Ochrona danych osobowych

My, czyli Bank – ING Bank Śląski Spółka Akcyjna z siedzibą w Katowicach. Informacje szczegółowe o Banku, w tym o wpisie Banku do rejestru sądowego, o numerze NIP oraz adresie Komisji Nadzoru Finansowego, która jest organem nadzorczym, znajdują się w stopce na dole każdej strony tej informacji oraz na www.ing.pl.

Ty, czyli Klient – osoba fizyczna, której dane osobowe Bank przetwarza w co najmniej jednym z celów wskazanych w tej informacji. Pozwoliliśmy sobie na zwrot bezpośredni dla zwiększenia przejrzystości tekstu. W rozumieniu tej informacji Klientem jest:

• zarówno osoba fizyczna, która była lub jest lub zostanie w danej chwili stroną czynności/relacji prawnej dokonywanej z udziałem Banku, bez względu na jej rodzaj, lub która złożyła wnioski, formularze o usługi oferowane przez Bank, a także ich spadkobiercy lub zapisobiercy, lub osoby uposażone, których dane zostały wskazane w dokumentacji dostępnej Bankowi. Do grupy Klientów zaliczamy osoby, z którą związana jest prawna forma zabezpieczenia ustanowiona na rzecz Banku,
  
  jak również
• pełnomocnik, użytkownik, przedstawiciel ustawowy lub inny reprezentant. Klientem jest także osoba fizyczna reprezentująca osobę prawną lub inny podmiot, która była lub jest członkiem organów takiego podmiotu
  członkiem zarządu lub rady nadzorczej oraz beneficjent rzeczywisty.
• Ponadto przez Klienta rozumiemy także osobę, której dane są lub będą w przyszłości przetwarzane w celach marketingowych, w szczególności w związku z przygotowaniem lub przekazywaniem informacji handlowej
  lub oferty.
• Klientem w rozumieniu tej informacji jest także osoba, która korzysta ze stron lub serwisów internetowych Banku, o ile Bank przetwarza jej dane osobowe. W przypadku korzystania z mediów społecznościowych Bank udziela odrębnej informacji o przetwarzaniu danych osobowych.

Podstawa prawna

Informacja jest przygotowana zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. Dz.U. UE L.2016.119.1 z dnia 4 maja 2016 r., stosuje się od dnia 25 maja 2018 r. (dalej nazywamy je Rozporządzeniem).

Administratorem Twoich danych osobowych jest ING Bank Śląski S.A. Siedziba Banku mieści się pod adresem: ul. Sokolska 34, 40-086, Katowice, Polska. Adres strony internetowej Banku: www.ing.pl, adres poczty elektronicznej Banku: info@ing.pl, numer infolinii dla klientów indywidualnych: 32 357 00 69, dla przedsiębiorców: 32 357 00 96, dla spółek: 32 357 00 24. Bank prowadzi działalność zgodnie ze swym statutem, w tym także działalność maklerską
w wyodrębnionym organizacyjnie Biurze Maklerskim ING Banku Śląskiego S.A.

Z inspektorem ochrony danych Banku można się kontaktować:

• pisemnie na adres pocztowy Banku, najlepiej z dopiskiem „Inspektor ochrony danych”
• elektronicznie na adres e-mail: abi@ing.pl.

Inne sposoby kontaktu mogą być wskazane na stronie www.ing.pl.

Organem nadzorczym w zakresie danych osobowych w Polsce jest Prezes Urzędu Ochrony Danych Osobowych, www.uodo.gov.pl. Masz prawo wniesienia skargi do organu nadzorczego.

Źródła danych

• dane pozyskujemy bezpośrednio od Ciebie, gdy wypełniasz wnioski lub formularze, gdy zawierasz umowy lub dokonujesz innych czynności, gdy kontaktujesz się z nami lub my przekazujemy informację handlową,
• dane pozyskujemy od osób prawnych lub innych podmiotów, które reprezentujesz lub które wskazały Cię jako osobę do kontaktu
• z innych dostępnych źródeł, takich jak np.: księgi wieczyste, rejestry handlowe, rejestry przedsiębiorstw, rejestry dłużników, Biuro Informacji Kredytowej, biura informacji gospodarczej, media społecznościowe/ internetowe lub tradycyjne, pliki cookie i porównywalne technologie (ing.pl/polityka-plikow-cookie), publicznie dostępne źródła, spółki zależne lub powiązane z ING, instytucje, organy państwowe lub samorządowe, urzędy.

Kategorie przetwarzanych danych

• Przetwarzamy dane identyfikacyjne, takie jak np.: imię i nazwisko, data i miejsce urodzenia, numer PESEL, adres e-mail, numer telefonu, tytuł, obywatelstwo i wzór podpisu, numer identyfikacji podatkowej, adres zamieszkania/korespondencji/nieruchomości, współrzędne geograficzne miejsca prowadzenia działalności, współrzędne geograficzne zabezpieczenia nieruchomościowego, dane dotyczące efektywności energetycznej, imiona rodziców, nazwisko rodowe matki, numer i serie dokumentów tożsamości. Wśród danych mogą być także dane biometryczne.

Sprawdzamy, czy dane są zgodne z danymi podawanymi lub otrzymywanymi z właściwych dokumentów, rejestrów lub wykazów, a także z danymi identyfikującymi urządzenia (np. numer telefonu, IP, email, numery urządzeń mobilnych), którymi posługuje się Klient.

