Nasze dane osobowe – czego nie może robić bank?

Nasze dane osobowe - czego nie może robić bank?

Wprowadzenie nowego unijnego rozporządzenia regulującego zasady ochrony danych osobowych (RODO) sprawiło, że wielu naszych rodaków bardziej zainteresowało się tematem wykorzystania poufnych informacji. Bez wątpienia jest to ważna kwestia (również w kontekście usług bankowych). Klienci banków dość często narzekają, że dane takie jak np. numer telefonu albo e – mail bez ich zgody zostały wykorzystane do celów marketingowych. Takie skargi na sposób działania banków nie zawsze są uzasadnione i dość często wynikają po prostu z niewiedzy klientów. Właśnie dlatego postanowiłem poświęcić mój kolejny wpis ogólnym zasadom związanym z ochroną danych na temat klienta wykorzystywanych przez bank.

Tajemnica bankowa nie działa tylko w ramach wyjątku …

Wszyscy klienci banków powinni zdawać sobie sprawę, że takie instytucje muszą przestrzegać zarówno ogólnych przepisów o ochronie danych osobowych, jak i szczegółowych regulacji, które są typowe tylko dla branży bankowej. Specyfika działalności banków sprawia, że te spółki maja dostęp do wielu tzw. informacji wrażliwych. Przykładem są np. dane dotyczące stanu finansów klienta oraz jego historii kredytowej. Właśnie dlatego banki muszą spełniać dodatkowe wymogi prawne. W tym kontekście warto wspomnieć o szczególnym rozwiązaniu, jakim jest tajemnica bankowa. Zgodnie z artykułem 104 ustawy prawo bankowe, pracownicy banku są zobowiązani zachować poufność informacji pozyskanych w czasie negocjacji oraz zawierania i wykonywania umowy dotyczącej produktów finansowych. Warto wiedzieć, że w przypadku ubezpieczycieli przewidziano podobne rozwiązanie. Chodzi o tak zwaną tajemnicę ubezpieczeniową.

Wyjątki od zasad poufności związanych z tajemnicą bankową mogą być jedynie określone na mocy ustawy. Prawo do korzystania z informacji objętych tajemnicą bankową posiadają między innymi funkcjonariusze Policji oraz Krajowej Administracji Skarbowej. Dostęp do poufnych informacji może uzyskać również sąd i prokuratura w zakresie związanym z przestępstwem lub przestępstwem skarbowym. Warto zdawać sobie sprawę, że pewnym wyjątkiem od zasad dotyczących tajemnicy bankowej jest również działalność wszelkich biur informacji gospodarczej oraz BIK-u.

Nie wszystkie „osobowe” zgody są obowiązkowe dla klienta

Kolejnym ważnym aspektem wydaje się temat zgód marketingowych. Wielu klientów banków nieopatrznie wyraża takie zgody poprzez zaznaczenie wszystkich klauzul widniejących na końcu umowy jakiegoś produktu bankowego. Trzeba przyznać, że swój udział mają tutaj również banki. Wiele z nich udostępnia bowiem opcję „zaznacz wszystkie zgody”, która skutkuje zarówno udzieleniem obowiązkowych zgód na przetwarzanie danych osobowych (związanych z wykonywaniem usługi), jak i nieobowiązkowych zgód (dotyczących czynności marketingowych). Takie rozróżnienie pomiędzy wymaganym i nieobowiązkowym zakresem przetwarzania danych osobowych jest bardzo ważne. Osoby korzystające z różnego rodzaju promocji muszą pamiętać, że zgoda na użycie danych w celach marketingowych może być wymagana do uzyskania np. premii za zakupy kartą lub lepszych warunków kredytu. W moich opisach różnych promocji, zawsze sygnalizuję ewentualne wymagania banku dotyczące wykorzystania danych osobowych klienta.

Stosowanie przez banki swoistych zachęt do udostępnienia im danych w celach marketingowych jest dozwolone, choć czasem nieco kontrowersyjne. Instytucje finansowe takie jak na przykład banki albo ubezpieczyciele, nie powinny jednak uzależniać wykonania umowy dotyczącej np. konta lub polisy OC od udostępnienia przez klienta danych do celów związanych z marketingiem.

Banki dość często wykorzystują dane klientów w celach marketingowych poprzez wykonywanie irytujących telefonów. Osoby nie zgadzające się na taką formę sprzedaży bezpośredniej powinny wiedzieć, że przysługuje im prawo do wycofania wcześniej udzielonej zgody marketingowej (na podstawie artykułu 32 ustawy o ochronie danych osobowych). Ważny jest także artykuł 172 ustawy prawo komunikacyjne. Ten przepis zakazuje wykorzystywania sieci telefonii komórkowej do przekazywania informacji o charakterze marketingowym, jeżeli właściciel numeru wcześniej nie wyraził zgody na taką aktywność reklamodawcy.

Bank teraz musi mieć inspektora ochrony danych osobowych

Niektóre osoby przy okazji wprowadzenia RODO być może słyszały o ważnej roli, jaką w wielu firmach obecnie pełni inspektor ochrony danych osobowych. Banki podobnie jak pozostałe instytucje finansowe również musiały powołać takiego inspektora. Wspomniana osoba, do której kontakt (np. e-mail) powinien być dostępny publicznie, czuwa między innymi nad tym, żeby klienci banku mieli prawo:

  • dostępu do przechowywanych danych
  • poprawiania i aktualizacji błędnych informacji
  • usuwania danych osobowych
  • ograniczania zakresu przetwarzania danych
  • sprzeciwu wobec przetwarzania swoich danych
  • przenoszenia danych osobowych
  • wyrażenia skargi dotyczącej przetwarzania poufnych informacji

Skarga do bankowego inspektora zajmującego się ochroną danych osobowych powinna być pierwszą formą reakcji na nadużycia i nieprawidłowości, jakie stwierdził klient banku. W dalszej kolejności, można skorzystać z pomocy wyspecjalizowanych instytucji. Skargi dotyczące nieprawidłowości związanych z wykorzystaniem danych osobowych przyjmuje Biuro Generalnego Inspektora Ochrony Danych Osobowych. Porad prawnych w sprawie ochrony i wykorzystania poufnych informacji może natomiast udzielić Federacja Konsumentów albo miejski lub powiatowy rzecznik konsumenta.

Na profilowanie swoich danych trzeba wyrazić bankowi zgodę

W ramach podsumowania chciałbym poruszyć temat, który również jest związany z RODO. Mowa o tak zwanym profilowaniu danych klientów różnych firm (nie tylko banków). Najogólniej rzecz biorąc, profilowanie polega na automatycznej analizie danych o kliencie, która pozwoli na przewidzenie jego preferencji dotyczących produktów lub usług (np. kredytów) albo decyzji finansowych. Profilowanie jest specyficzną czynnością (nie tylko z prawnego punktu widzenia), ponieważ umożliwia uzyskanie większej ilości danych na temat konsumenta, niż taka osoba sama przekazała bankowi. W związku z powyższym, wprowadzono wymóg uzyskiwania wcześniejszej zgody klienta banku na prowadzenie profilowania.

Mam nadzieję, że moje wyjaśnienia w pewnym zakresie przybliżyły Wam tematykę ochrony danych osobowych przez banki. Już niebawem na moim blogu pojawią się kolejne ciekawe wpisy. Tymczasem zachęcam do polubienia mojego profilu na Facebooku.