RODO daje nam prawo do bycia zapomnianym. Możemy poprosić firmę czy instytucję o usunięcie naszych danych osobowych. Nasza czytelniczka rozstała się z Getin Bankiem i chciała też na zawsze zniknąć z jego rejestrów. Bank odmówił i poinformował, że… będzie przechowywał jej dane jeszcze pięć lat. Czy miał prawo?
Już prawie pięć miesięcy żyjemy z RODO, czyli unijnym rozporządzeniem o ochronie danych osobowych. Odnoszę wrażenie, że dla wielu osób RODO sprowadza się do możliwości żądania usunięcia danych osobowych. Tymczasem to „opasłe tomisko”, liczące prawie sto artykułów.
- Wymarzony moment, żeby inwestować w fundusze obligacji? Podcast z Pawłem Mizerskim [POWERED BY UNIQA TFI]
- Nowe funkcje terminali płatniczych. Jak biometria zmieni świat naszych zakupów? [POWERED BY FISERV]
- BaseModel.ai od BNP Paribas: najbardziej zaawansowana odsłona sztucznej inteligencji we współczesnej bankowości!? [POWERED BY BNP PARIBAS]
Zauważyłem, że ludzie, nawet na płaszczyźnie towarzyskiej i w żartach zaczynają używać RODO jak wytrycha. Na jednej z imprez w gronie bliskich znajomych ktoś zaczął robić zdjęcia. Nagle jeden z gości powiedział: „Nie rób mi zdjęć, nie słyszałeś o RODO?” Pojmowanie RODO w ten sposób może więc prowadzić do absurdów.
Przeczytaj też: Imię i nazwisko, PESEL, dowód osobisty, adres zamieszkania, wizerunek… Czym jest kradzież tożsamości? I jak się przed nią obronić?
RODO, czyli twoje dane – twoja własność
Po co powstało RODO? Rozporządzenie miało na celu uporządkować przepisy dotyczące ochrony danych osobowych w całej Unii Europejskiej. Muszą je stosować wszyscy, którzy przetwarzają dane osobowe: firmy, urzędy, organizacje, związki wyznaniowe.
Instytucje muszą powołać inspektora danych osobowych, czyli osobę odpowiedzialną „za dane osobowe”. Mogą przetwarzać tylko te dane, na które otrzymały od nas zgody. To dlatego wiosną tego roku, tuż przed wejściem w życie rozporządzenia byliśmy zasypywani prośbami o potwierdzenie już wcześniej wydanych zgód.
RODO mocno stawia na bezpieczeństwo przetwarzanych danych. Instytucje muszą stosować adekwatne zabezpieczenia techniczne i odpowiednie procedury przetwarzania danych. Chodzi np. o określenie, kto w danej firmie może mieć dostęp do danych klientów. Instytucje muszą też zgłaszać, jeśli doszło do wycieku danych. A za naruszenia przepisów grozi kara nawet 20 mln euro lub 4% ogólnych obrotów firmy.
Przeczytaj też: Założyłeś konto przez przelew weryfikacyjny albo wideoczat? Możesz mieć problem z korzystaniem z niektórych usług. Banki: „to nie nasza wina”
Strach o dane osobowe i odrzucona prośba o „zapomnienie”
Natomiast w kwestii usuwania danych, RODO daje nam tzw. prawo do bycia zapomnianym. Jeśli nie chcemy już być klientem firmy albo wypisujemy się z członkostwa w jakiejś organizacji, mamy prawo zażądać też „wykreślenia z rejestru”. Problem w tym, że to prawo nie działa „zawsze i wszędzie”. W tej sprawie napisała do nas pani Zuzanna, której nie udało się skłonić do „zapomnienia” swojego byłego banku.
Czytelniczka wysłała prośbę o usunięcie jej danych osobowych do Getin Banku. Jak podkreśla, sprawa jest dla niej ważna ze szczególnego powodu – boi się po prostu tego, że ktoś może wykorzystać jej dane w celach przestępczych. Niedawno ktoś wyłudził na nazwisko jej męża dwa telefony w jednej z sieci komórkowej.
Pani Zuzanna podkreśla, że nie chce żeby pracownicy Getin Banku mieli dostęp do jej danych, zwłaszcza że w tym momencie już żadne produkty i usługi nie wiążą jej z bankiem. Bank odmówił.
Przeczytaj też: Bankowe zwyczaje wciąż zaskakują. Klient ma biec do oddziału, bo tak chce pracownik? A regulamin mówi co innego. Ruszamy do akcji!
Z banku znikniesz, ale dopiero za pięć lat
Inspektor Danych Osobowych w Getin Banku powołuje się w odpowiedzi dla klientki na art. 17 ust. 3 RODO, zgodnie z którym usunięcie danych nie jest możliwe, gdy przetwarzanie jest niezbędne m.in. do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, do celów archiwalnych w interesie publicznym lub do ustalenia, dochodzenia lub obrony roszczeń.
Bank oświadczył, że w związku z tym zobowiązany jest przetwarzać dane klientki jeszcze przez okres 5 lat od wygaśnięcia umowy. Czy ma rację? Mecenas Maciej Gawroński, ekspert w dziedzinie prawa o ochronie danych osobowych, potwierdza, że banki mają obowiązek przetwarzać nasze dane nie tylko na podstawie RODO.
„Banki podlegają przepisom ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu. Wynika z niej obowiązek przechowywania informacji o relacji gospodarczej przez 5 lat od jej końca. Czyli w przypadku umowy trwającej dłuższy okres czasu (umowa rachunku, kredytu) przez 5 lat od jej zakończenia.”
Rozumiem panią Zuzannę, ale w tym przypadku nie można mówić o złej woli banku. Podobną odpowiedź usłyszałaby w każdym innym banku. Dobra wiadomość? Getin Bank zapewnił byłą klientkę, że jej dane nie będą wykorzystywane do celów marketingowych, ani nie będą przekazywane żadnym podmiotom z grupy kapitałowej banku. To oznacza, że nasza czytelniczka nie powinna dostać żadnej propozycji z Getin Banku z ofertą kredytu, rachunku czy lokaty. Dane pani Zuzanny będą przechowywane, ale będą „martwe”.
Źródło zdjęcia: Geralt / Pixabay.com
