank;

e) ustalenia, dochodzenia lub obrony roszczeń;

f) wewnętrznych celów administracyjnych Banku, w tym analizy portfela kredytowego, statystyki i raportowania wewnętrznego.

g) marketingu i promocji i usług podmiotów trzecich

Dane są zbierane i przetwarzane przez Bank tylko w zakresie niezbędnym do realizacji celów, dla jakich zostały zebrane. Podanie danych ma charakter dobrowolny, jednak w przypadku niepodania niezbędnych danych nie będzie możliwości np.:

a) zawarcia i wykonania umowy zawartej z Bankiem;

b) rozpatrzenia reklamacji, wniosku lub odwołania;

c) przedstawienia oferty, etc.

W zależności od celu przetwarzania dane osobowe mogą być udostępniane innym odbiorcom danych osobowych. Odbiorcami mogą być w szczególności:

a) Centrum Prawa Bankowego i Informacji sp. z o.o., Ministerstwo Finansów, w tym Generalny Inspektor Informacji Finansowej, Komisja Nadzoru Finansowego, Narodowy Bank Polski, Bankowy Fundusz Gwarancyjny, Urząd Ochrony Konkurencji i Konsumentów, Rzecznik Finansowy;

b) biura informacji gospodarczej;

c) inne podmioty upoważnione do odbioru danych osobowych na podstawie odpowiednich przepisów prawa lub na podstawie udzielonych zgód;

d) podmioty z grupy kapitałowej, do której należy Bank.

Bank w określonych przypadkach może także przekazywać dane osobowe do spółek z grupy  kapitałowej, do której należy. Grupa kapitałowa, do której należy Bank obejmuje zarówno podmioty dominujące, jak i zależne wobec Banku, a także obecnych jak i przyszłych jej członków.
W celach statystyki i raportowania dane mogą być przekazywane w szczególności do następujących podmiotów z Grupy Santander:

• Santander Consumer Bank S.A. ul. Legnicka 48 B, 54-202 Wrocław; 
• Santander Bank Polska S.A. ul. Jana Pawła II 17, 00-854 Warszawa (dawniej Bank Zachodni WBK S.A. ul. Rynek 9/11, 50-950 Wrocław);  
• Banco Santander Santander Group City Av. de Cantabria s/n, 28660 Boadilla del Monte MADRID-SPAIN; 
• Santander Consumer Finance Santander Group City Av. de Cantabria s/n, 28660 Boadilla del Monte MADRID-SPAIN;
• Santander Consumer Multirent Sp. z o.o. ul. Legnicka 48B, 54-202 Wrocław;
• Santander Consumer Finanse Sp. z o.o. ul. Legnicka 48B, 54-202 Wrocław;
• PSA Finance Polska Sp. Z o.o. ul. Domaniewska 44A, 02-672 Warszawa;
• PSA Consumer Finance Sp. z o.o. ul. Domaniewska 44a, 02-672 Warszawa.

Bank nie przekazuje danych osobowych poza Europejski Obszar Gospodarczy, czyli do tzw. Państw trzecich ani do organizacji międzynarodowych.

RODO kładzie szczególny nacisk na zapewnienie jak najlepszej ochrony praw i wolności każdej osoby, której dane są przetwarzane. Każda osoba ma zapewnioną kontrolę nad przetwarzaniem należących do niej danych niezależnie od tego w jakim celu są przetwarzane.

W związku z przetwarzaniem przez Bank danych osobowych, osobom, których dane są przetwarzane przysługują następujące prawa:

a) prawo dostępu do treści danych, na podstawie art. 15 Rozporządzenia;

Jest to prawo do uzyskania od Banku potwierdzenia, czy przetwarza dane osobowe oraz prawo uzyskania dostępu do tych danych (w tym ich kopii), a także w szczególności do następujących informacji: (i) o celach przetwarzania danych osobowych, (ii) o kategoriach przetwarzanych danych osobowych, (iii) informacji o odbiorcach lub kategoriach odbiorców, którym Bank ujawnił dane osobowe lub którym ma zamiar ujawnić te dane, (iv) o możliwości skorzystania z praw w zakresie ochrony danych osobowych i o sposobie realizacji tych praw, (v) o prawie do wniesienia skargi do organu nadzorczego, (vi) o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, a także o konsekwencjach takiego przetwarzania, o ile nie dotyczy to przetwarzania danych osobowych na potrzeby przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu oraz przeciwdziałania innym przestępstwom.

b) prawo do sprostowania danych, na podstawie art. 16 Rozporządzenia;