• Przetwarzamy dane dotyczące płci, wykształcenia, stanu cywilnego i sytuacji rodzinnej, również o osobach pozostających na utrzymaniu (np. dzieci), we wspólnym gospodarstwie domowym.
• Dane identyfikacyjne przetwarzamy w celu sprawdzenia tożsamości i jej weryfikacji. Dane biometryczne przetwarzamy, gdy jest spełniona przesłanka przewidziana prawem np. wyraźna zgoda danej osoby. Dane dotyczące stanu cywilnego lub sytuacji rodzinnej (dane dzieci) przetwarzamy w celu wykonania umów kredytowych, dyspozycji na wypadek śmierci lub gdy jest to związane z usługą oferowaną przez Bank lub inną czynnością (np. świadczeniem społecznym, takim jak 800+).
• Przetwarzamy dane transakcyjne. To dane, dzięki którym można wykonać określoną transakcję lub które są związane z jej identyfikacją lub wykonaniem, np. numer rachunku bankowego, ewentualne kwoty wpłaty i wypłaty, przelewy realizowane z rachunku lub na rachunek, termin i miejsce ich realizacji, identyfikatory transakcji i powiązane informacje.
• Przetwarzamy dane finansowe lub związane ze świadczeniem usług np. informacje o sytuacji majątkowej lub finansowej, dane dotyczące posiadanych aktywów lub pasywów, dane określające zdolność i wiarygodność kredytową, dokumenty księgowe, historię kredytową, zdolność kredytową, status podatkowy, dochód i inne przychody i/lub Twoje produkty finansowe w ING, wpis do odpowiednich rejestrów, zaległości w spłacie, dane elektronicznych instrumentów płatniczych, takie jak: numer karty, data ważności lub kod weryfikacyjny karty (CVV/CVC), numer telefonu.

Dane transakcyjne i dane finansowe przetwarzamy w związku ze świadczeniem usług, w celu wykonania umów zawartych przez Bank, a także w celu wykonania obowiązujących przepisów prawa (np. prawa bankowego, handlowego, ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu).

• Przetwarzamy także dane dotyczące działalności gospodarczej, zawodowej lub społecznej. Dane te przetwarzamy w związku z usługą lub produktem oferowanym przez Bank lub za jego pośrednictwem.
• Przetwarzamy dane osobowe dotyczące wyszukiwań na administrowanych przez nas stronach internetowych. Są to dane takie jak np.: adres IP lub identyfikator Twojego urządzenia mobilnego bądź komputera. Są one przetwarzane zgodnie z Polityką plików cookie, która znajduje się na stronie ing.pl/polityka-plikow-cookie i niniejszą informacją, chyba, że poszczególne strony wskazują inne oświadczenia. Dane mogą być przetwarzane na podstawie odrębnej zgody lub na podstawie przepisów prawa.
• Przetwarzamy dane odnoszące się do zainteresowań, potrzeb lub zachowań. Dane te analizujemy, aby zrealizować usługę na podstawie zgody (np. na przekazywanie profilowanej informacji handlowej lub w celu wypełnienia ankiety lub korzystania ze stron internetowych lub serwisów ), na podstawie przepisów prawa zobowiązujących nas do analizy poszczególnych zachowań np. ustawa o przeciwdziałaniu praniu pieniędzy innej podstawy prawnej lub przepisy, które nakazują analizę transakcji w celu przeciwdziałania przestępstwom, wykonania sankcji nałożonych przez uprawnione organy lub odpowiednie przepisy.
• Przetwarzamy dane audiowizualne np. nagrania związane z zabezpieczeniem mienia lub majątku (monitoring wizyjny), nagrywanie rozmów prowadzonych za pomocą wszystkich udostępnionych w Banku kanałów, w tym rozmów wideo, sms, e mail bądź czatów prowadzonych przede wszystkim z Klientami lub pracownikami. Dane dotyczące monitoringu wizyjnego są przetwarzane na podstawie usprawiedliwionego interesu (więcej informacji znajdziesz na stronie ing.pl/monitoring-wizyjny).
• Przetwarzamy dane o lokalizacji lub inne dane potrzebne do korzystania z usług Banku oraz komunikacji z Bankiem np. przez aplikację mobilną lub przy wypłacaniu gotówki z bankomatu. Dane o lokalizacji mogą być przetwarzane na podstawie przepisów prawa, które dotyczą monitorowania transakcji (lokalizujemy urządzenia, za pomocą których zlecona zostaje transakcja, np. sprawdzamy, gdy płatność kartą została zlecona w różnych lokalizacjach, w krótkich odstępach czasu) mogą wynikać z warunków wykonywania danej usługi/umowy lub mogą być przetwarzane na podstawie zgody.
• Przetwarzamy dane osobowe związane z interakcjami z Bankiem w mediach społecznościowych np.: Meta (Facebook), Instagram, serwis społecznościowy X (Twitter), LinkedIn czy YouTube. Monitorujemy publiczne wiadomości, posty, polubienia i odpowiedzi skierowane do i dotyczące Banku w Internecie. Dane związane z interakcjami w mediach społecznościowych są przetwarzane na podstawie prawnie usprawiedliwionego interesu Banku lub zgody Klienta (więcej informacji w tej sprawie znajdziesz na stronie ing.pl/1130538).
• W niektórych przypadkach możemy przetwarzać wrażliwe dane osobowe (dane szczególnej kategorii).
  To szeroka grupa danych obejmująca dane osobowe dotyczące zdrowia, pochodzenia etnicznego, przekonań religijnych lub politycznych, dane genetyczne lub biometryczne. Bank może przetwarzać tylko te, które są niezbędne dla realizacji jednego z celów opisanych w tej informacji. Wrażliwe dane osobowe przetwarzamy na podstawie Twojej odrębnej wyraźnej zgody lub w przypadkach, gdy jest to dopuszczalne przez przepisy prawa w celach opisanych poniżej (np. na podstawie zgody) lub w których jesteśmy do tego zobowiązani właściwymi przepisami prawa.

Ponadto Bank może przetwarzać inne dane osobowe przekazane przez Klienta, o ile nie można ich zakwalifikować do żadnej z powyższych grup, a jest to dokonywane w celach opisanych w tej informacji.

Bank przetwarza dane w następujących celach:

1. Cel wykonywania czynności zgodnie z udzieloną zgodą – np. w celach marketingowych lub oceny zdolności kredytowej i analizy ryzyka po wygaśnięciu zobowiązania. Informacje handlowe w celach marketingowych możemy przesyłać do osoby małoletniej (powyżej 13 lat) po wyrażeniu zgody przez jej rodzica lub opiekuna (przedstawiciela ustawowego). Łączenie danych osobowych i ich dalsze przetwarzanie w celach marketingowych podczas korzystania z publicznie dostępnych stron internetowych może nastąpić po akceptacji odpowiednich oświadczeń/zgód lub polityk, które tego dotyczą.
   
