Nowe przepisy dotyczące ochrony danych osobowych zaczną obowiązywać już 25 maja. RODO namieszało w funkcjonowaniu wszystkich podmiotów gospodarczych. Nie ominęło również instytucji finansowych, dla których dane klientów są cenniejsze niż złoto. Sprawdzamy, jak nowe przepisy wpłyną na kontakt banków z klientami.



Rozporządzenie o ochronie danych osobowych (RODO) ma na celu ujednolicenie przepisów dotyczących ochrony danych stosowanych na terytorium UE. Nowe przepisy zaczną obowiązywać już 25 maja br. Kraje członkowskie miały jednak sporo czasu na przygotowanie się na tę okoliczność - unijne Ogólne Rozporządzenie o Ochronie Danych, które zastąpi przepisy dotychczasowej polskiej ustawy o ochronie danych osobowych, uchwalono bowiem w kwietniu 2016 r.

RODO dotkliwie odczują banki, których sprzedaż w dużej mierze opierała się na pozyskiwanych zgodach marketingowych. Jako instytucje zaufania publicznego skrupulatnie musiały przygotować się na nadciągające przepisy, tj. zmienić standardy obsługi czy zaktualizować oświadczenia dotyczące danych osobowych. Jak RODO zamieszało w bankach? Czy to już koniec uciążliwych telefonów z kolejną promocją przygotowaną "specjalnie dla nas"? Z rynku dobiegają informacje o braku przygotowania podmiotów krajowych do RODO, sprawdzamy zatem, jak wygląda sytuacja w instytucjach finansowych.

RODO utrudni komunikację banków z klientami /

Jak się okazuje, krajowe podmioty mają przed sobą jeszcze dużo pracy, aby pomyślnie zakończyć proces przygotowawczy. Nie jest to jednak problem dotyczący wyłącznie polskich przedsiębiorstw i instytucji. W poszczególnych państwach członkowskich prace nad wdrożeniem rozporządzenia były prowadzone w różnym tempie dostosowanym do ich możliwości. Jednak, jak wynika z najnowszego opracowania 2018 GDPR Compliance Report, tylko 40 proc. przedsiębiorstw jest w pełni przygotowanych do RODO bądź jest na dobrej drodze do spełnienia jego wszystkich wytycznych.

Przypomnijmy, że główne założenia RODO to:

wprowadzanie jednolitego zbioru przepisów obowiązujący w całej UE, gwarantującego przedsiębiorstwom pewność prawa, a obywatelom jednakowy poziom ochrony danych,

ujednolicenie zasad stosowanych do wszystkich przedsiębiorstw świadczących usługi na terenie UE,

wzmocnienie istniejących praw obywateli i przyznanie im nowych, m.in. umocnienie prawa do informacji czy prawo do bycia zapomnianym,

wzmocnienie ochrony przed naruszeniami w obszarze danych osobowych, tj. podmiot, którego chronione dane zostały naruszone, co naraziło osoby fizyczne na ryzyko, musi powiadomić o tym organ ochrony danych w ciągu 72 godzin, dodatkowo wprowadzono grzywny do 20 mln euro lub 4 proc. całkowitego rocznego światowego obrotu.

O tym, co szczegółowo musi zmienić się w formach w związku z RODO, pisaliśmy tutaj.

Co z obecnymi zgodami posiadanymi przez banki?

Choć rozporządzenie RODO jest dokumentem pełnym ogólnych zapisów, które pozwalają na szeroką interpretację, jedno jest pewne – powstało w celu wzmocnienie dzisiejszej pozycji konsumentów oraz wyczulenia ich na kwestie dotyczące ochrony ich wrażliwych danych osobowych.

Rozporządzenie umacnia obowiązek informacyjny, co oznacza, że każdy podmiot ma prawo wiedzieć, jakim procesom będą poddawane jego dane osobowe oraz w każdej chwili może domagać się udzielenia informacji na temat procedur ich przetwarzania. Co istotne, obowiązek informacyjny powinien zostać spełniony już w trakcie pozyskania danych osobowych klienta. Bank ma zatem obowiązek dopilnowania, aby każdy klient zapoznał się z klauzulami informacyjnymi, zanim jego dane zostaną poddane procesom przetwarzania.

RODO - postrach firm, oręż konsumentów Uznając konieczność pogłębiania prawa do prywatności i swobody przepływu informacji między ludźmi, Parlament Europejski przygotował rozporządzenie RODO, które zacznie obowiązywać w maju br. Z jednej strony wiąże się z koniecznością podjęcia działań dostosowawczych do nowych wytycznych przez firmy, z drugiej natomiast ułatwi konsumentom dochodzenie do swoich praw. Czytaj więcej...



