Obowiązek informacyjny dla Sygnalistów oraz Osób pomagających w dokonaniu zgłoszenia
Zgodnie z art. 13 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej „RODO”) niniejszym informujemy:
1. Administratorem danych osobowych osób dokonujących zgłoszenia naruszenia prawa jest
PKO BP Finat sp. z o.o. z siedzibą w Warszawie (00-805) przy ul. Chmielnej 89 (dalej „Administrator”).
2. Administrator wyznaczył inspektora ochrony danych, z którym można skontaktować się
pod adresem iod_finat@finat.pl lub korespondencyjnie na adres Administratora.
3. Dane osobowe osób zgłaszających naruszenie prawa z ujawnieniem swojej tożsamości, osób pomagających w dokonaniu zgłoszenia przetwarzane są w celu weryfikacji i rozpatrzenia zgłoszenia, a podstawą prawną przetwarzania jest art. 6 ust. 1 lit. c) RODO, tj. obowiązek prawny ciążący
na administratorze na podstawie ustawy z dnia 14 czerwca 2024 r. o ochronie sygnalistów.
4. Dane, o których mowa w pkt. 3 będą przetwarzane także w celu ustalenia, dochodzenia lub obrony przed roszczeniami, a podstawą prawną takiego przetwarzania jest art. 6 ust. 1 lit. f) RODO, tj. prawnie uzasadniony interes administratora.
5. W trakcie weryfikacji zgłoszenia mogą być przetwarzane dane szczególnej kategorii, przy czym podstawą prawną takiego przetwarzania jest jego niezbędność ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które
są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych
i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą, tj. art. 9 ust. 2 lit. g) RODO.
6. Dane osobowe przetwarzane w ramach procedury zgłaszania nieprawidłowości są przechowywane przez okres 3 lat po zakończeniu roku kalendarzowego, w którym zakończono działania wyjaśniające. Dane osobowe przetwarzane w celu ustalenia, dochodzenia lub obrony przed roszczeniami,
będą przetwarzane przez okres, w którym administrator będzie w stanie udokumentować istnienia takiego interesu oraz wykazać nadrzędny charakter swojego interesu prawnego wobec interesów lub podstawowych praw i wolności osób, których dane dotyczą, lecz nie dłużej niż 6 lat, licząc
od dnia, w którym ewentualne roszczenie administratora lub osób, których dane dotyczą stało
się wymagalne.
7. Osoby, których dane są przetwarzane przez administratora w ramach rozpatrywania zgłoszenia naruszenia, w granicach wskazanych w RODO mają prawo do żądania w każdym czasie dostępu
do danych osobowych, ich sprostowania, usunięcia, zgłoszenia sprzeciwu wobec przetwarzania, ograniczenia przetwarzania oraz prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych, w przypadku gdy uznają, że przetwarzanie ich danych osobowych narusza przepisy RODO.
8. Administrator nie planuje udostępniania danych osobowych przetwarzanych w ramach procedury zgłaszania naruszeń prawa innym odbiorcom w rozumieniu art. 4 pkt. 9) RODO z wyjątkiem przypadków określonych w obowiązujących przepisach prawa.
9. Dane osobowe przetwarzane przez administratora w ramach rozpatrywania zgłoszenia naruszenia nie będą podlegać zautomatyzowanemu podejmowaniu decyzji, w tym profilowaniu.
10. Dane nie będą przekazywane poza Europejski Obszar Gospodarczy.