Wyświetl menu prawne

Wytyczne dotyczące ochrony danych

Wytyczne dotyczące przetwarzania danych osobowych w ramach Grupy Saxo Bank

1. Wprowadzenie

1.1 Aby obsługiwać naszych klientów, Grupa Saxo Bank (zwana dalej „Grupą Saxo Bank”, „my” lub „nas”) musi zbierać dane osobowe od klientów i/lub potencjalnych klientów oraz osób kontaktowych u dostawców i/lub innych partnerów biznesowych. Grupa Saxo Bank przetwarza również dane osobowe pracowników w celu zarządzania personelem.

W świetle powyższego Grupa Saxo Bank chce zapewnić wysoki poziom ochrony danych, ponieważ ochrona prywatności jest podstawą zdobywania i utrzymywania zaufania klientów i/lub potencjalnych klientów, osób kontaktowych u dostawców i/lub innych partnerów biznesowych oraz gwarancją przyszłej działalności Grupy Saxo Bank. To samo dotyczy przetwarzania danych osobowych pracowników.

Ochrona danych osobowych wymaga, między innymi, wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia wysokiego poziomu tej ochrony. Grupa Saxo Bank przyjęła szereg wewnętrznych i zewnętrznych zasad ochrony danych, których pracownicy Grupy Saxo Bank muszą przestrzegać.

Ponadto Grupa Saxo Bank będzie monitorować, poddawać inspekcji i dokumentować wewnętrzną zgodność z zasadami ochrony danych i obowiązującymi ustawowymi wymogami w zakresie ochrony danych, w tym z ogólnym rozporządzeniem o ochronie danych („RODO”).

Grupa Saxo Bank podejmie również niezbędne kroki w celu zwiększenia zgodności ochrony danych w organizacji. Kroki te obejmują przydzielanie obowiązków, podnoszenie świadomości i przeprowadzanie szkoleń w zakresie ochrony danych dla personelu zaangażowanego w operacje przetwarzania danych. Należy pamiętać, że niniejsze wytyczne dotyczące ochrony danych będą od czasu do czasu poddawane przeglądowi w celu uwzględnienia wszelkich nowych zobowiązań. Przechowywanie danych osobowych podlega naszym najnowszym zasadom przechowywania.

Niniejsze wytyczne dotyczące ochrony danych, wraz z wytycznymi dotyczącymi przetwarzania danych osobowych, stanowią ogólne ramy przetwarzania danych osobowych wewnątrz Grupy Saxo Bank.

1.2 „Dane osobowe” to wszelkie informacje, które mogą dotyczyć zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej („osoba, której dane dotyczą”). Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie danych takich jak imię i nazwisko, dane o lokalizacji, numer telefonu, wiek czy płeć. Takie dane osobowe mogą dotyczyć na przykład pracownika, osoby ubiegającej się o pracę, klienta/potencjalnego klienta, dostawcy i innych partnerów biznesowych.

1.3 Dane osobowe można podzielić na zwykłe niewrażliwe dane osobowe oraz szczególne kategorie danych osobowych (wrażliwe dane osobowe). Szczególne kategorie danych osobowych są wyczerpująco określone w RODO i obejmują dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne bądź przynależność do związków zawodowych oraz przetwarzanie danych genetycznych, danych biometrycznych w celu zidentyfikowania konkretnej osoby fizycznej, danych dotyczących zdrowia lub dotyczących życia seksualnego bądź orientacji seksualnej osoby fizycznej. Zwykłe niewrażliwe dane osobowe obejmują wszystkie informacje, które nie są sklasyfikowane jako szczególne kategorie danych osobowych (wrażliwe dane osobowe). Takimi informacjami mogą być imię i nazwisko, adres, numer telefonu, identyfikator pracownika, informacje o wykształceniu itp. Niektóre zwykłe niewrażliwe dane osobowe mogą zostać uznane za poufne. Może to na przykład obejmować informacje o dochodach i majątku oraz informacje o wewnętrznych relacjach/sprawach rodzinnych. Poufne zwykłe niewrażliwe dane podlegają zwykle dodatkowym środkom bezpieczeństwa.

