UMOWA powierzenia przetwarzania danych osobowych (dalej: „Umowa Powierzenia")

UMOWA

powierzenia przetwarzania danych osobowych

(dalej: „Umowa Powierzenia")

zawarta w Warszawie, w dniu __________________pomiędzy;

BANKIEM GOSPODARSTWA KRAJOWEGO z siedzibą w Warszawie (00-955), przy. Al. Xxxxxxxxxxxxxx 0, działającym na podstawie ustawy z dnia 14 marca 2003 r. o Banku Gospodarstwa Krajowego oraz statutu nadanego rozporządzeniem Ministra Rozwoju z dnia 16 września 2016 r. w sprawie nadania statutu Bankowi Gospodarstwa Krajowego, o numerze identyfikacji podatkowej NIP 000-00-00-000, posiadającym numer REGON 17319 zwaną dalej „Administratorem”,

a

………………………………..

zwaną dalej „Procesorem",

zwanymi dalej łącznie „Stronami”, a każda z osobną „Stroną”.

PREAMBUŁA

A. Umowa Powierzenia zostaje zawarta w związku z zaproszeniem do udziału w przetargu na kupno portfela wierzytelności zagrożonych z dnia 20.03.2024 r. w procesie sprzedaży portfela wierzytelność korporacyjnych, na które składają się: (1) Ogólna charakterystyka portfela (Teaser), (2) Umowa o zachowaniu poufności (NDA), (3) niniejsza Umowa Powierzenia, (4) Oświadczenie o przystąpieniu do przetargu, w następstwie podpisania których Administrator przekazuje List procesowy oraz Informację o portfelu do sprzedaży bez danych identyfikujących kredytobiorców i zabezpieczeń, i po złożeniu wstępnych ofert niewiążących nabycia wierzytelności i wyborze poszczególnych ofert, ujawni wybranym oferentom - Data Tape i Virtual Data Room obejmujące: nośnik danych zawierający opis/skany umów stanowiących powstanie zbywanych wierzytelności, umów zabezpieczenia tych wierzytelności, zmiany do tych umów, ugody, dokumentację związaną z postępowaniem restrukturyzacyjnym, skany tytułów egzekucyjnych i wykonawczych, pozostałą dokumentację związaną z dochodzeniem zbywanych wierzytelności w postępowaniu egzekucyjnym i upadłościowym portfela zbywanych wierzytelności (dalej: „Zaproszenie”) oraz w celu jego wykonania, tj. na użytek wyceny portfela wierzytelności.

[ UWAGA: treść punktu A należy dostosować do danego procesu sprzedaży w zależności jakie będą dokumenty w danej sprzedaży]

B. W celu realizacji Zaproszenia niezbędne jest przetwarzanie przez Procesora danych osobowych, których administratorem w rozumieniu Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1) (dalej: „RODO”) jest Administrator. W związku z tym konieczne jest powierzenie przetwarzania danych osobowych przez Administratora Procesorowi.

Postanowienia Umowy Powierzenia stanowią umowę powierzenia przetwarzania danych osobowych w rozumieniu art. 28 RODO.

§ 1

Powierzenie przetwarzania danych osobowych

1. W trybie art. 28 ust. 3 RODO, Administrator powierza Procesorowi do przetwarzania dane osobowe wskazane w Załączniku nr 1 do Umowy Powierzenia (dalej: „Dane”), a Procesor zobowiązuje się do ich przetwarzania zgodnie z zasadami określonymi w Umowie Powierzenia. O ostatecznych rodzajach przekazywanych Danych (w stosunku do Załącznika nr 1) decyduje Administrator.

2. Celem przetwarzania Danych jest dokonanie wyceny portfela wierzytelności przez Procesora w celu złożenia oferty w związku z otrzymanym od Administratora Zaproszeniem.

3. Procesor, na niniejsze polecenie Administratora, zobowiązuje się do przetwarzania Danych w sposób incydentalny, tj. związany z otrzymanym Zaproszeniem w celu złożenia oferty z nim związanej. Procesor będzie w szczególności wykonywał następujące operacje dotyczące Danych: utrwalanie, organizowanie, porządkowanie, przechowywanie, przeglądanie, wykorzystywanie (do celów wskazanych w ust. 2), ujawnianie innym podmiotom zgodnie z przepisami prawa, postanowieniami Umowy Powierzenia lub na polecenie Administratora, usuwanie.