   Na podstawie Twojej zgody przetwarzamy dane w celach marketingowych, które obejmują przekazywanie, wyświetlanie lub przesyłanie:
    
   • informacji handlowych, w tym na urządzenia komunikacji elektronicznej lub telefonicznej, które Bank identyfikuje jako Twoje. Czynności te mogą być także wykonywane za pomocą systemów przekazujących te informacje automatycznie,
   • informacji handlowych za pomocą tradycyjnej poczty,
   • profilowanych informacji handlowych. Polega to na łączeniu Twoich danych z informacjami dotyczącymi Twojej sytuacji ekonomicznej, Twoich cech lub zachowań, lub preferencji, aby dopasować informacje handlowe do Twoich znanych lub przewidywanych potrzeb lub oczekiwań (tzw. profilowanie).
     
     a także
   • informacji handlowych z użyciem geolokalizacji Twoich urządzeń komunikacji elektronicznej.
     
     Informacje handlowe - to wszelkie formy reklam, promocji, konkursów i gier losowych, a także oferty handlowe lub propozycje nabycia. Mogą one dotyczyć: promocji wizerunku, usług lub produktów Banku lub innych podmiotów, których usługi lub produkty są oferowane przez Bank lub są związane z działalnością Banku. Informacje handlowe mogą być profilowane lub nieprofilowane. W każdej chwili możesz zrezygnować z profilowanego marketingu Bank może przetwarzać dane w celach marketingowych na podstawie zgody Klienta lub na mocy przesłanki uzasadnionego interesu Banku. Jeśli dane przetwarzane są na podstawie zgody i zostanie ona cofnięta, to Bank nie będzie przetwarzał danych w celu marketingowym, chyba, że Klient wyraził inną zgodę. Podstawę prawną udzielenia zgód lub upoważnień stanowią przepisy: Rozporządzenia, prawa wspólnotowego (prawa Unii Europejskiej) lub polskiego mającego zastosowanie do banków, lub ustaw, aktów wykonawczych szczególnie dotyczących danej zgody/upoważnienia, w tym: prawa bankowego, ustawy o obrocie instrumentami finansowymi, ustawy o udostępnieniu informacji gospodarczych ustawy o świadczeniu usług drogą elektroniczną, prawa telekomunikacyjnego;
2. Cel rozpatrywania wniosku lub wykonania czynności poprzedzających jego złożenie, lub związanych z zawarciem, wykonywaniem lub rozwiązaniem umowy oraz wykonywaniem innych czynności związanych z umową, w tym czynności poprzedzających jej zawarcie.
   
   Są to czynności takie jak: analiza, ocena ryzyka, inne czynności w procesie zawierania, wykonywania lub rozwiązywania umowy.
   
   Mogą to być także inne czynności lub oświadczenia związane z umową, w tym dotyczące zabezpieczeń spłaty zobowiązań lub czynności, oświadczeń związanych z reprezentacją osoby fizycznej (np. pełnomocnictwem lub czynnościami rodzica/opiekuna, dane wynikające z rejestrów lub wykazów danych tych osób w tych podmiotach lub podmiotach powiązanych kapitałowo lub osobowo, które są pobierane lub dostarczane w związku z zawieraniem lub wykonywaniem umów), w tym czynności samego reprezentanta, a także czynności zlecone przez inne podmioty, ale związane z obsługą Klienta. Mamy tu na myśli wszelkie umowy lub czynności, także te, które realizujemy w imieniu innych podmiotów lub na ich rzecz.
   
   W ramach czynności są także usługi związane z wykonywaniem umów, np. realizacji określonej usługi (np. usługi konsultacyjno – doradczej przewidzianej umową o system bankowości internetowej), realizacji płatności lub inwestycji, udostępnienia wyciągów z rachunków, naprawiania ewentualnych dysfunkcji produktów, obsługi reklamacji, wniosków i skarg, kontaktowanie się w celu powiadomień związanych z określoną umową/czynnością prawną np. dotyczących zabezpieczeń czy spłaty zobowiązań. Możemy potrzebować również dodatkowej zgody lub uruchomienia określonej usługi lub funkcji aby realizować dla Ciebie niektóre usługi np. geolokalizację bankomatów czy miejsc spotkań w aplikacji;
3. Cel wykonywania obowiązku prawnego. Obowiązki takie wynikają z przepisów prawa, w tym: przepisów prawa wspólnotowego (prawa Unii Europejskiej) lub prawa polskiego dotyczącego banków np. prawa bankowego, ustawy o obrocie instrumentami finansowymi, ustawy o kredycie konsumenckim, ustawy i innych przepisów o świadczeniu usług płatniczych.
   
   Są to w szczególności: obowiązek zachowania bezpieczeństwa przechowanych środków lub obowiązek przekazywania i pobierania danych do/z baz informacji związanych z oceną zdolności lub wiarygodności kredytowej, lub analizą ryzyka Klientów, lub ustalenie ryzyka związanego z aktywami Klienta w przypadku klęsk żywiołowych, lub związane z przetwarzaniem danych beneficjentów rzeczywistych.
   
   Obowiązki te mogą również wynikać z prawa bankowego prawa o ochronie konkurencji i konsumentów lub innych przepisów, które przewidują wymogi dostosowania usług proponowanych konsumentom do ich cech lub do proponowania adekwatnego charakteru tych usług.
   
   Ponadto, Bank jest zobowiązany wykonywać obowiązki wynikające z prawa podatkowego, prawa spółek oraz przepisów prawa dotyczących obrotu instrumentami finansowymi, przepisów o rachunkowości lub archiwizacji.
   
   Bank działa także jako instytucja obowiązana w rozumieniu przepisów, które dotyczą przeciwdziałania czynom zabronionym przez prawo lub nakładających obowiązki w celu zachowania bezpieczeństwa transakcji i wykonuje w tym zakresie obowiązki identyfikacji i weryfikacji lub monitorowania stosunków gospodarczych (które wynikają m.in. z przepisów o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu lub przepisów dotyczących bezpieczeństwa usług płatniczych).
   