Kategoria danych osobowych wpływa na to, na jakiej podstawie prawnej można opierać przetwarzanie tych danych osobowych. Do przetwarzania danych dotyczących przestępstw i numerów CPR czy PESEL mają zastosowanie specjalne zasady. Te różne podstawy prawne opisano poniżej w klauzuli 2.

1.4 Mimo że informacje dotyczące firm/przedsiębiorstw nie są same w sobie danymi osobowymi, należy pamiętać, że informacje dotyczące osób kontaktowych w takich firmach/przedsiębiorstwach, jak na przykład imię i nazwisko, stanowisko, służbowy adres e-mail czy służbowy numer telefonu, są uważane za dane osobowe. Jednak dane osobowe dotyczące osobiście posiadanej i prowadzonej działalności gospodarczej są uważane za dane osobowe, nawet jeśli te dane osobowe dotyczą działalności gospodarczej. Takie dane osobowe są uważane za odnoszące się do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

1.5 Grupa Saxo Bank zbiera i wykorzystuje dane osobowe w różnych uzasadnionych celach biznesowych, w tym do nawiązywania relacji z klientami i dostawcami oraz zarządzania nimi, realizacji umów zakupu, rekrutacji i zarządzania wszystkimi aspektami warunków i postanowień zatrudnienia, komunikacji, wywiązywania się ze zobowiązań lub wymagań prawnych, realizacji umów, świadczenia usług na rzecz klientów itp. Przy wykonywaniu takich czynności przetwarzania pierwszym krokiem jest zapewnienie przestrzegania ogólnych zasad dotyczących przetwarzania danych osobowych.

1.6 Zgodnie z zasadami ogólnymi dane osobowe zawsze muszą być:

  • przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty w stosunku do osoby, której dane dotyczą (zasada zgodności z prawem, rzetelności i przejrzystości); 

  • zbierane we wskazanych, wyraźnych i uzasadnionych celach: nie mogą też być przetwarzane dalej w sposób niezgodny z tymi celami (zasada ograniczenia celu); 

  • adekwatne, stosowne oraz ograniczone do tego, co jest niezbędne do celów, w jakich są przetwarzane (zasada minimalizacji danych); 

  • dokładne i — w razie potrzeby — aktualizowane; należy podjąć wszelkie uzasadnione kroki, aby dane osobowe, które nie są dokładne, z uwzględnieniem celów, dla których są przetwarzane, zostały bezzwłocznie usunięte lub poprawione (zasada dokładności); 

  • przechowywane w postaci umożliwiającej identyfikację osób, których dane dotyczą, nie dłużej niż jest to niezbędne do celów, w których dane osobowe są przetwarzane (zasada ograniczenia przechowywania);

  • przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo tych danych osobowych, w tym z ochroną przed przetwarzaniem niedozwolonym lub niezgodnym z prawem oraz przed przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (zasada integralności i poufności).

1.7 Grupa Saxo Bank jest odpowiedzialna za powyższe postanowienia i będzie w stanie dowieść ich przestrzegania (zasada odpowiedzialności). Ta zasada jest jednym z powodów, dla których przygotowaliśmy niniejsze wytyczne dotyczące ochrony danych, i dlatego należy dokładnie je przeczytać.

2. Podstawa prawna przetwarzania danych osobowych

2.1 Oprócz przestrzegania zasad ogólnych dotyczących przetwarzania danych osobowych, przetwarzanie danych osobowych musi również mieć podstawę prawną. Podstawa prawna zależy od tego, jaka kategoria danych osobowych jest przetwarzana.

Najpowszechniejszymi podstawami prawnymi przetwarzania zwykłych niewrażliwych danych osobowych, takich jak imię i nazwisko, adres, adres e-mail, numer telefonu czy dane karty kredytowej, w ramach Grupy Saxo Bank są:

  • realizacja umowy, jakiej stroną jest osoba, której dane dotyczą;

  • zobowiązanie prawne lub wymaganie wiążące Grupę Saxo Bank; oraz

  • uzasadnione interesy realizowane przez Grupę Saxo Bank lub przez stronę trzecią.