Jest to prawo do żądania od Banku niezwłocznego sprostowania danych osobowych, które są nieprawidłowe oraz do żądania uzupełnienia niekompletnych danych osobowych.

c) prawo do usunięcia danych, na podstawie art. 17 Rozporządzenia;

Jest to prawo do żądania od Banku niezwłocznego usunięcia dotyczących danych osobowych (zwane również „prawem do bycia zapomnianym”). Bank ma w takiej sytuacji obowiązek usunąć dane osobowe, pod warunkiem że jest spełniona jedna z następujących przesłanek: (i) dane osobowe nie są już niezbędne do celów, dla których zostały zebrane, (ii) cofnięto zgodę, na której opiera się przetwarzanie i Bank nie ma innej podstawy prawnej przetwarzania, (iii) dane osobowe były przetwarzane niezgodnie z prawem, (iv) dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego.

d) prawo do ograniczenia przetwarzania danych, na podstawie art. 18 Rozporządzenia;

Jest to prawo do żądania od Banku ograniczenia przetwarzania danych osobowych w przypadkach, gdy: (i) kwestionowana jest prawidłowość danych osobowych przetwarzanych przez administratora, (ii) przetwarzanie danych osobowych jest niezgodne z prawem, a sprzeciwiono się usunięciu danych osobowych, (iii) Bank nie potrzebuje już danych osobowych, ale są one potrzebne do ustalenia, dochodzenia lub obrony roszczeń.

W przypadku realizacji prawa do ograniczenia przetwarzania danych osobowych, Bank może przetwarzać dane osobowe, z wyjątkiem ich przechowywania, wyłącznie za zgodą lub w celu ustalenia, dochodzenia lub obrony roszczeń lub w celu ochrony praw innej osoby fizycznej lub prawnej lub z uwagi na ważne względy interesu publicznego.

e) prawo do przenoszenia danych, na podstawie art. 20 Rozporządzenia.

Jest to prawo do otrzymania w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego danych osobowych, dostarczonych Bankowi oraz prawo do żądania przesłania tych danych osobowych innemu administratorowi danych, jeśli jest to technicznie możliwe. Prawo to przysługuje jeśli spełnione są łącznie następujące przesłanki: (i) przetwarzanie odbywa się w sposób zautomatyzowany, (ii) dane przetwarzane są na podstawie zgody lub na podstawie umowy.

Jeżeli jednak dane, które mają ulec przeniesieniu na żądanie, stanowią tajemnicę przedsiębiorstwa Banku, wówczas Bank ma prawo odmówić wykonania  żądania do przeniesienia takich danych, o czym Bank poinformuje.

f) prawo do wniesienia sprzeciwu wobec przetwarzania danych, na podstawie art. 21 Rozporządzenia;

Prawo o wniesienia w dowolnym momencie sprzeciwu – z przyczyn związanych ze szczególną sytuacją – wobec przetwarzania danych opartego na prawnie uzasadnionym interesie Banku (tj. na podstawie art. 6 ust. 1 lit. f) Rozporządzenia), w tym profilowania. W takiej sytuacji Bank nie będzie mógł dalej przetwarzać danych w tych celach, chyba że istnieją ważne prawnie uzasadnione podstawy do przetwarzania lub dane potrzebne są Bankowi do ustalenia, dochodzenia lub obrony roszczeń.

Jeżeli dane osobowe są przetwarzane na potrzeby marketingu bezpośredniego, to osoba, której dane są przetwarzane ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania na potrzeby takiego marketingu, w tym profilowania, w zakresie, w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim. Wówczas Bankowi nie będzie wolno przetwarzać danych do takich celów.

g) prawo do cofnięcia zgody na podstawie art. 7 ust. 3 Rozporządzenia;

W przypadkach, w których przetwarzanie danych odbywa się na podstawie zgody (art. 6 ust. 1 lit. a) Rozporządzenia), osoba której dane dotyczą ma prawo  do wycofania tej zgody w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem.

W celu skorzystania ze wskazanych praw można dokonać zgłoszenia w następujący sposób:

a) pisemnie na adres ul. Legnicka 48 B, 54-202 Wrocław,

b) telefonicznie dla osób dzwoniących z Polski: 195 00,

c) telefonicznie dla osób dzwoniących spoza Polski: +48 713 589 909,

d) pisemnie na adres e-mail: biuro@santanderconsumer.pl

e) osobiście w dowolnym oddziale Banku,

f) elektronicznie poprzez wypełnienie dedykowanego formularza na stronie Kontaktu

Zgodnie z RODO i z wewnętrznymi regulacjami Bank bez zbędnej zwłoki, w każdym razie w terminie miesiąca  od otrzymania żądania  udziela informacji o działaniach podjętych w związku ze złożonym żądaniem. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań.