   Bank jest również zobowiązany stosować metody lub modele statystyczne przewidziane odpowiednimi przepisami prawa. Wykonujemy te czynności w ramach zewnętrznych (wobec innych podmiotów) lub wewnętrznych obowiązków raportowych lub sprawozdawczych.
   
   Podstawą prawną ich wykonywania może być prawo wspólnotowe (prawo Unii Europejskiej) lub prawo polskie dotyczące banków, w tym prawo o nadzorze bankowym i przepisy określające obowiązki wobec organów nadzorczych, NBP, giełd papierów wartościowych, przepisy o rachunkowości i zarządzaniu bankiem, rekomendacje organów nadzorczych dotyczące sektora bankowego lub danej działalności prowadzonej przez Bank, których Bank jest obowiązany jest przestrzegać. Obowiązki te mogą wynikać z kodeksu spółek handlowych prawa bankowego lub prawa o usługach płatniczych lub przepisów prawa o obrocie instrumentami finansowymi lub w ofercie publicznej, a także ustawy o ochronie konkurencji i konsumenta lub przepisów prawa dotyczących danej działalności, w tym ustaw szczególnych np. ubezpieczeniowej.
   
   Bank ma prawo przetwarzać dane, aby wykonać obowiązki wynikające z przepisów prawa wyjaśnianych w zaleceniach lub rekomendacjach wydanych przez uprawnione organy lub instytucje.
4. Cel wykonywania zadań w interesie publicznym – w zakresie wynikającym z przepisów prawa i podejmowanych czynności;
5. Cele wykonywane na podstawie prawnie uzasadnionych interesów Banku, a takie jak:
   • zapewnienie bezpieczeństwa osób (przede wszystkim Klientów oraz pracowników) i mienia Banku. Dotyczy
     to również monitoringu placówek Banku – z zachowaniem prywatności i godności osób,
   • zapewnienia bezpieczeństwa środków i transakcji, które nie wynika z obowiązków nałożonych przepisami prawa, a z zasad i polityk przyjętych przez Bank,
   • dochodzenie lub obrona w sprawie roszczeń lub praw Banku lub podmiotu, który Bank reprezentuje; cel ten obejmuje także przetwarzanie przez Bank danych związanych z reklamacjami postępowaniami polubownymi, alternatywnymi sposobami rozstrzygania sporów lub mediacji, które mogą być złożone lub wszczęte przeciwko Bankowi lub przez Bank lub podmiot, który Bank reprezentuje,
   • zarządzanie relacjami i w celu marketingowym, w tym reklam profilowanych dla określonych Klientów lub grupy Klientów,
   • przeniesienie danych do archiwum i archiwizacja dokumentacji przez właściwy okres,
   • audyty lub postępowania wyjaśniające,
   • wdrożenie mechanizmów kontroli biznesowej, kontroli zarządczej, analizy zarządczej i analiz danych ekonomicznych oraz zapewnienie efektywnego i sprawnego realizowania wewnętrznych procesów biznesowych, w tym także, gdy te mechanizmy lub procesy są zmieniane w skutek wdrażania wytycznych, rekomendacji, zaleceń organów nadzorczych i przepisów prawa, które nie nakładają wprost obowiązku prawnego na Bank,
   • wypełnianie naszych zobowiązań wynikających z przepisów lub przyjętych przez Bank dobrych praktyk dotyczących ochrony środowiska, spraw społecznych i ładu korporacyjnego, w tym sprawozdawczości zewnętrznej
   • pozostałe badania statystyczne, historyczne lub naukowe,
   • doradztwo biznesowe, ekonomiczne lub prawne, które jest świadczone dla Banku,
   • utrzymywanie, wyświetlanie stron internetowych lub komunikowania się przez te strony. Aby to robić, wykorzystujemy dane identyfikujące takie jak numer IP, numery urządzenia oraz inne dane. Dane wykorzystywane są w zakresie i na podstawie Twojej zgody lub właściwych przepisów prawa, w tym prawa telekomunikacyjnego lub prawa wspólnotowego. Te przepisy określają, czy i kiedy przetwarzanie danych wymaga zgody. Opisują również sposób jej udzielenia lub odwołania,
   • rozwijanie i doskonalenie naszych produktów, np. poprzez pozyskanie Twojej opinii na temat naszych produktów i usług; w zakresie nie wymagającym zgody zgodnie z obowiązującym prawem,
   • realizacja i  usprawnienie procesów obsługi klientów i kontrahentów Banku, prowadzenie działań organizacyjnych oraz technicznych i technologicznych mających na celu poprawę wydajności, zakresu i jakości wykonywania usług, także za pomocą systemów sztucznej inteligencji; używanie danych i informacji do trenowania oraz wykorzystywania systemów sztucznej inteligencji, modeli głębokiego uczenia, modeli analitycznych służących analizie danych ekonomiczno-finansowych, poprawie efektywności i jakości świadczenia usług,  a także współpracy z kontrahentami Banku oraz prowadzeniu działań organizacyjnych,
   • Bank korzysta również z wyżej wymienionych systemów i modeli jako najnowocześniejszych technologii w celu zapobiegania, wykrywania i powstrzymywania przestępstw finansowych i oszustw oraz przyczyniania się do łatwości korzystania z bankowych systemów, bezpieczeństwa i stabilności systemu finansowego.