4. Dane będą przez Procesora przetwarzane w formie elektronicznej w systemach informatycznych lub w formie papierowej.

5. Decyzje dotyczące sposobu przetwarzania Danych, w tym wykorzystania zautomatyzowanego przetwarzania (w szczególności profilowania), o którym mowa w art. 22 ust. 1 i 4 RODO, podejmuje Administrator.

§ 2

Prawa i obowiązki Stron

1. Procesor zobowiązany jest poinformować Administratora przed rozpoczęciem przetwarzania Danych o ciążącym na nim, odrębnym niż na podstawie Umowy Powierzenia, obowiązku prawnym przetwarzania Danych, wynikającym z prawa Unii Europejskiej lub prawa krajowego, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.

2. Procesor może przetwarzać Dane wyłącznie w zakresie i w celu przewidzianym w Umowie Powierzenia oraz zgodnie ze szczegółowymi, udokumentowanymi instrukcjami lub poleceniami udzielonymi mu przez Administratora (o ile Administrator przekaże mu takie instrukcje).

3. Procesor zobowiązany jest niezwłocznie poinformować Administratora, jeśli zdaniem Xxxxxxxxx wydane mu polecenie stanowi naruszenie RODO lub innych przepisów Unii Europejskiej lub krajowych, dotyczących ochrony danych. Informacja powinna zostać udokumentowana i zawierać uzasadnienie.

4. Procesor oświadcza, że dysponuje zasobami, doświadczeniem, wiedzą fachową i wykwalifikowanym personelem, co umożliwia mu prawidłowe i bezpieczne wykonanie przetwarzania, uwzględniające stan wiedzy technicznej, koszt wdrażania, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób, których Dane dotyczą, oraz wdrożył przed rozpoczęciem przetwarzania Danych odpowiednie środki techniczne i organizacyjne tak, aby przetwarzanie spełniało wymogi z art. 32 RODO, w tym x.xx. w stosownym przypadku:

1) pseudonimizację i szyfrowanie danych osobowych;

2) zdolność do zapewnienia stałej poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

3) zdolność do terminowego przywrócenia dostępności i dostępu do danych osobowych w przypadku awarii fizycznej lub technicznej;

4) regularne testowanie, ocenę i pomiar skuteczności środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania.

5. Procesor zobowiązany jest podjąć kroki zabezpieczające Dane przed dostępem osób nieupoważnionych, nieodpowiednim wykorzystaniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów prawa oraz zmianą, utratą, uszkodzeniem lub zniszczeniem Danych.

6. Procesor zobowiązuje się powiadamiać Administratora niezwłocznie o:

1) wszczęciu kontroli przez Prezesa Urzędu Ochrony Danych Osobowych lub przez inny organ nadzorczy, którego kontrola może dotyczyć ochrony danych osobowych, w związku z powierzeniem Procesorowi przetwarzania Danych, a także o wszelkich decyzjach lub postanowieniach administracyjnych wydanych wobec Procesora w związku z powyższym, jak również o wszelkich faktach wymagających zajęcia przez Administratora stanowiska w tym zakresie;

2) wszczętych lub toczących się postępowaniach administracyjnych, sądowych lub przygotowawczych związanych z powierzeniem Procesorowi przetwarzania Danych, a także o wszelkich decyzjach, postanowieniach lub orzeczeniach wydanych wobec Procesora w związku z powyższym;

3) wszelkich incydentach dotyczących powierzonych do przetwarzania Danych po stronie Procesora, w tym uzyskania przypadkowego lub nieupoważnionego dostępu do powierzonych Danych, przypadkach zmiany, utraty, uszkodzenia lub zniszczenia powierzonych Procesorowi Danych, z uwzględnieniem ust. 12 poniżej.

7. Procesor nie może przekazywać powierzonych mu do przetwarzania Danych do podmiotów znajdujących się w państwach spoza Europejskiego Obszaru Gospodarczego.

8. Procesor będzie prowadził rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu Administratora, zawierający informacje wskazane w art. 30 RODO i na zasadach tam określonych. Procesor zobowiązuje się do udostępniania rejestru na każde żądanie Administratora lub organu nadzorczego.

9. Procesor zobowiązuje się zachować w tajemnicy wszelkie informacje i Dane, do których będzie miał dostęp w związku z Zaproszeniem lub wykonaniem Umowy Powierzenia.