W niektórych przypadkach, jeśli nie można zastosować żadnej z powyższych podstaw prawnych, Grupa Saxo Bank uzyska zgodę na przetwarzanie od osób, których dane dotyczą.

Najpowszechniejszymi podstawami prawnymi przetwarzania szczególnych kategorii danych osobowych (jeśli istnieją) w ramach Grupy Saxo Bank są:

  • wyraźna zgoda osoby, której dane dotyczą, do co najmniej jednego określonego celu;

  • wypełnianie obowiązków i korzystanie z określonych praw Grupy Saxo Bank lub osoby, której dane dotyczą, w zakresie prawa pracy i ubezpieczeń społecznych oraz prawa ochrony socjalnej; a także

  • przypadki, w których przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń prawnych.

Poniżej podano bardziej szczegółowy opis podstaw prawnych.

2.2 Realizacja umowy

2.2.1 Uzasadnione jest zbieranie i przetwarzanie danych osobowych istotnych dla realizacji umowy, jakiej stroną jest osoba, której dane dotyczą, lub w celu podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy. Dotyczy to wszystkich zobowiązań umownych i umów podpisanych z Grupą Saxo Bank, w tym etapu poprzedzającego podpisanie umowy, niezależnie od tego, czy umowa zostanie pomyślnie zawarta.

2.3 Wywiązanie się ze zobowiązania prawnego

2.3.1 Grupa Saxo Bank musi przestrzegać różnych zobowiązań prawnych i wymagań wynikających z prawa Unii lub prawa państwa członkowskiego. Takie zobowiązania prawne, którym podlega Grupa Saxo Bank, mogą być wystarczające jako uzasadniona podstawa przetwarzania danych osobowych.

2.3.2 Takie zobowiązania prawne obejmują obowiązek zbierania, rejestrowania i/lub udostępniania niektórych typów informacji dotyczących pracowników, klientów itp. Takie wymogi prawne będą wówczas stanowić dla nas podstawę prawną do przetwarzania danych osobowych, jednak koniecznie należy też uwzględnić to, czy przepisy zezwalające Grupie Saxo Bank na przetwarzanie niektórych danych osobowych lub tego wymagające określają również wymagania dotyczące przechowywania, ujawniania i usuwania.

2.4 Uzasadnione interesy

2.4.1 Dane osobowe będą przetwarzane tylko wtedy, gdy jest to konieczne do celów wynikających z uzasadnionych interesów Grupy Saxo Bank, a interesy osoby, której dane dotyczą, nie będą miały wobec tych interesów lub praw podstawowych charakteru nadrzędnego. Grupa Saxo Bank, podejmując decyzję o przetwarzaniu danych osobowych, zadba o to, aby uzasadnione interesy nie były nadrzędne wobec praw i wolności jednostki oraz aby przetwarzanie nie powodowało nieuzasadnionych szkód. Przykładem uzasadnionego interesu Grupy Saxo Bank jest przetwarzanie danych osobowych potencjalnych klientów w celu rozwijania działalności i nawiązywania nowych relacji biznesowych. Osobie, której dane dotyczą, należy udzielić informacji na temat konkretnych uzasadnionych interesów realizowanych przez Grupę Saxo Bank, jeśli przetwarzanie opiera się na tej podstawie prawnej (zobacz klauzulę 4.1 poniżej).

2.5 Zgoda

2.5.1 Jeśli zbieranie, rejestrowanie i dalsze przetwarzanie danych osobowych klientów, dostawców, innych kontaktów biznesowych i pracowników odbywa się na podstawie zgody takiej osoby na przetwarzanie danych osobowych w jednym lub większej liczbie określonych celów, Grupa Saxo Bank musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie jej danych osobowych.

2.5.2 Zgoda musi być dobrowolna, konkretna, świadoma i jednoznaczna, jeśli chodzi o wolę osoby, której dane dotyczą.
Osoba, której dane dotyczą, musi aktywnie wyrazić zgodę na przetwarzanie danych osobowych poprzez oświadczenie lub wyraźne działanie potwierdzające.