W rozumieniu tej informacji „przekazanie danych” może oznaczać, że podmiot, któremu dane są udostępniane stanie się nowym administratorem albo pozostanie tylko podmiotem, któremu Bank powierzył dane osobowe na podstawie umowy lub kontrahent Banku, powierzył je podwykonawcy, na podstawie odpowiedniej umowy z Bankiem. Dane osobowe możemy przekazywać do podmiotów, instytucji lub organów:

• które są upoważnione na podstawie przepisów prawa; są to np. instytucje wymiaru sprawiedliwości, organy powołane do ścigania przestępstw, organy nadzorcze.
• które są innymi bankami, instytucjami kredytowymi lub płatniczymi lub innymi upoważnionymi instytucjami, w przypadkach przewidzianych przepisami prawa,
• którym przekazanie danych jest konieczne dla wykonania określonej czynności np. transakcji płatniczej lub innej usługi lub czynności wynikającej z umowy,
• którym dane mogą być też przekazane na podstawie Twojej zgody lub upoważnienia, lub zgodnie z zawartą umową,
• które prowadzą bazy danych w związku z badaniem zdolności kredytowej lub analizą ryzyka. Obecnie takimi podmiotami są np. Biuro Informacji Kredytowej S.A. oraz Związek Banków Polskich,
• z Grupy ING
• które są izbami rozliczeniowymi, lub innymi podmiotami prowadzącymi rozliczenia lub rozrachunek, instytucjami lub schematami płatniczymi, lub podmiotami, które takie podmioty reprezentują. Podmioty (instytucje) właściwe dla odbiorcy danej transakcji, którym przekazujemy dane, mogą działać w Polsce, krajach Europejskiego Obszaru Gospodarczego albo poza nimi. Odpowiednio do danego typu transakcji właściwe mogą być podmioty działające w Polsce, w Europejskim Obszarze Gospodarczym lub poza nim. Do tych organizacji działających poza obszarem Polski zalicza się Stowarzyszenie na rzecz Światowej Międzybankowej Telekomunikacji Finansowej (SWIFT) z siedzibą w Belgii. W przypadku transakcji realizowanych kartami, lub innymi instrumentami płatniczymi, które są akceptowane w ramach organizacji płatniczych – przekazujemy dane organizacji kartowej, której znakami opatrzona jest karta lub inny instrument płatniczy (np. Visa lub MasterCard). Organizacje te działają w Europejskim Obszarze Gospodarczym, w Wielkiej Brytanii oraz USA.

Ponadto dane mogą być przekazywane doradcom oraz podmiotom świadczącym usług w zakresie:

• ustalenia, dochodzenia lub ochrony roszczeń;
• współpracy z dostawcami usług lub czynności na nasze zlecenie. Starannie dobieramy takie firmy i zawieramy z nimi umowy. Pozostajemy podmiotem odpowiedzialnym za Twoje dane osobowe. Dostawcy usług zapewniają nam wsparcie m.in. w zakresie takich czynności jak np. projektowanie, rozwijanie, obsługa i utrzymywanie internetowych narzędzi i aplikacji, stron internetowych lub mediów społecznościowych, obsługi komunikacji z Klientem, drukowanie materiałów, projektowanie lub testowanie usług/produktów, archiwizowanie dokumentacji, inna obsługa, doradztwo, lub inne specjalistyczne usługi świadczone przez doradców, pośrednictwo w sprzedaży usług oferowanych przez Bank;
• współpracy z instytucjami badawczymi, firmami, uniwersytetami prowadzącymi badania i korzystającymi z danych w celach badawczo-rozwojowych.

Jeśli to możliwe z uwagi na cel przekazania, w tym powierzenia danych, będą one udostępniane na poziomie zbiorczym, aby zapewnić anonimowość np. wyników badania, czy innych działań rozwojowych.

Bank może przekazywać dane innym podmiotom na podstawie powierzenia przetwarzania zachowując nadal funkcję ich administratora lub przekazywać dane innym podmiotom jako odrębnym administratorom. W przypadku, gdy odbiorcą danych, zgodnie z odrębnie wskazanymi podstawami prawnymi, jest ING Bank NV z siedzibą w Amsterdamie, Królestwo Niderlandów (ING Bank NV), to informacja o przetwarzaniu danych przez ING Bank NV zwana Oświadczeniem dot. Prywatności dla klientów (ang. Privacy Statement for Clients) jest umieszczona na stronie Banku www.ing.pl/ochrona-danych-osobowych.

Wzmianka o zabezpieczeniach

Bank może przekazywać dane poza Europejski Obszar Gospodarczy (EOG) do krajów, wobec których Komisja Europejska stwierdziła odpowiedni stopień ochrony. Ponadto, gdy dane są przekazywane poza Europejski Obszar Gospodarczy (EOG) do krajów, wobec których nie istnieje decyzja Komisji Europejskiej stwierdzająca odpowiednio stopień ochrony Bank stosuje odpowiednie zabezpieczenia w postaci:

• standardowych klauzul umownych (standardowe klauzule ochrony danych) przyjętych przez Komisję Europejską lub
• w odniesieniu do podmiotów Grupy kapitałowej ING - wiążących reguł korporacyjnych (ang. Binding Corporate Rules)

W związku z przekazaniem danych poza EOG możesz zażądać informacji o stosownych zabezpieczeniach w tym zakresie, uzyskać kopię tych zabezpieczeń lub informację o miejscu ich udostępnienia kontaktując się z Bankiem – dane kontaktowe opisano w pkt. II tej informacji. Ponadto Bank może przekazać dane osobowe do Państw trzecich (poza EOG), które nie spełnią odpowiednich zabezpieczeń tylko i wyłącznie w przypadkach przewidzianych przepisami prawa np. w celu wykonania operacji finansowych przetwarzanie jest niezbędne do wykonania umowy (np. przelew zagraniczny na zlecenie Klienta) lub gdy wyrazisz zgodę albo przekazanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń.