10. W przypadku stwierdzenia jakiejkolwiek sytuacji stanowiącej naruszenie bezpieczeństwa Danych powierzonych do przetwarzania lub podejrzenia zaistnienia takiej sytuacji. Procesor po stwierdzeniu naruszenia ochrony Danych lub po powzięciu podejrzenia naruszenia zobowiązany jest niezwłocznie, nie później jednak niż w ciągu 4 godzin liczonych od stwierdzenia naruszenia:

1) poinformować o tym Administratora, podając wszelkie informacje dotyczące takiego naruszenia lub podejrzenia naruszenia;

2) ustalić przyczynę naruszenia;

3) podjąć niezwłocznie wszelkie czynności mające na celu usunięcia naruszenia i zabezpieczenie Danych w sposób należyty przed dalszymi naruszeniami;

4) niezwłocznie zebrać wszystkie możliwe informacje i dokumenty, które mogą pomóc w ustaleniu okoliczności naruszenia i przeciwdziałaniu podobnym naruszeniom w przyszłości i w tym celu współpracuje z Administratorem na każdym etapie wyjaśniania sprawy.

Kontakt do Administratora w sprawach naruszeń:

adres email: ________________________________ Kontakt do Procesora w sprawach naruszeń:

adresy email: ______________________________ numer tel.:__________________________.

11. Administratorowi przysługuje prawo kontrolowania sposobu przetwarzania powierzonych Danych po uprzednim poinformowaniu o kontroli co najmniej 7 (siedem) dni roboczych przed jej rozpoczęciem lub niezwłocznie w przypadku wystąpienia naruszenia. Kontrola może być wykonywana przez osoby imiennie wyznaczone przez Administratora w dni robocze, w miejscach przetwarzania Danych. Osoby wyznaczone przez Administratora są uprawnione do wstępu do pomieszczeń, w których przetwarzane są Dane oraz do wglądu do powierzonych Danych, jak również do żądania od Procesora udzielania informacji dotyczących przebiegu przetwarzania Danych, oraz udostępnienia rejestrów przetwarzania.

12. Procesor nie może powierzyć czynności przetwarzania Danych innym osobom lub podmiotom, bez uprzedniej pisemnej lub elektronicznej zgody Administratora.

13. Procesor zobowiązuje się służyć pomocą Administratorowi w wywiązywaniu się z obowiązku odpowiadania na żądania osoby, której Dane dotyczą, oraz z obowiązków określonych w art. 32-36 RODO, z uwzględnieniem charakteru przetwarzania i informacji dostępnych Procesorowi.

14. Procesor zobowiązuje się niezwłocznie, nie później niż w terminie 3 (trzech) dni roboczych, udostępnić Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO lub odpowiednio w innych przepisach prawa krajowego lub Unii Europejskiej dotyczących ochrony danych.

15. Procesor będzie prowadził ewidencję osób zatrudnionych przez Procesora przy przetwarzaniu Danych. Osoby zatrudnione przez Procesora zostaną zobowiązane przez Procesora do zachowania w tajemnicy wszelkich informacji uzyskanych w związku z przetwarzaniem Danych. Na żądanie Administratora Procesor potwierdzi w formie pisemnej lub innej wskazanej wykonanie powyższych obowiązków,

16. Procesor zobowiązuje się ograniczyć dostęp do Danych wyłącznie do osób, których dostęp do Danych jest konieczny do udziału Procesora w procesie składania ofert związanym z Zaproszeniem.

17. Procesor ma obowiązek zapewnić osobom upoważnionym do przetwarzania powierzonych Danych odpowiednie szkolenie z zakresu ochrony danych osobowych.

§ 3

Odpowiedzialność

1. Procesor ponosi odpowiedzialność za wszelkie szkody majątkowe lub niemajątkowe poniesione przez osoby trzecie, z przyczyn leżących po stronie Procesora, w związku z przetwarzaniem przez Procesora Danych w sposób naruszający przepisy o ochronie danych osobowych lub Umowę Powierzenia.

2. W przypadku naruszenia obowiązujących przepisów o ochronię danych osobowych w ramach realizacji Umowy Powierzenia, z przyczyn leżących po stronie Procesora łub dalszego podmiotu przetwarzającego, któremu Procesor powierzył przetwarzanie Danych, w następstwie którego jakakolwiek osoba trzecia, w tym osoba, której Dane dotyczą, wystąpiłaby przeciwko Administratorowi z jakimkolwiek roszczeniem cywilnoprawnym, opartym na naruszeniu praw tej osoby Procesor zobowiązany jest:

1) zwolnić Administratora z obowiązku zapłaty jakichkolwiek odszkodowań lub pokrycia zadośćuczynień z tytułu naruszenia praw osoby trzeciej, także w przypadku zawarcia przez Administratora z ww. osobą stosownej ugody,

2) pokryć udokumentowane koszty poniesione przez Administratora w związku z podniesieniem przez osobę trzecią powyższych roszczeń, w szczególności koszty obsługi prawnej, a także pokryć inne koszty poniesione przez Administratora, w związku z podniesieniem przeciwko niemu roszczeń.