2.5.3 Prośba o wyrażenie zgody powinna być przedstawiona w sposób pozwalający wyraźnie odróżnić tę kwestię od innych spraw, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.

2.5.4 Na potrzeby przetwarzania szczególnych kategorii danych osobowych (wrażliwych danych osobowych) zgoda również musi być wyraźna.

2.5.5 Osoba, której dane dotyczą, jest uprawniona do wycofania zgody w dowolnym momencie, a po takim wycofaniu przestaniemy zbierać i/lub przetwarzać dane osobowe dotyczące tej osoby, chyba że będziemy do tego zobowiązani lub uprawnieni na innej podstawie prawnej.

2.6 Obowiązki i korzystanie z określonych praw Grupy Saxo Bank lub osoby, której dane dotyczą

2.6.1 Ta podstawa prawna ma w większości przypadków zastosowanie tylko wtedy, gdy Grupa Saxo Bank przetwarza dane dotyczące zdrowia pracowników w celu przestrzegania przepisów prawa pracy lub układów zbiorowych, na przykład dotyczących zwrotu zasiłków chorobowych.

2.7 Roszczenia prawne

2.7.1 Ta podstawa prawna ma zastosowanie, jeśli Grupa Saxo Bank musi przetwarzać dane osobowe w celu ustalenia lub realizacji roszczenia prawnego wobec strony trzeciej, na przykład klienta lub pracownika, albo w celu obrony przed takim roszczeniem.

3. Przetwarzanie i przekazywanie danych osobowych

3.1 Grupa Saxo Bank jako administrator danych

3.1.1 Grupa Saxo Bank w większości przypadków przetwarza dane osobowe jako administrator danych, ponieważ to ona określa cele i sposoby przetwarzania danych osobowych, między innymi gdy przetwarzanie dotyczy klientów, innych partnerów biznesowych i pracowników Grupy Saxo Bank.

3.2 Korzystanie z usług podmiotów przetwarzających dane

3.2.1 Zewnętrzny podmiot przetwarzający dane to firma, która przetwarza dane osobowe w imieniu Grupy Saxo Bank i zgodnie z udokumentowanymi instrukcjami Grupy Saxo Bank, w tym dla celów Grupy Saxo Bank oraz w sposób określony przez Grupę Saxo Bank. Dotyczy to na przykład dostawców systemów obsługi kadr czy zewnętrznych dostawców usług informatycznych. Gdy Grupa Saxo Bank zleca przetwarzanie danych osobowych podmiotom przetwarzającym dane, zapewnia, że dana firma wdraża środki bezpieczeństwa w zakresie ochrony danych osobowych na co najmniej takim samym poziomie co Grupa Saxo Bank. Jeśli nie można tego zagwarantować, Grupa Saxo Bank wybierze inny podmiot przetwarzający dane. Przetwarzanie danych przez podmiot przetwarzający dane podlega umowie dotyczącej przetwarzania danych.

3.3 Umowy dotyczące przetwarzania danych

3.3.1 Przed przekazaniem danych osobowych do podmiotu przetwarzającego dane Grupa Saxo Bank jest zobowiązana ocenić, czy ten podmiot zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie spełniało wymogi RODO i zapewniało ochronę praw osób, których dane dotyczą. Po przeprowadzeniu oceny i ustaleniu, że podmiot przetwarzający dane spełnia takie wymagania, Grupa Saxo Bank zawrze pisemną umowę o przetwarzanie danych z tym podmiotem. Umowa o przetwarzanie danych zapewnia, że ​​Grupa Saxo Bank kontroluje odbywające się poza Grupą Saxo Bank przetwarzanie danych osobowych, w przypadku którego Grupa Saxo Bank jest administratorem danych i w związku z tym za nie odpowiada.

3.3.2 Jeśli podmiot przetwarzający dane lub podrzędny podmiot przetwarzający dane znajduje się poza UE/EOG, zastosowanie mają warunki z klauzuli 3.4.2 poniżej.