Tu nasuwa się pytanie: co z już wyrażonymi zgodami klientów banków oraz ich danymi osobowymi? Zgodnie z RODO osoba, której dane dotyczą, nie musi ponownie wyrażać zgody, jeżeli pierwotny sposób jej udzielenia odpowiada warunkom niniejszego rozporządzenia. Oznacza to, że administrator po 25 maja br. może przetwarzać dane na podstawie zebranych zgód pod warunkiem, że zostały one wyrażone zgodnie z nowymi przepisami. Zapytaliśmy banki, czy już pozyskane zgody będą w dalszym ciągu wykorzystywane do kontaktu z klientem.

Większość instytucji jest już po procesie weryfikacji udzielonych zgód marketingowych. Spośród instytucji, które odpowiedziały na nasze zapytanie, jedynie ING Bank Śląski oraz Bank Zachodni WBK są w trakcie uzgadniania ich poprawności z wprowadzanymi przepisami. Jak się okazuje, dotychczas zebrane zgody będą w dalszym ciągu wykorzystywane przez banki. Instytucje albo stwierdziły, że są one zgodne z wymogami RODO, albo dały możliwość klientom na ich wycofanie, wysyłając odpowiednie informacje prawne. – (…) W kontekście wchodzącego w maju RODO została przeprowadzona analiza klauzul PDO (Przetwarzanie Danych Osobowych). W jej wyniku do aktualnie obowiązujących zgód PDO zostały dodane stosowne zapisy informujące klienta o możliwości ich wycofania, wniesienia sprzeciwu oraz skutkach dotyczących wybrania sprzeciwu na marketing po to, aby klient wiedział, czym skutkuje podjęta przez niego decyzja w relacji z bankiem – informuje Joanna Fatek z PKO BP.

Proces weryfikacji zgód udzielonych przez klientów banków przed wejściem w życie RODO Bank Etap dostosowania do RODO Credit Agricole Zgody klientów zostały zweryfikowane, część z nich okazała się być nieaktualna i nie będą wykorzystywane. Dodatkowo procesy sprzedaży nowych produktów każdorazowo wymagają weryfikacji udzielonych zgód. Deutsche Bank W rezultacie weryfikacji zgód zostały wypracowane nowe ich treści dostosowane do wymogów RODO. Euro Bank Na podstawie przeprowadzonej weryfikacji zgód bank potwierdził, że wszystkie zgody udzielone przez klientów są aktualne. Getin Bank Po weryfikacji nie stwierdzono braku zgodności z dotychczasowymi i planowanymi regulacjami dotyczącymi przetwarzania danych osobowych oraz innymi przepisami prawa polskiego. Dotychczas udzielone zgody pozostają w mocy. Idea Bank W ocenie banku zgody zebrane przed wejściem w życie RODO spełniają wymagania wspomnianej ustawy, zatem nie ma konieczności ponownej ich weryfikacji. ING Bank Śląski Bank jest w trakcie wysyłania do klientów informacji prawnej, w której informuje o możliwości wycofania zgód (to jedyny brakujący element w obecnych zgodach). W ten sposób obecne zgody zachowają swoją ważność. mBank Bank po przeanalizowaniu dotychczasowych zgód stwierdził, że spełniają one wymogi RODO. PKO BP Została przeprowadzona analiza klauzul PDO (Przetwarzanie Danych Osobowych). W jej wyniku, do aktualnie obowiązujących zgód zostały dodane stosowne zapisy informujące klienta o możliwości ich wycofania, wniesienia sprzeciwu oraz skutkach dotyczących wybrania sprzeciwu na marketing. Bank Zachodni WBK Twa proces weryfikacji zgód. W przypadku gdy w wyniku analiz wyrażone zgody nie będą spełniały wymogów narzucanych przez przepisy RODO, bank wdroży mechanizmy i działania mające na celu odnowienie przedmiotowych zgód. Źródło: Bankier.pl, na podstawie informacji uzyskanych w bankach

Wyłącznie Credit Agricole po przeprowadzonej analizie zdecydował się na niewykorzystywanie części zgód, które okazały się być niezgodne z wprowadzanymi przepisami. Jednak jak można się spodziewać, w bieżących procesach sprzedażowych planowane jest ich zaktualizowane.