3. W przypadku, gdyby Procesor nie zwolnił Administratora z obowiązku zapłaty odszkodowań lub pokrycia zadośćuczynień, o których mowa w ust. 2 pkt 1 powyżej i Administrator uiścił je na rzecz osoby trzeciej. Procesor zobowiązany jest do zwrotu Administratorowi udokumentowanych, uiszczonych przez niego kwot.

4. Procesor zobowiązany jest do pokrycia kosztów oraz zwrotu odszkodowań łub pokrycia zadośćuczynień, o których mowa w ust. 2 powyżej, w terminie 30 (trzydziestu) dni od dnia wezwania Procesora przez Administratora do zapłaty tych kwot.

5. W przypadku nałożenia na Administratora przez organ nadzorczy, w związku z niezgodnym z przepisami RODO przetwarzaniem Danych Osobowych powierzonych Procesorowi, administracyjnej kary pieniężnej, o której mowa w art. 83 ROPO, z przyczyn leżących po stronie Procesora lub dalszego podmiotu przetwarzającego, któremu Procesor powierzył przetwarzanie Danych, Procesor zobowiązany będzie do zapłaty Administratorowi równowartości kary umownej w wysokości odpowiadającej kwocie nałożonej na Administratora kary, niezależnie od administracyjnych kar pieniężnych, jakie mogą być nałożone na Procesora odrębnie, jako na podmiot przetwarzający, również na mocy art. 83 RODO.

6. Niezależnie od powyższego, Administratorowi przysługuje względem Procesora prawo dochodzenia odszkodowania na zasadach ogólnych.

§ 4

Udostępnienie danych Pracowników

1. W związku z Umową Powierzenia Strony będą udostępniać sobie wzajemnie dane osobowe swoich Pracowników odpowiedzialnych za wykonywanie Umowy Powierzenia (przy czym na potrzeby Umowy Powierzenia przez „Pracowników" rozumie się osoby zatrudnione przez każdą ze Stron na podstawie umowy o pracę, zlecenia lub innej umowy cywilnoprawnej). Strony potwierdzają, że mają podstawę do udostępniania danych osobowych Pracowników. Każda ze Stron będzie przetwarzała udostępnione jej dane Pracowników drugiej Strony jako administrator tych danych.

2. Każda ze Stron zobowiązuje się wykonać w stosunku do swojego Pracownika, którego dane udostępnia drugiej Stronie, obowiązek informacyjny obciążający drugą Stronę na podstawie art. 14 RODO. Postanowienie to stosuje się również do osób reprezentujących Strony. Obowiązki informacyjne Stron stanowią Załącznik nr 2 i 3 do Umowy Powierzenia.

§ 5

Czas trwania Umowy Powierzenia

1. Powierzenie przetwarzania Danych wskazanych w Załączniku nr 1 następuje na czas nie dłuższy niż przez okres ważności oferty złożonej Administratorowi przez Procesora w związku z Zaproszeniem.

2. Administrator jest uprawniony do wypowiedzenia Umowy Powierzenia ze skutkiem natychmiastowym w przypadku:

1) przetwarzania Danych przez Procesora w celu lub w sposób inny niż określony w Umowie Powierzenia; 

2) korzystania przez Procesora z usług innego podmiotu przetwarzającego, w celu wykonywania w imieniu Administratora wszystkich lub wybranych czynności przetwarzania Danych, bez zgody Administratora lub wbrew wyrażonemu sprzeciwowi Administratora.

§ 6

Postępowanie z Danymi po zakończeniu przetwarzania

1. W przypadku wyboru oferty przez Administratora lub zakończenia procesu zbierania ofert związanych z Zaproszeniem z innych przyczyn, rozwiązania umowy cesji dotyczącej portfela wierzytelności z powodu braku zapłaty ceny lub innej przyczyny skutkującej jej rozwiązaniem lub wygaśnięciem, rozwiązania lub wygaśnięcia Umowy Powierzenia lub ustania celu przetwarzania Danych wskazanego w § 1 ust. 2 Umowy Powierzenia w inny sposób - Procesor nie ma prawa przetwarzać powierzonych Danych na podstawie Umowy Powierzenia i jest zobowiązany, zgodnie z żądaniem Administratora, na swój koszt i ryzyko:

1) zwrócić Dane Administratorowi i

2) usunąć Dane wraz z istniejącymi kopiami

pod rygorem naprawienia wszelkich szkód związanych z ich naruszeniem.