3.4 Ujawnianie danych osobowych innym niezależnym administratorom danych

3.4.1 Grupa Saxo Bank odpowiada za zapewnienie przestrzegania zasad ogólnych dotyczących przetwarzania danych osobowych przed ujawnieniem danych osobowych innym, to jest innym niezależnym administratorom danych. Ponadto obowiązkiem Grupy Saxo Bank jest zadbanie o to, aby ujawnienie danych osobowych miało podstawę prawną.

3.4.2 Jeśli odbiorca danych będący stroną trzecią znajduje się poza UE/EOG w kraju trzecim, który nie zapewnia odpowiedniego poziomu ochrony danych osobowych, przekazanie można zrealizować tylko wtedy, gdy Grupa Saxo Bank zapewni odpowiednie zabezpieczenia. W tym celu Grupa Saxo Bank i odpowiednie strony trzecie muszą zawrzeć umowę dotyczącą przekazania. Umowa przekazania musi być oparta na standardowych klauzulach umownych UE.

4. Prawa osób, których dane dotyczą

Z zastrzeżeniem różnych warunków i wyjątków, osobom, których dane dotyczą, przysługują następujące prawa:

4.1 Obowiązek informacyjny w przypadku, gdy dane osobowe są pozyskiwane od osoby, której dane dotyczą

4.1.1 Gdy Grupa Saxo Bank przetwarza, w tym zbiera i rejestruje, dane osobowe osób, których dane dotyczą, jest zobowiązana do informowania tych osób o następujących kwestiach:

  • cele przetwarzania tych danych osobowych oraz podstawa prawna tego przetwarzania; 

  • kategorie odpowiednich danych osobowych; 

  • uzasadnione interesy realizowane przez Grupę Saxo Bank, jeśli przetwarzanie opiera się na równoważeniu interesów; 

  • ewentualni odbiorcy lub kategorie odbiorców danych osobowych; 

  • w stosownych przypadkach fakt, że Grupa Saxo Bank zamierza przekazać dane osobowe do państwa trzeciego oraz podstawa prawna takiego przekazania;  

  • okres, przez jaki dane osobowe będą przechowywane, a jeśli nie jest to możliwe — kryteria ustalania tego okresu; 

  • istnienie prawa do zażądania od Grupy Saxo Bank dostępu do danych osobowych, ich sprostowania lub usunięcia albo ograniczenia przetwarzania danych dotyczących osoby, której dane dotyczą, lub wniesienia sprzeciwu wobec przetwarzania, a także prawa do przenoszenia danych; 

  • jeśli przetwarzanie odbywa się na podstawie zgody osoby, której dane dotyczą — istnienie prawa do cofnięcia zgody w dowolnym momencie, ale bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;

  • prawo do wniesienia skargi do Grupy Saxo Bank w ramach właściwej procedury lub do organu nadzorczego; 

  • informacja o tym, czy podanie danych osobowych jest wymogiem ustawowym, umownym lub niezbędnym do zawarcia umowy, a także o tym, czy osoba, której dane dotyczą, jest zobowiązana do podania danych osobowych i jakie będą konsekwencje ich niepodania; 

  • istnienie zautomatyzowanego procesu podejmowania decyzji, w tym profilowania, oraz istotne informacje o zastosowanej logice, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

4.1.2 Grupa Saxo Bank przygotowała zasady dotyczące polityki prywatności, które zawierają bardziej szczegółowy opis powyższego obowiązku informacyjnego.

4.1.3 Jeśli dane osobowe nie zostały uzyskane od osoby, której dane dotyczą, należy ją również poinformować o źródle, z którego pochodzą te dane, a jeśli ma to zastosowanie, także o tym, czy pochodzą one ze źródeł publicznie dostępnych.

4.2 Prawo dostępu

4.2.1 Każda osoba, której dane osobowe przetwarza Grupa Saxo Bank, w tym między innymi pracownicy Grupy Saxo Bank, osoby ubiegające się o pracę, dostawcy zewnętrzni, klienci, potencjalni klienci czy osoby kontaktowe zatrudnione u partnerów biznesowych, ma prawo do uzyskania od Grupy Saxo Bank potwierdzenia na temat tego, czy przetwarzane są jej dane osobowe, a jeśli tak jest, ma prawo do zażądania dostępu do danych osobowych przetwarzanych przez Grupę Saxo Bank na jej temat, a także prawo do informacji określonych w klauzuli 4.1.1 powyżej.