Cofnięcie zgód równie łatwe jak ich wyrażenie

Zgodnie z przepisami RODO zgody muszą być wyrażone dobrowolnie oraz świadomie. Dodatkowo rozporządzenie kładzie duży nacisk na to, by zgody wyrażone były w konkretnym celu.

Co równie istotne, przepisy przewidują możliwość ich odwołania w każdym momencie. Administrator danych zobowiązany jest poinformować klienta o możliwości wycofania zgody jeszcze przed jej udzieleniem. Ponadto klient powinien posiadać swobodny dostęp do mechanizmów pozwalających na wycofanie poszczególnych zgód.

W tym zakresie RODO nie wprowadziło zasadniczych zmian. Klienci mogą zweryfikować udzielone przez siebie zgody za pośrednictwem wszystkich kanałów udostępnionych przez bank. Podobnie jest w kwestii wycofania udzielonych zgód. Klient może zgłosić sprzeciw w oddziale banku, korespondencyjnie czy telefoniczne. Może równie zarządzać swoimi danymi samodzielnie, tj. w usługach bankowości elektronicznej.

Dostępne kanały umożliwiające weryfikację udzielonych zgód oraz ich wycofanie Bank Kanały weryfikacji Kanały umożliwiające wycofanie zgód Credit Agricole na prośbę klienta przekazywany jest wydruk z Karty Klienta oddział, infolinia, Inspektor Ochrony Danych w banku Deutsche Bank oddział, Teleserwis, listownie, formularz na stronie www. oddział, Teleserwis, listownie, formularz na stronie WWW Euro Bank oddział, bankowość elektroniczna, listownie oddział, bankowość elektroniczna, listownie Getin Bank oddział, bankowość elektroniczna, infolinia oddział, bankowość elektroniczna, infolinia, listownie Idea Bank infolinia, pisemny wniosek infolinia, listownie, oddział ING Bank Śląski oddział, infolinia, bankowość elektroniczna oddział, infolinia, bankowość elektroniczna mBank mLinia, oddział mLinia, oddział, bankowość elektroniczna PKO BP oddział, infolinia, bankowość elektroniczna oddział, infolinia, bankowość elektroniczna Bank Zachodni WBK oddział, infolinia, bankowość elektroniczna oddział, listownie, telefonicznie, bankowość elektroniczna Źródło: Bankier.pl, na podstawie uzyskanych informacji z banków

W tym miejscu warto wspomnieć o „prawie do bycia zapomnianym”, które nabywają konsumenci wraz z wejściem w życie RODO. Powołując się na nie, klient może zażądać bezzwłocznego usunięcia swoich danych osobowych. Administrator danych po otrzymaniu wniosku nie tylko jest zobowiązany do ich usunięcia, ale także ma obowiązek poinformować innych administratorów danych, którym zostały one udostępnione o konieczności ich usunięcia.

Współpraca z bankiem nie wymaga wyrażenia żadnych zgód

Instytucje finansowe są zobowiązane do szczegółowego informowania o kwestiach związanych z administratorem danych, o sposobie ich pozyskania czy sposobach ich przetwarzania. Dodatkowo niezbędne jest wskazanie w klauzuli informacyjnej celu ich przetwarzania.

Jak już wcześniej wspomniano, RODO wymaga, aby pobierane zgody charakteryzowała całkowita dobrowolność. Co za tym idzie, współpraca z bankiem nie może być uzależniona od udzielenia zgód. – Zgodnie z RODO, zgoda to dobrowolne, świadome i jednoznaczne przyzwolenie osoby, której dane dotyczą, na przetwarzanie jej danych osobowych. W związku z tym bank nie będzie wymuszał zgód na przetwarzanie danych – wyjaśnia Kamila Nowak, specjalista ds. PR Idea Banku.

Klienci muszą jednak liczyć się z tym, że będą musieli udzielić zgodę na administrowanie danymi osobowymi, konieczne do realizacji danego procesu obsługi bądź zawarcia przedmiotowej umowy. – Sprzedaż produktów kredytowych zawsze związana jest z wyrażeniem zgody na sprawdzenie sytuacji finansowej w Biurze Informacji Kredytowej, które jest samodzielnym administratorem danych osobowych – informuje Artur Newecki, rzecznik prasowy Getin Banku.

RODO - zmiany w ochronie danych osobowych w 2018 roku. Najważniejsze informacje Już 25 maja 2018 r. wchodzi w życie RODO, czyli unijne rozporządzenie dotyczące ochrony danych osobowych. Nowe przepisy dotyczą każdego podmiotu działającego na terenie UE, począwszy od jednoosobowych działalności gospodarczych po duże międzynarodowe korporacje. Czasu na wprowadzenie zmian nie zostało wiele, a brak ich wdrożenia grozi wielomilionowymi karami. Czytaj więcej...