2. Protokół ze zniszczenia i usunięcia Danych Procesor zobowiązany jest dostarczyć Administratorowi w ciągu 10 (dziesięciu) dni roboczych od odpowiedniego zdarzenia określonego w ust. 1 powyżej lub od wydania polecenia usunięcia Danych przez Administratora.

3. Dane lub ich kopie powinny zostać usunięte przez Procesora nie później niż w terminie 10 (dziesięciu) dni roboczych od dnia zakończenia przetwarzania na podstawie Umowy Powierzenia lub od wydania polecenia usunięcia Danych przez Administratora.

§ 7

Prawo i sąd właściwy

1. Umowa Powierzenia podlega prawu polskiemu.

2. Sądem właściwym do rozstrzygnięcia sporów będzie sąd właściwy miejscowo dla siedziby Administratora.

§ 8

Postanowienia końcowe

1. Wszelkie zmiany w treści Umowy Powierzenia wymagają formy pisemnej pod rygorem, nieważności.

2. W sprawach, które nie zostały uregulowane Umową Powierzenia znajdują zastosowanie odpowiednie przepisy RODO oraz Kodeksu cywilnego.

3. Umowa Powierzenia została sporządzona w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.

4. Załączniki do Umowy Powierzenia stanowią jej integralną część.

3. Postanowienia Umowy Powierzenia obowiązują od dnia __________________ roku.

Załączniki:

1. Opis przetwarzanych Danych

2. Klauzula informacyjna Administratora dla pracowników Procesora

Administrator Procesor

____________ _________________

Załącznik nr 1 do Umowy Powierzenia

OPIS PRZETWARZANYCH DANYCH

1. Procesor zobowiązuje się do przetwarzania danych osobowych następujących kategorii osób, których dane dotyczą: osób fizycznych, będących klientami i dłużnikami Administratora.

2. Przetwarzanie będzie obejmowało następujące rodzaje danych osobowych:

1) ID klienta,

2) ID wierzytelności,

3) Typ podmiotu (osoba fizyczna/osoba prowadząca działalność gospodarczą/spółka osobowa / kapitałowa),

4) Kod pocztowy i miasto (zamieszkania/pobytu/zameldowania),

5) Typ produktu (pożyczka/kredyt, gwarancja portfelowa, poręczenie),

6) Data umowy (data dzienna),

7) Salda wierzytelności (należność główna/odsetki/opłaty i prowizje/koszty),

8) Data pełnej wymagalności pierwotnej umowy,

9) Etap windykacji,

10) Rodzaj posiadanego tytułu egzekucyjnego/wykonawczego,

11) Data wniosku o wszczęcie egzekucji,

12) Status egzekucji (w toku, umorzona, zawieszona),

13) Data umorzenia egzekucji i podstawa umorzenia,

14) Wskazanie daty danych finansowych,

15) Informacja, czy dłużnik zmarł lub został wykreślony z KRS/CEIDG

16) Informacja, czy dłużnik ogłosił upadłość, otwarto postępowanie restrukturyzacyjne,

17) Posiadanie i rodzaj ustanowionego zabezpieczenia, zabezpieczenia.

Załącznik nr 2 do Umowy Powierzenia

INFORMACJE DOTYCZĄCE PRZETWARZANIA DANYCH OSOBOWYCH W BANKU GOSPODARSTWA KRAWJOWEGO

(dla Reprezentantów, w tym Członków Organów / Pracowników / Zleceniobiorców Kontrahenta Banku)

Poniższa informacja przedstawiana jest w związku z obowiązywaniem Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE („RODO”).

Przekazujemy Państwu informacje o przetwarzaniu danych osobowych oraz zasadach, na jakich będzie się to odbywało.

W odniesieniu do danych osobowych dotyczące przedsiębiorców, przedmiotowe dane pozyskujemy również z innych źródeł publicznych, w których dane dotyczące przedsiębiorców są gromadzone, tj.: Krajowego Rejestru Sądowego, Centralnej Ewidencji Działalności Gospodarczej, czy podobnych źródeł zlokalizowanych w innych krajach oraz od podmiotów prywatnych specjalizujących się w zbieraniu i udostępnianiu informacji o przedsiębiorcach. W przypadku danych osobowych osób reprezentujących przedsiębiorców lub też działających na ich rzecz, dane pozyskujemy zarówno z wyżej wymienionych źródeł, jak i od samych przedsiębiorców.