4.3 Prawo do sprostowania

4.3.1 Osoba, której dane dotyczą, ma prawo do uzyskania od Grupy Saxo Bank bez zbędnej zwłoki sprostowania niedokładnych danych osobowych, które jej dotyczą.

4.4 Prawo do usunięcia (prawo do bycia zapomnianym)

4.4.1 Osoba, której dane dotyczą, ma prawo do uzyskania od Grupy Saxo Bank usunięcia dotyczących jej danych osobowych, a Grupa Saxo Bank ma obowiązek usunięcia takich danych osobowych bez zbędnej zwłoki, chyba że prawo wymaga, aby przechowywać pewne informacje przez określony czas, na przykład w przypadku wymagań organów nadzoru finansowego lub organów podatkowych.

4.5 Prawo do ograniczenia przetwarzania

4.5.1 Osoba, której dane dotyczą, ma prawo do uzyskania od Grupy Saxo Bank ograniczenia przetwarzania, jeśli ma to zastosowanie.

4.6 Prawo do przenoszenia danych

4.6.1 Osoba, której dane dotyczą, ma prawo do otrzymania danych osobowych zarejestrowanych w ustrukturyzowanym i powszechnie używanym formacie nadającym się do odczytu komputerowego.

4.7 Prawo do sprzeciwu

4.7.1 Osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw, z przyczyn związanych z jej konkretną sytuacją, wobec przetwarzania jej danych osobowych opartego na równoważeniu interesów, w tym na potrzeby profilowania.

4.8 Na wszelkie otrzymane od osoby, której dane dotyczą, żądania skorzystania z praw wynikających z niniejszej klauzuli odpowiemy tak szybko, jak to będzie możliwe, i nie później niż 30 dni od ich otrzymania. Żądania będą niezwłocznie przekazywane do centrum obsługi Grupy Saxo Bank. Centrum obsługi będzie rozpatrywać żądanie przy wsparciu ze strony inspektora ds. ochrony danych Grupy Saxo Bank w celu dotrzymania terminu udzielenia odpowiedzi.

5. Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych

5.1 Nowe produkty, usługi, rozwiązania techniczne itp. muszą być zaprojektowane tak, aby spełniały zasady ochrony danych już w fazie projektowania i w ustawieniach domyślnych, dlatego Saxo Bank wdrożył w swojej organizacji następujące zasady przewodnie:

1. Ochrona prywatności jako ustawienie domyślne
Zapewnienie automatycznej ochrony danych osobowych w każdym systemie informatycznym i we wszystkich praktykach biznesowych.

2. Ochrona prywatności wbudowana w projekt
Obejmuje to procesy biznesowe, projektowanie oprogramowania i opracowywanie rozwiązań. Prywatność jest zasadniczym elementem podstawowej funkcjonalności i naszych usług, utrzymywanym bez zmniejszania funkcjonalności.

3. Kompleksowe zabezpieczenia — pełna ochrona w całym cyklu eksploatacji
Zapewnienie automatycznej ochrony danych osobowych w każdym systemie informatycznym i we wszystkich praktykach biznesowych dzięki zastosowaniu odpowiedniego szyfrowania i uwierzytelniania do czasu usunięcia danych.

4. Szacunek dla prywatności klientów — klient zawsze znajduje się w centrum naszej uwagi
Dane użytkowników są ich własnością. Klientowi indywidualnemu przysługuje prawo do dokonywania zmian, w tym prawo do bycia zapomnianym.

Decyduje to o sposobie, w jaki Grupa Saxo Bank wywiązuje się ze swojego obowiązku zapewnienia klientom prawa do prywatności.

5.1.1 Uwzględnianie ochrony danych w fazie projektowania oznacza, że ​​podczas opracowywania nowych produktów lub usług należy uwzględnić kluczowe kwestie dotyczące ochrony danych.