Masz prawo do:

• żądania od Banku dostępu do dotyczących Cię danych osobowych oraz
• ich sprostowania, gdy są niezgodne ze stanem rzeczywistym, a nadto
• żądania usunięcia danych w przypadkach przewidzianych prawem do,
• żądania ograniczenia przetwarzania danych w przypadkach przewidzianych prawem,
• wniesienia sprzeciwu wobec przetwarzania danych w przypadkach przewidzianych prawem. Sprzeciw zostanie rozpatrzony przez Bank, z tym, że jeśli sprzeciw dotyczy przetwarzania danych w oparciu o przesłankę prawnie uzasadnionego interesu badamy czy występują nadrzędne prawnie uzasadnione podstawy, które wyjątkowo usprawiedliwiają przetwarzanie danych. Sprzeciw może dotyczyć określonego celu przetwarzania danych. Sprzeciw dotyczący przetwarzania danych w celach marketingowych jest zawsze uwzględniany przez Bank, z tym, że jeśli jednocześnie podtrzymujesz inne zgody lub zgodę na przetwarzanie danych w celach marketingowych lub w toku rozpatrywania sprzeciwu lub później udzielisz takich zgód zapytamy Cię o Twoją decyzję.
• wycofania zgody. Wszystkie zgody wyrażasz dobrowolnie, więc zawsze możesz wycofać wszystkie lub wybrane zgody dotyczące przetwarzania danych osobowych. Sposób odwołania zgody jest określony w danym procesie. Zgoda może być konieczna dla wykonywania określonej czynności. Wycofanie danej zgody nie wpływa na prawo Banku do przetwarzania danych w celu opisanym w tej zgodzie do chwili jej cofnięcia. Możliwe jest także, że – zgodnie z przepisami prawa – Bank będzie uprawniony do przetwarzania danych na innej podstawie prawnej lub w innym celu.
• przenoszenia danych lub uzyskania kopii danych, z tym, że prawo to nie może niekorzystnie wpływać na prawa i wolności innych osób, w tym tajemnic handlowych lub własności intelektualnej, w zakresie żądania przesłania bezpośrednio innemu administratorowi prawo to będzie realizowane w zakresie technicznie możliwym. Pierwsza kopia danych jest bezpłatna. Dla przeniesienia danych z uwagi na inne przepisy prawa np. bankowego, może być wymagane uzyskanie zgody Klienta lub innej osoby lub spełnienie innych warunków wymaganych tymi przepisami. Prawo przeniesienia danych dotyczy danych przetwarzanych w sposób automatyczny.

Wnioski w sprawie realizacji praw Klient może składać elektronicznie w sposób opisany w systemie bankowości internetowej lub pisemnie. Składanie takich wniosków telefonicznie będzie dopuszczalne, o ile Bank dla realizacji danego uprawnienia udostępnia taki proces, uwzględniając wymogi weryfikacji tożsamości Klienta. Bank może żądać doprecyzowania informacji lub czynności, których dotyczy żądanie. Realizując żądanie przenoszenia danych lub uzyskania ich kopii, Bank przekazuje je informując o użytym formacie elektronicznym lub nośniku. Klient, który ma dostęp do systemu bankowości internetowej Banku będzie mógł także w tym systemie uzyskać dostęp do swoich danych.

Czy podanie danych jest wymogiem ustawowym lub umownym

W przypadku zawarcia umowy podanie danych osobowych jest konieczne do jej zawarcia. Ponadto podanie danych jest także konieczne do dokonania czynności lub przyjęcia przez Bank dokumentów (np. udzielenia pełnomocnictwa, złożenia dyspozycji na wypadek śmierci) lub wykonania innych czynności. Przepisy prawa mogą wprowadzać wymóg podawania danych w celu w nich opisanym (np. ustawa o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu obowiązek identyfikacji tożsamości i jej weryfikacji). Jeśli Klient nie poda danych wymaganych umową lub innym dokumentem stosowanym przez Bank zgodnie z jego procedurami lub przepisami prawa, Bank nie zawrze umowy lub nie wykona transakcji lub czynności.

Pojęcia:

W tej informacji używamy pojęć zautomatyzowanego przetwarzania danych oraz profilowania, które występują w RODO. Zautomatyzowane przetwarzanie polega na podejmowaniu decyzji przy zastosowaniu środków technologicznych bez istotnego udziału człowieka, która może wiązać się ze skutkami prawnymi lub w podobny sposób istotnie wpływać na Twoją sytuację (nazwaliśmy ją decyzją automatyczną). Bank może profilować Twoje dane osobowe. Oznacza to, że Bank w zautomatyzowany sposób przetwarza Twoje dane osobowe i wykorzystuje je do oceny niektórych czynników osobowych, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy, sytuacji ekonomicznej, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

Decyzje oparte o zautomatyzowane przetwarzanie danych, w tym profilowanie

Bank może podejmować decyzje opierając się wyłącznie na zautomatyzowanym przetwarzaniu danych osobowych, w tym profilowaniu, które mogą wiązać się ze skutkami prawnymi lub w podobny sposób istotnie wpływać na Twoją sytuację. Decyzje te opierają się o istotne informacje, które zależą od typu czynności. Mogą być podejmowane w celu przygotowania, rozpatrzenia wniosków lub wykonywania:

• Usług dla procesów kredytowych - istotnymi informacjami mającymi wpływ na decyzję podejmowaną automatycznie, w tym z użyciem techniki profilowania, są informacje mające wpływ na wiarygodność i zdolność kredytową oraz analizę ryzyka kredytowego. Oceniamy, czy jesteś w stanie spełnić swoje zobowiązania finansowe wobec nas oraz czy pożyczka, którą mamy Ci zaoferować jest dla Ciebie odpowiednia. Ryzyko oceniane jest w punktach (scoring). Decyzja automatyczna bierze pod uwagę obecną i prognozowaną sytuację finansową. Przetwarzamy dane uzyskując dostęp do informacji z zewnętrznych baz w celu pozyskania odpowiednich informacji finansowych (sprawozdania finansowe, obrót/wypłacalność, historia płatności). Jeżeli współpracujesz/współpracowałeś już z nami łączymy zewnętrzne informacje finansowe z Twoją wewnętrzną historią płatności (uwzględniając obowiązujący okres przechowywania danych). Jeżeli analiza w sprawie produktu kredytowego, który dotyczy Twojej osoby (także w związku z projektowanym zabezpieczeniem) wykaże, że ryzyko jest zbyt wysokie, decyzja oparta o zautomatyzowane przetwarzane danych, w tym profilowanie, będzie negatywna.
• Usług w związku z podpisanymi umowami - jeśli spełnisz kryteria określone w umowie kredytowej - pozostajesz w zwłoce trzech rat i otrzymałeś wezwanie do zapłaty i nie uregulowałeś swojego zobowiązania, wyślemy ci wypowiedzenie umowy. Wraz z wypowiedzeniem otrzymasz informacje: jakiego produktu ono dotyczy, o kwotach dotyczących zobowiązania, co byłą podstawą podjętej decyzji o wypowiedzeniu umowy, o numerze telefonu pod jakim będziesz mógł się skontaktować z Bankiem,
• Usług związanych z procesem restrukturyzacji - na podstawie złożonego przez Ciebie wniosku o restrukturyzację zadłużenia. W przypadku decyzji negatywnej wyślemy ci informację o tym: dlaczego podjęliśmy taką decyzję oraz dalszej ścieżce postępowania.
• Wynik analizy kredytowej (scoring) może także być niezbędny dla przygotowania oferty marketingowej ale wówczas następuje ona w związku z wyrażoną zgodą na przekazywanie informacji handlowej. Jeśli Twój scoring nie będzie wg nas, spełniał wymogów minimalnych nie przedstawimy Ci oferty/propozycji lub informacji handlowej.
• Usług dla procesów świadczenia usług depozytowych np. usług prowadzenia rachunków lub lokat, usług inwestycyjnych lub usług elektronicznych (system bankowości internetowej) - istotnymi informacjami są, posiadane przez Bank, informacje o sytuacji majątkowej lub finansowej, które mogą mieć wpływ na warunki czynności lub usługi lub treść udzielonej informacji lub konsultacji.
• Usług rozliczeń lub transakcji w celu wykonania czynności niezbędnych do zawarcia umowy lub wykonania transakcji. Analizujemy okoliczności związane z transakcjami jak np. nietypowe miejsce zlecenia transakcji, nietypowe rodzaje zleceń, nietypowe, a zarazem zbyt wysokie kwoty. Skutkiem decyzji może być zawieszenie lub odmowa wykonania transakcji o czym poinformujemy Cię, zgodnie z właściwą umową.
• Czynności związanej ze zgłoszoną przez Ciebie reklamacją, tylko wtedy, gdy decyzja jest dla Ciebie pozytywna. Badamy Twoją reklamację oraz czy wcześniej już złożyłeś reklamację dotyczącą tej samej sprawy. Decyzje automatyczne będę podejmowane tylko w przypadku pozytywnego rozpatrzenia reklamacji. W przypadku, gdyby decyzja miała być negatywna, Twoją reklamację zawsze rozpatrzy nasz pracownik.
• Obowiązków dotyczących metod i modeli statystycznych; na podstawie przepisów prawa Bank jest zobowiązany do opracowywania i wdrożenia metod i modeli statystycznych. Obejmują one także metody i modele kredytowe w celu wyliczenia ryzyka i ekspozycji dla kontrahenta. Umożliwia to nam ustalenie ryzyka oraz zakresu odpowiednich kapitałów lub współczynników finansowych, które mamy obowiązek utrzymać. Metody i modele mogą nie przetwarzać danych osobowych, ale ich utworzenie może wymagać danych osobowych, ponieważ muszą one być wiarygodne.
• Analizy związanej z wykonaniem obowiązków wynikających z przepisów prawa, w tym wykonywania obowiązków wynikających z przepisów dotyczących przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu. Bank jest obowiązany przeciwdziałać wykorzystywaniu swej działalności do celów mających związek z tym przestępstwem i stosować środki bezpieczeństwa finansowego. Środki te to działania opisane ustawą o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu. W związku z tym zwracamy szczególną uwagę na nietypowe transakcje oraz na transakcje, które ze względu na swój charakter skutkują stosunkowo wysokim ryzykiem oszustwa, prania pieniędzy lub finansowania terroryzmu. W przypadku zaistnienia podejrzenia, że dana transakcja jest związana z praniem pieniędzy lub finansowaniem terroryzmu, mamy obowiązek podjęcia odpowiednich działań przewidzianych prawem, które mogą obejmować odmowę wykonania transakcji lub zgłoszenia tego do właściwych organów.

Przykładowe czynniki, które są przez nas uwzględniane jako potencjalnie wskazujące na podwyższone ryzyko oszustwa lub prania pieniędzy oraz finansowania terroryzmu: zmiany standardowych zachowań płatniczych i kosztowych danej osoby, na przykład przekazywanie lub uznawanie nieoczekiwanie wysokich kwot; dwie płatności z wykorzystaniem kodu PIN, zrealizowane przez jedną osobę w dwóch znacznie odległych lokalizacjach w tym samym czasie.

Prawo do wyrażenia stanowiska, odwołania się od decyzji automatycznej, w tym profilowania

Masz prawo do wyrażenia swojego stanowiska oraz zakwestionowania decyzji opartej wyłącznie o zautomatyzowane przetwarzanie danych, w tym profilowanie, która może wiązać się ze skutkami prawnymi lub w podobny sposób istotnie wpływać na Twoją sytuację. Zakwestionowanie decyzji oznaczać będzie odwołanie od niej. Odwołanie możesz złożyć tak jak reklamację w danej sprawie. Takie odwołanie rozpatrzy pracownik Banku. Na Twój wniosek wyjaśnimy zasady podejmowania decyzji i konsekwencje profilowania zachowując tajemnicę prawnie chronioną (np. tajemnicę bankową czy wynikającą z przepisów prawa lub tajemnicę przedsiębiorstwa). W przypadku, gdy przepisy prawa to przewidują (np. prawa bankowego), na podstawie odpowiedniego wniosku i zgodnie z odrębnym pouczeniem przygotujemy wyjaśnienie dotyczące dokonanej przez nas oceny zdolności kredytowej wnioskującego.