Co to są dane osobowe?

Informacje, które Państwa identyfikują lub umożliwiają Państwa zidentyfikowanie, np. imię, nazwisko, numer telefonu czy adres e-mail. Bank zbierał i zbiera Państwa dane w związku z działalnością banku na potrzeby realizacji różnych usług i produktów, wskazanych poniżej.

Kto jest odpowiedzialny za przetwarzanie danych osobowych i z kim w banku można się skontaktować?

Administratorem Państwa danych osobowych jest Bank Gospodarstwa Krajowego z siedzibą w Warszawie (00-955) przy Al. Xxxxxxxxxxxxxx 0 (dalej jako „Bank”).

Bank wyznaczył osobę odpowiedzialną za przetwarzanie danych osobowych - Inspektora Ochrony Danych, z którym można się skontaktować we wszystkich sprawach dotyczących przetwarzania danych osobowych oraz korzystania z praw związanych z przetwarzaniem danych:

kierując korespondencję na adres tymczasowej siedziby:

Bank Gospodarstwa Krajowego

Inspektor Ochrony Danych

Bud. VARSO 2

ul. Xxxxxxxx 00

00-801 Warszawa

poprzez kontakt elektroniczny, pod adresem e-mail: xxx@xxx.xx

W jakim celu bank przetwarza Państwa dane osobowe i na jakiej podstawie prawnej?

Przetwarzanie Państwa danych związane jest głównie z realizacją zadań nałożonych na BGK, w tym związanych z obsługą funduszy i programów rządowych oraz unijnych utworzonych, powierzonych lub przekazanych BGK na podstawie ustaw bądź zawartych umów, udzielaniem gwarancji i poręczeń w ramach programów rządowych, inwestycjami w fundusze kapitałowe, tj.: Krajowy Fundusz Kapitałowy (KFK), Fundusz Mieszkań na Wynajem, Polski Fundusz Funduszy Wzrostu, obsługą bankowych rachunków budżetu państwa, budżetu jednostek samorządu terytorialnego, budżetu województw dotyczących efektywnej dystrybucji środków unijnych, rachunków państwowych lub samorządowych osób prawnych utworzonych na podstawie odrębnych ustaw w celu wykonywania zadań publicznych. Przetwarzanie danych odbywa się także w celu wykonywania czynności bankowych określonych ustawą z dnia 29 sierpnia 1997 r. - Prawo bankowe, a w szczególności: przyjmowanie wkładów pieniężnych płatnych na żądanie lub z nadejściem oznaczonego terminu oraz prowadzenie rachunków tych wkładów, prowadzenie innych rachunków bankowych, udzielanie kredytów, udzielanie i potwierdzanie gwarancji i poręczeń bankowych oraz otwieranie akredytyw, emitowanie bankowych papierów wartościowych, przeprowadzanie bankowych rozliczeń pieniężnych we wszystkich formach przyjętych w obrocie krajowym i za granicą, wykonywanie operacji czekowych i wekslowych oraz operacji, których przedmiotem są warranty, wydawanie kart płatniczych oraz obsługa operacji wykonywanych przy ich użyciu, dokonywanie terminowych operacji finansowych na rynku krajowym i zagranicznym, nabywanie i zbywanie wierzytelności pieniężnych, przechowywanie przedmiotów i papierów wartościowych, prowadzenie skupu i sprzedaży wartości dewizowych, udzielanie i potwierdzanie poręczeń, wykonywanie czynności zleconych, związanych z emisją papierów wartościowych, pośredniczenie w dokonywaniu przez rezydentów przekazów pieniężnych za granicę oraz rozliczeń w kraju z nierezydentami, realizowanie transakcji z wykorzystaniem instrumentów pochodnych, pośredniczenie w transakcjach kompensacyjnych. Ponadto dane przetwarzane są w celu wykonywania czynności dotyczących instytucji kredytowych zlikwidowanych lub uznanych za zlikwidowane na podstawie: dekretu z dnia 25 października 1948 r. o zasadach i trybie likwidacji niektórych przedsiębiorstw bankowych (Dz. U. Nr 52, poz. 410, z 1949 r. Nr 35, poz. 256 oraz z 1951 r. Nr 31, poz. 240); dekretu z dnia 25 października 1948 r. o zasadach i trybie likwidacji niektórych instytucji kredytu długoterminowego (Dz. U. Nr 52, poz. 411 oraz z 1951 r. Nr 31, poz. 241), dekretu z dnia 25 października 1948 r. o reformie bankowej (Dz. U. z 1951 r. Nr 36, poz. 279 oraz z 1957 r. Nr 31, poz. 136).