  • Grupa Saxo Bank bierze pod uwagę następujące czynniki przy nabywaniu lub opracowywaniu nowych produktów, usług, rozwiązań technicznych itp.: aktualne technologie, koszt wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania, a także czynniki ryzyka o różnym prawdopodobieństwie i wadze dotyczące praw i wolności osób fizycznych, jakie stwarza przetwarzanie danych osobowych.
  • Grupa Saxo Bank, zarówno w momencie określania środków przetwarzania, jak i w momencie samego przetwarzania, wdraża odpowiednie środki techniczne i organizacyjne, w tym między innymi odpowiednią pseudonimizację, które mają na celu skuteczne wdrożenie zasad ochrony danych, takich jak minimalizacja danych, oraz dołączenie niezbędnych mechanizmów zabezpieczeń do przetwarzania w celu spełnienia wymogów ochrony danych oraz ochrony praw i wolności osób, których dane dotyczą. Opisano to dokładniej w klauzuli 8 poniżej.

5.1.2 Domyślna ochrona danych wymaga wdrożenia odpowiednich technik minimalizacji danych.

  • Grupa Saxo Bank wdraża odpowiednie środki techniczne i organizacyjne zapewniające domyślne przetwarzanie tylko tych danych osobowych, które są niezbędne dla każdego konkretnego celu przetwarzania.
  • Ten wymóg minimalizacji dotyczy ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności.

  • Takie środki mają zapewnić, że domyślnie dane osobowe nie będą udostępniane bez starannego rozważenia.

6. Rejestr czynności przetwarzania

6.1 Grupa Saxo Bank, jako administrator danych, prowadzi rejestr czynności przetwarzania, za które odpowiada. Rejestr zawiera następujące informacje:

  • imię i nazwisko oraz dane kontaktowe; 

  • cele przetwarzania;

  • opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;

  • odbiorcy, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorcy w państwach trzecich lub w organizacjach międzynarodowych;

  • w stosownych przypadkach: przekazania danych osobowych do państwa trzeciego, w tym wskazanie tego państwa trzeciego oraz, w stosownych przypadkach, dokumentacja odpowiednich zabezpieczeń;

  • w miarę możliwości przewidywane terminy usunięcia różnych kategorii danych; a także

  • w miarę możliwości ogólny opis zastosowanych technicznych i organizacyjnych środków bezpieczeństwa.

6.1.1 Grupa Saxo Bank udostępni na żądanie rejestr czynności przetwarzania właściwym organom ochrony danych. Grupa Saxo Bank przygotowała kilka takich rejestrów.

7. Usunięcie danych osobowych

7.1 Dane osobowe zostaną usunięte, gdy Grupa Saxo Bank przestanie mieć uzasadnienie do dalszego przechowywania lub innego przetwarzania danych osobowych lub gdy przechowywanie danych osobowych nie będzie już wymagane zgodnie z obowiązującymi wymogami prawnymi.

7.2 Szczegółowe okresy przechowywania w odniesieniu do różnych kategorii danych osobowych określono w zasadach dotyczących przechowywania danych i udostępniania informacji Grupy Saxo Bank.

8. Bezpieczeństwo przetwarzania (oceny ryzyka)

8.1 Grupa Saxo Bank wdroży odpowiednie środki techniczne i organizacyjne w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka, w tym między innymi odpowiednio następujące:

  • pseudonimizacja i szyfrowanie danych osobowych;

  • możliwość zapewnienia ciągłej poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

  • możliwość przywrócenia dostępności i dostępu do danych osobowych w odpowiednim czasie w przypadku incydentu fizycznego lub technicznego;

  • proces regularnego testowania, oceny i szacowania skuteczności środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania.

8.2 Przy ocenianiu odpowiedniego poziomu zabezpieczeń zostaną w szczególności wzięte pod uwagę zagrożenia związane z przetwarzaniem, szczególnie związane z przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, zmianą, nieuprawnionym ujawnieniem albo dostępem do danych osobowych przesyłanych, przechowywanych lub przetwarzanych w inny sposób. Grupa Saxo Bank przygotowała pisemne oceny ryzyka w odniesieniu do czynności przetwarzania.