1. Okres przetwarzania Twoich danych zależy od celu, w jakim zostały zebrane i są przetwarzane lub od przepisów prawa lub zgód i innych Twoich oświadczeń. Zasadniczy okres przetwarzania danych – przez czas niezbędny
   do rozpatrzenia wniosku, przygotowania do wykonania danej czynności nie przekracza okresu archiwizacji dokumentacji, który wynosi 6 (sześć) lat. Jeśli umowa została w całości i należycie wykonana, rozpoczyna
   się 6-letni (sześcioletni) okres archiwizacji, z tym, że okres ten kończy się z upływem ostatniego dnia roku kalendarzowego, chyba, że przepisy prawa przewidują inny okres.
2. Niezależnie od zasad opisanych w pkt 1 przyjmuje się szczegółowe okresy przetwarzania danych związane z:
   • wnioskiem o czynność kredytową - jeśli umowa nie doszła do skutku, okres archiwizacji wniosku
     o tę czynność wynosi jeden rok od dnia złożenia wniosku, chyba, że przepisy prawa dla takich danych archiwalnych przewidują inny okres dla określonego celu przetwarzania lub w okresie późniejszym gdy Bank rozpatruje Twoje żądanie dotyczące tego wniosku i wynikające z przepisów prawa;
   • z obliczeniami współczynników finansowych i kapitałów jakie wykonujemy, w tym określonymi dla Banku metodami statystycznymi (ogólnie zwanych metodami i modelami). Zgodnie z prawem bankowym okres przetwarzania informacji w ramach metod i modeli wynosi 12 (dwanaście) lat od dnia wygaśnięcia zobowiązania;
   • jeśli toczy się spór, proces sądowy lub trwa inne postępowanie (szczególnie karne), okres archiwizacyjny będzie liczony od dnia prawomocnego zakończenia sporu, a w przypadku wielu postępowań,
     od prawomocnego zakończenia ostatniego z nich.
   • orzeczeniem sądowym – dane mogą być przetwarzane w okresie przedawnienia roszczeń (czyli okresie,
     gdy można sądownie, skutecznie dochodzić roszczeń) Zasadniczy okres przedawnienia wynosi 6 lat od dnia wydania prawomocnego orzeczenia kończącego postepowanie, z tym, że poszczególne roszczenia mogą podlegać przepisom szczególnym wskazującym inne okresy przedawnienia;
   • zgodą Klienta – przez czas wskazany w oświadczeniu o zgodzie, w każdym przypadku do czasu odwołania zgody.
   • pozyskaniem danych z baz prowadzonych przez inne podmioty lub danych przekazanych przez inne podmioty, np. Biuro Informacji Kredytowej S.A. (BIK SA), w celu oceny zdolności i analizy ryzyka kredytowego. Bank przetwarza skierowane do BIK SA. zapytanie dotyczące Twojej osoby, które jest składane w celu otrzymania raportu kredytowego. Zapytanie to przetwarzamy przez okres pół roku od jego wysłania. Raport służy ocenie zdolności i analizie ryzyka kredytowego i jest przetwarzany w celach archiwalnych przez 3 lata.

Wspomniane okresy nie sumują się. Dane mogą być przetwarzane oddzielnie według poszczególnych celów i podstawy prawnej, np. można odwołać określoną zgodę na przetwarzanie danych w celach marketingowych, ale nie pozbawia to prawa Banku do przetwarzania danych w innym celu lub z innej podstawy prawnej.

Współadministratorzy

Bank współpracuje ze SWIFT jako współadministratorzy, aby zrealizować wspólny cel: bezpieczne i niezawodne przetwarzanie usług transakcyjnych zgodnie z naszymi zobowiązaniami umownymi. Aby zrealizować ten cel, dane osobowe, takie jak dane identyfikacyjne (np. imię i nazwisko, adres), dane zamówienia (np. numer rachunku zleceniodawcy i beneficjenta w przypadku zlecenia płatniczego), szczegóły dotyczące przeznaczenia i identyfikatory transakcji (np. numer referencyjny transakcji) są udostępniane SWIFT.

W charakterze współadministratorów Bank i SWIFT zobowiązują się odpowiadać na wnioski dotyczących realizacji praw osób, których dane dotyczą, oraz inne istotne pytania dotyczące ochrony danych w odniesieniu do wspólnie wykonywanych czynności przetwarzania (przetwarzanie płatności) w sposób scentralizowany. W takiej sytuacji wnioski należy kierować do Banku.

Każdy ze współadministratorów samodzielnie decyduje o celach i sposobach przetwarzania danych, ale w różnym zakresie. Bank ponosi odpowiedzialność wyłącznie w zakresie przetwarzanych danych osobowych Klientów.

Oddzielny administrator

SWIFT może również pełnić funkcję odrębnego administratora danych, jeśli chodzi o przetwarzanie danych osobowych na potrzeby analizy statystycznej oraz rozwoju usług i produktów SWIFT. W przypadku tych procesów SWIFT bezpośrednio zajmie się wszystkimi wnioskami dotyczącymi realizacji praw osób, których dane dotyczą. W takiej sytuacji można skontaktować się z SWIFT poprzez opt.out@swift.com lub privacy.officer@swift.com.

Bank będzie jednak pomagać SWIFT w procesie uwierzytelniania klienta Banku, który złożył taki wniosek, opierając się na dostępnych nam danych identyfikacyjnych klienta. Wówczas SWIFT nie będzie udostępniać żadnych dalszych szczegółów SWIFT. Szczegółowe informacje na temat tych czynności przetwarzania i ich celu, a także dane do kontaktu w sprawie wniosków lub skarg dotyczących tych czynności, można znaleźć w Polityce Ochrony Prywatności SWIFT.

Niniejsza Informacja zastępuje Politykę prywatności dla klientów ING (v.2.1) w zakresie przetwarzania danych osób, które korzystają z naszych stron lub serwisów internetowych, o ile wskutek tego korzystania Bank przetwarza Twoje dane osobowe.

W celu uzyskania dodatkowych informacji lub korzystania z praw opisanych w tej informacji lub w przypadku, gdy podejrzewają Państwo naruszenie ochrony Państwa danych prosimy o kontakt. Dane do kontaktu podajemy w rozdziale II tej informacji oraz na stronie internetowej www.ing.pl

Zastrzegamy sobie prawo do wprowadzania zmian w niniejszej Informacji. Zmiany mogą wynikać z przepisów prawa i/lub odzwierciedlenia zmian w zakresie przetwarzania danych osobowych przez Bank.