Dla wypełnienia zobowiązań umownych (art. 6 ust. 1 lit b RODO).

Dane są przetwarzane w celu realizacji umów zawartych z klientami lub w celu realizacji działań przed zawarciem umowny, które są wykonywane na życzenie klienta.

Dla wypełnienia obowiązków prawnych (art. 6 ust. 1 lit c RODO) lub wykonywania zadań realizowanych w interesie publicznym (art. 6 ust. 1 lit. e RODO).

Jako Bank podlegamy szeregowi zobowiązań prawnych, tj. wymogom wynikającym, np. z ustawy Prawo bankowe, ustawy o obrocie instrumentami finansowymi, ustawy o funduszach inwestycyjnych i zarządzaniu alternatywnymi funduszami inwestycyjnymi, ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, ustawy o usługach płatniczych, ustawodawstwu podatkowemu oraz wymogom regulacyjnym (nałożonym przez instytucje takie jak: Europejski Bank Centralny, Europejski Urząd Nadzoru Bankowego, Komisję Nadzoru Finansowego). Dane są przetwarzane do celów obejmujących w szczególności: ocenę zdolności kredytowej, analizę ryzyka kredytowego, weryfikację tożsamości klientów i osób ich reprezentujących, przeciwdziałaniu przestępstwom, w tym praniu pieniędzy i finansowania terroryzmu, wypełnianie obowiązków związanych z monitorowaniem i raportowaniem zgodnie z ustawodawstwem podatkowym oraz zarządzaniem ryzykiem w banku, przeciwdziałaniu missellingowi czyli proponowaniu klientom produktów niedopasowanych do ich potrzeb, oceny poziomu wiedzy o inwestowaniu w zakresie instrumentów finansowych.

W oparciu o wyraźną zgodę (art. 6 ust. 1 lit a RODO).

Jeśli wyrazili Państwo zgodę na przetwarzanie danych osobowych w określonych celach (np. przesyłanie danych w ramach współpracujących instytucji), bank jest uprawniony do przetwarzania tych danych na podstawie takiej zgody. Zgoda może zostać wycofana w dowolnym momencie. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania danych do czasu wycofania zgody.

Do celów wynikających z prawnie uzasadnionych interesów realizowanych przez bank lub stronę trzecią (art. 6 ust. 1 lit f RODO).

Jeśli zajdzie taka potrzeba, przetwarzamy dane w celu ochrony prawnie uzasadnionych interesów własnych lub stron trzecich. Przykładem takich aktywności są:

przetwarzanie danych osób działających na rzecz klientów,

zapobieganie przestępstwom dokonywanym na szkodę banków, instytucji kredytowych, finansowych, pożyczkowych i płatniczych oraz ich Klientów,

zapewnienie bezpieczeństwa informatycznego,

badanie satysfakcji klientów,

dochodzenie roszczeń oraz obronę przed roszczeniami;

wewnętrzne cele administracyjne banku, w tym analiza portfela kredytowego, statystyki i raportowania wewnętrznego banku.

Komu bank może przekazywać dane osobowe?

Dane osobowe mogą być udostępniane innym odbiorcom w celu wykonania umowy z Państwem, w celu wykonania ciążącego na banku obowiązku prawnego, w oparciu o zgodę Pani/Pana zgodę lub dla celów wynikających z prawnie uzasadnionych interesów banku lub strony trzeciej.

Odbiorcami mogą być w szczególności: upoważnieni pracownicy banku, Komisja Nadzoru Finansowego, Ministerstwo Finansów, w tym Generalny Inspektor Informacji Finansowej, Biuro Informacji Kredytowej S.A., Krajowy Depozyt Papierów Wartościowych S.A., Krajowa Izba Rozliczeniowa S.A. i inne izby rozliczeniowe, Związek Banków Polskich, biura informacji gospodarczej, inne banki, instytucje kredytowe i płatnicze, uczestnicy systemów płatności, towarzystwa funduszy inwestycyjnych, instytucje finansujące i inne instytucje ustawowo upoważnione do odbioru Państwa danych osobowych na podstawie odpowiednich przepisów prawa.

Ponadto dane mogą być przekazywane podmiotom przetwarzającym dane osobowe na zlecenie banku i ich upoważnionym pracownikom, przy czym takie podmioty przetwarzają dane na podstawie umowy z bankiem i wyłącznie zgodnie z poleceniami banku oraz pod warunkiem zachowania tajemnicy bankowej, zawodowej i ubezpieczeniowej.