9. Ocena skutków ochrony danych

9.1 Jeśli Grupa Saxo Bank przetwarza dane osobowe, które mogą powodować wysokie ryzyko dla osób, których dane osobowe są przetwarzane, przeprowadzana jest ocena skutków ochrony danych — „DPIA” (Data Protection Impact Assessment).

9.1.1 DPIA oznacza, że ​​Grupa Saxo Bank, uwzględniając charakter, zakres, kontekst i cele przetwarzania, a także czynniki ryzyka o różnym prawdopodobieństwie i wadze dla praw i wolności osób fizycznych, wdroży odpowiednie techniczne i organizacyjne środki zapewniające i umożliwiające wykazanie, że przetwarzanie odbywa się zgodnie z wymogami ochrony danych.

9.2 Środki techniczne i organizacyjne podlegają przeglądowi i aktualizacji w razie bieżącej potrzeby i nie rzadziej niż co 6 miesięcy.

9.2.1 Zgodnie z niniejszą klauzulą jako element wykazania zgodności z odpowiednimi środkami technicznymi i organizacyjnymi może być wykorzystane przestrzeganie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji.

10. Profilowanie

10.1 Zgodnie z RODO profilowanie definiuje się jako „dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się”.

10.2 „Profilowanie” w kontekście niniejszych wytycznych dotyczących ochrony danych to wykorzystywanie zautomatyzowanego procesu analizy danych osobowych w celu oceny lub prognozowania aspektów zachowania danej osoby. Grupa Saxo Bank może stosować profilowanie w następujących okolicznościach:

  • identyfikacja potencjalnych przypadków nadużyć finansowych;

  • dostarczanie klientom i potencjalnym klientom informacji na temat produktów i usług Grupy Saxo Bank, które prawdopodobnie ich zainteresują; a także

  • ocenianie zdolności kredytowej.

11. Wymagania krajowe

11.1 Grupa Saxo Bank przestrzega RODO w swoich wewnętrznych procesach i procedurach.

11.2 Jeśli ustawodawstwo krajowe przewiduje wprowadzenie wyższego poziomu ochrony danych niż RODO, jesteśmy zobowiązani do zastosowania się do bardziej restrykcyjnych wymogów. Jeśli zasady/wytyczne Grupy Saxo Bank są bardziej rygorystyczne niż lokalne przepisy, należy przestrzegać naszych zasad/wytycznych, o ile mają one zastosowanie do świadczonych usług lub wykonywanego przetwarzania.

12. Kontakt

12.1 W przypadku jakichkolwiek pytań związanych z niniejszymi wytycznymi dotyczącymi ochrony danych lub chęci złożenia skargi dotyczącej czynności przetwarzania dokonywanych przez Grupę Saxo Bank, prosimy o kontakt z Grupą Saxo Bank pod adresem privacy@saxobank.com.


Philip Heymans Alle 15
2900 Hellerup
Dania

Skontaktuj się z Saxo

Wybierz region

Polska
Polska

Poznaj ryzyko
Kazda transakcja wiąże się z ryzykiem (dowiedz się więcej). Aby pomóc Ci w jego zrozumieniu, udostępniliśmy dokumenty zawierające kluczowe informacje (KID) na temat ryzyka i korzyści związanych z poszczególnymi produktami. Dodatkowe dokumenty zawierające kluczowe informacje znajdziesz na naszej platformie transakcyjnej (dowiedz się więcej).

Ta strona internetowa jest dostępna na całym świecie, jednak informacje na tej stronie są powiązane z Saxo Bank A / S i nie są ściśle określone dla żadnego z podmiotów Grupy Saxo Bank. Wszyscy klienci będą bezpośrednio współpracować z Saxo Bank A / S, a wszystkie umowy z klientem zostaną podpisane z Saxo Bank A / S i tym samym regulowane prawem duńskim.


Apple, iPad i iPhone są znakami towarowymi firmy Apple Inc., zarejestrowanymi w Stanach Zjednoczonych i innych krajach. App Store to znak usług firmy Apple Inc.