W terminie miesiąca od wpływu żądania Bank jest zobowiązany poinformować o przedłużeniu terminu z podaniem przyczyn opóźnienia.

a) w przypadku wyrażenia zgody - do czasu jej wycofania;

b) w zakresie realizacji zawartej umowy z Bankiem lub innej czynności prawnej –  do czasu zakończenia jej realizacji, a po tym czasie – w zakresie ustalenia, dochodzenia lub obrony roszczeń związanych z tą umową lub inną czynnością prawną – do upływu okresu przedawnienia tych roszczeń określonego przepisami kodeksu cywilnego;

c) w zakresie wypełniania obowiązków prawnych ciążących na Banku w związku z prowadzeniem działalności bankowej i realizacją zawartych umów - przez okresy wskazane w odpowiednich przepisach prawa dotyczących prowadzenia działalności przez banki, w szczególności:

• dla dokumentacji podatkowej – przez okres 5 lat licząc od końca roku kalendarzowego, w którym upłynął termin płatności podatku,
• dla dokumentacji księgowej – przez okres 5 lat licząc od końca roku kalendarzowego, w którym operacje, transakcje i postępowanie zostały ostatecznie zakończone, spłacone, rozliczone lub przedawnione,
• dla dokumentacji związanej z przeciwdziałaniem praniu pieniędzy – przez okres 5 lat, licząc od pierwszego dnia roku następującego po roku, w którym zakończono stosunki gospodarcze z klientem lub w którym przeprowadzono transakcje okazjonalne,

d) w przypadku, gdy przetwarzanie odbywa się w celach wynikających z prawnie uzasadnionych interesów realizowanych przez Bank lub strony trzecie - do czasu ich zrealizowania, lub do czasu wniesienia sprzeciwu wobec takiego przetwarzania, o ile nie występują prawnie uzasadnione podstawy dalszego przetwarzania moich danych przez Bank.

Przetwarzanie danych osobowych w Banku może odbywać się w sposób zautomatyzowany, co może wiązać się ze zautomatyzowanym podejmowaniem decyzji, w tym z profilowaniem.

a) decyzje oparte wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, podejmowane są w przypadku:

 -  dokonywania oceny zdolności kredytowej na potrzeby zawarcia umowy z Bankiem (oraz na potrzeby podniesienia limitu kredytowego), gdzie ocena ta dokonywana jest na podstawie danych zadeklarowanych we wniosku o skorzystanie z produktów i usług oferowanych przez Bank oraz informacji uzyskanych w toku dokonywania oceny (m.in. pobranych raportów z Biura Informacji Kredytowej S.A. oraz międzybankowych list zastrzeżeń) w oparciu o zdefiniowany zestaw reguł i algorytmów według opisanego i zatwierdzonego przez Bank procesu badania zdolności kredytowej. Konsekwencją dokonanej oceny jest: automatyczna zgoda na zawarcie umowy/podniesienie limitu kredytowego, automatyczna odmowa zawarcia umowy/podniesienia limitu kredytowego lub konieczność podjęcia przez Bank decyzji indywidualnej.

Z uwagi na to, że podjęcie takich decyzji, o których mowa powyżej, jest niezbędne do zawarcia lub wykonania umowy ma Pani/Pan prawo do uzyskania interwencji ludzkiej ze strony Banku (np. jeżeli uważa Pani/Pan, że decyzja nie jest prawidłowa), do wyrażenia własnego stanowiska i do zakwestionowania tej decyzji.

b) profilowanie może dotyczyć następujących przypadków:

- tworzenia profilu, z wykorzystaniem algorytmów komputerowych, na podstawie informacji posiadanych przez Bank (np. o wieku, posiadanych produktach, miejscu zamieszkania) w celu zidentyfikowania, jakie są Pani/Pana możliwe cechy i preferencje. Działania te posłużą Bankowi do przygotowania i przedstawiania ofert/informacji marketingowych jak najlepiej dopasowanych do Pani/Pana potrzeb.

 - braku terminowego wywiązywania się z zobowiązań wobec Banku, gdzie Bank ocenia w oparciu o dostępne dane (m.in. o dochodzie, rodzajach posiadanych produktów finansowych, rodzaju zatrudnienia) optymalny sposób dochodzenia roszczeń, określa ryzyko niewykonania zobowiązania, podejmuje decyzję o momencie rozpoczęcia działań windykacyjnych.