Czy Państwa dane osobowe zostaną przesłane do państwa trzeciego (poza Unię Europejską)?

Dane są przekazywane do odbiorców w krajach spoza Unii Europejskiej ("państwa trzecie") wyłącznie, jeżeli jest to niezbędne do wykonania umowy zawartej pomiędzy Państwem a bankiem tj. do realizacji zleceń (np. zleceń płatniczych i zleceń kupna lub sprzedaży papierów wartościowych). Jakiekolwiek inne przekazanie danych do państwa trzeciego może mieć miejsce po uzyskaniu Państwa zgody.

Kopię danych osobowych przekazywanych od państwa trzeciego mogą Państwo uzyskać po zgłoszeniu takiej prośby do Inspektora Danych Osobowych.

Jak długo bank będzie przetwarzał (przechowywał) Państwa dane?

Dane osobowe będą przetwarzane przez okres niezbędny do realizacji celów przetwarzania tj.:

- w zakresie realizacji zawartej umowy z bankiem - do czasu zakończenia jej realizacji, a po tym czasie przez okres wymagany przez przepisy prawa lub dla realizacji ewentualnych roszczeń;

- w zakresie wypełniania zobowiązań prawnych ciążących na banku w związku z prowadzeniem działalności i realizacją zawartych umów - do czasu wypełnienia tych obowiązków przez bank;

- w zakresie marketingu bezpośredniego realizowanego w oparciu o zgodę do czasu wycofania zgody na takie przetwarzanie;

- do czasu wypełnienia prawnie uzasadnionych interesów banku stanowiących podstawę tego przetwarzania lub do czasu wniesienia przez Państwa sprzeciwu wobec takiego przetwarzania, o ile nie występują prawnie uzasadnione podstawy dalszego przetwarzania danych.

Jakie prawa przysługują Państwu w związku z danymi osobowymi?

Mają Państwo prawo do:

a) żądania dostępu do swoich danych osobowych oraz prawo do ich sprostowania, ograniczenia przetwarzania danych osobowych lub do ich usunięcia;

b) w zakresie, w jakim podstawą przetwarzania danych osobowych jest zgoda, mają Państwo prawo wycofania w dowolnym momencie udzielonej wcześniej zgody na przetwarzanie danych osobowych;

c) wniesienia w dowolnym momencie sprzeciwu wobec przetwarzania danych osobowych:

- z przyczyn związanych z Państwa szczególną sytuacją, gdy bank przetwarza dane do celów wynikających z prawnie uzasadnionych interesów (art. 21 ust. 1 RODO),

- w celach związanych z marketingiem bezpośrednim, w tym wobec profilowania w celach marketingowych w zakresie, w jakim przetwarzanie Państwa danych jest związane z marketingiem bezpośrednim (art. 21 ust. 2 RODO);

d) żądania przeniesienia danych osobowych, przetwarzanych w celu zawarcia i wykonywania umowy lub przetwarzanych na podstawie zgody. Przeniesienie polega na otrzymaniu od banku Państwa danych osobowych, w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego i przesłaniu takich danych innemu administratorowi danych. Uprawnienie do przenoszenia danych nie dotyczy danych, które stanowią tajemnicę bankową;

e) wniesienia skargi do organu nadzorczego, tj. do Prezesa Urzędu Ochrony Danych Osobowych, w przypadku uznania, iż przetwarzanie Państwa danych osobowych narusza przepisy RODO.

Skąd pozyskujemy Państwa dane osobowe i jakie są ich kategorie?

Przede wszystkim gromadzone przez bank dane osobowe pochodzą bezpośrednio od Państwa. Bank przetwarza także pewne kategorie danych osobowych, które nie zostały uzyskane bezpośrednio od Państwa. Dane osobowe mogą zostać pozyskane x.xx. z:

biur informacji gospodarczej;

Biura Informacji Kredytowej S.A;

Związku Banków Polskich;

Systemu Elektronicznego Ksiąg Wieczystych;

osoby reprezentujące Panią/Pana na podstawie udzielonego pełnomocnictwa;

podmioty, którym Pan/Pani udzielił(-a) zgody na ich przekazanie;

W jakim stopniu korzystamy z automatycznego podejmowania decyzji, w tym profilowania?

Bank BGK nie profiluje danych osobowych klientów oraz nie podejmuje zautomatyzowanego podejmowania decyzji.

Strona 16 z 16