Kontakt z klientem tylko za jego przyzwoleniem

Zgody udzielane przez klienta nie tylko muszą cechować się dobrowolnością, ale również muszą zostać udzielone w konkretnym celu, który znajdzie się w treści oświadczenia. Osoba fizyczna powinna zostać również poinformowana o tożsamości administratora swoich danych osobowych, który, bez wcześniejszej jej zgody, nie może rozpowszechniać danych innym podmiotom.

Niewątpliwie utrudni to kontakt banków z klientami w celu prezentacji aktualnej oferty. Komunikacja będzie dozwolona wyłącznie przez kanały, na które osoba fizyczna udzieliła zgodę. – Oferty banku prezentowane są tylko kanałem, na który wyraził zgodę klient. Stosowne wytyczne dotyczące tego, jakie zmiany w regulacjach wewnętrznych nastąpiły w związku z wejściem w życie RODO, zostaną skierowane nie tylko do pracowników infolinii, ale do wszystkich jednostek banku – wyjaśnia Joanna Fatek z PKO BP.

Przykładowo w ING Banku Śląskim do marca br. zgoda na marketing telefoniczny i elektroniczny była wspólna. W celu lepszego dostosowania się do nowych przepisów, bank podzielił oświadczenie na dwa odrębne, co oznacza, że klient może sam wybrać kanał, za pośrednictwem którego bank będzie mógł prezentować swoje produkty.

Oferta profilowana już tylko dla nielicznych

Wyrażenie bądź brak zgody nie powinno mieć wypływu na warunki ofert proponowanych klientowi przez bank bądź na zawierane umowy. Same banki stają na stanowisku, że zgody marketingowe nie wpływają na możliwość korzystania z ich usług. Z drugiej jednak strony instytucje finansowe liczą na to, że klienci będą w dalszym ciągu chętnie wyrażać zgody, aby otrzymywać informacje o aktualnych ofertach czy promocjach.

Niektóre banki, aby zachęcić klientów do wyrażania zgód, będą oferować produkty czy usługi na „promocyjnych warunkach”. Oznacza to, że w sytuacji udzielenia wszystkich dostępnych zgód klient będzie mógł jednak liczyć na lepsza ofertę. – Klient będzie mógł nabyć produkty i usługi bankowe na promocyjnych warunkach, jeśli takie promocje będą w ofercie banku – informuje Artur Newecki, rzecznik prasowy Getin Banku. Dodaje również, że po 25 maja br. będzie możliwe uzyskanie lepszej oferty przez klienta, który wyrazi niezbędne w tym celu zgody.

Podobną politykę przyjął Bank Zachodni WBK, który informuje, że wyrażenie zgód nie sprawi, że oferta będzie lepsza, ale na pewno bardziej dostępna. – W przypadku braku zgody klient nie będzie miał możliwości skorzystania z ewentualnych dodatkowych promocji obowiązujących w banku – mówi Agnieszka Pietrzak z biura prasowego Banku Zachodniego WBK.

Dodatkowo większość instytucji potwierdza, że brak wyrażania zgody uniemożliwi wysyłanie spersonalizowanych ofert marketingowych. – Warto odznaczać zgody na marketing po to, aby na bieżąco bank mógł przesyłać dostosowane do potrzeb klienta informacje o produktach i usługach bankowych. Tylko po wyrażeniu stosownej zgody bank będzie mógł w pełni korzystać z elektronicznych kanałów komunikacji z klientem – wyjaśnia Joanna Fatek z PKO BP.

RODO, o którym w ostatnim czasie zrobiło się bardzo głośno, ma za zadnie poprawę ochrony danych osobowych. I nie chodzi tu wyłącznie o imię i nazwisko, pesel czy adres, ale również wszelkie inne informacje, które umożliwiają identyfikację osoby fizycznej. Banki, jako instytucje, którym klienci powierzają swoje dane, ale też takie, które postrzegane są przez pryzmat agresywnej sprzedaży prowadzonej wszelkimi dostępnymi kanałami, szczególnie musiały wyczulić się na regulacje RODO. Niedostosowanie się bowiem do nowych przepisów, bardzo szybko zostałoby wychwycone przez klientów, a takie niedbalstwo skutkowałoby nałożeniem wysokich kar na instytucję finansową.