RODO kładzie szczególny nacisk na zapewnienie jak najlepszej ochrony praw i wolności każdej osoby, której dane są przetwarzane. Każda osoba ma zapewnioną kontrolę nad przetwarzaniem należących do niej danych niezależnie od tego w jakim celu są przetwarzane.
W związku z przetwarzaniem przez Bank danych osobowych, osobom, których dane są przetwarzane przysługują następujące prawa:
a) prawo dostępu do treści danych, na podstawie art. 15 Rozporządzenia;
Jest to prawo do uzyskania od Banku potwierdzenia, czy przetwarza dane osobowe oraz prawo uzyskania dostępu do tych danych (w tym ich kopii), a także w szczególności do następujących informacji: (i) o celach przetwarzania danych osobowych, (ii) o kategoriach przetwarzanych danych osobowych, (iii) informacji o odbiorcach lub kategoriach odbiorców, którym Bank ujawnił dane osobowe lub którym ma zamiar ujawnić te dane, (iv) o możliwości skorzystania z praw w zakresie ochrony danych osobowych i o sposobie realizacji tych praw, (v) o prawie do wniesienia skargi do organu nadzorczego, (vi) o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, a także o konsekwencjach takiego przetwarzania, o ile nie dotyczy to przetwarzania danych osobowych na potrzeby przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu oraz przeciwdziałania innym przestępstwom.
b) prawo do sprostowania danych, na podstawie art. 16 Rozporządzenia;
Jest to prawo do żądania od Banku niezwłocznego sprostowania danych osobowych, które są nieprawidłowe oraz do żądania uzupełnienia niekompletnych danych osobowych.
c) prawo do usunięcia danych, na podstawie art. 17 Rozporządzenia;
Jest to prawo do żądania od Banku niezwłocznego usunięcia dotyczących danych osobowych (zwane również „prawem do bycia zapomnianym”). Bank ma w takiej sytuacji obowiązek usunąć dane osobowe, pod warunkiem że jest spełniona jedna z następujących przesłanek: (i) dane osobowe nie są już niezbędne do celów, dla których zostały zebrane, (ii) cofnięto zgodę, na której opiera się przetwarzanie i Bank nie ma innej podstawy prawnej przetwarzania, (iii) dane osobowe były przetwarzane niezgodnie z prawem, (iv) dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego.
d) prawo do ograniczenia przetwarzania danych, na podstawie art. 18 Rozporządzenia;
Jest to prawo do żądania od Banku ograniczenia przetwarzania danych osobowych w przypadkach, gdy: (i) kwestionowana jest prawidłowość danych osobowych przetwarzanych przez administratora, (ii) przetwarzanie danych osobowych jest niezgodne z prawem, a sprzeciwiono się usunięciu danych osobowych, (iii) Bank nie potrzebuje już danych osobowych, ale są one potrzebne do ustalenia, dochodzenia lub obrony roszczeń.
W przypadku realizacji prawa do ograniczenia przetwarzania danych osobowych, Bank może przetwarzać dane osobowe, z wyjątkiem ich przechowywania, wyłącznie za zgodą lub w celu ustalenia, dochodzenia lub obrony roszczeń lub w celu ochrony praw innej osoby fizycznej lub prawnej lub z uwagi na ważne względy interesu publicznego.
e) prawo do przenoszenia danych, na podstawie art. 20 Rozporządzenia.
Jest to prawo do otrzymania w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego danych osobowych, dostarczonych Bankowi oraz prawo do żądania przesłania tych danych osobowych innemu administratorowi danych, jeśli jest to technicznie możliwe. Prawo to przysługuje jeśli spełnione są łącznie następujące przesłanki: (i) przetwarzanie odbywa się w sposób zautomatyzowany, (ii) dane przetwarzane są na podstawie zgody lub na podstawie umowy.
Jeżeli jednak dane, które mają ulec przeniesieniu na żądanie, stanowią tajemnicę przedsiębiorstwa Banku, wówczas Bank ma prawo odmówić wykonania żądania do przeniesienia takich danych, o czym Bank poinformuje.
f) prawo do wniesienia sprzeciwu wobec przetwarzania danych, na podstawie art. 21 Rozporządzenia;
Prawo o wniesienia w dowolnym momencie sprzeciwu – z przyczyn związanych ze szczególną sytuacją – wobec przetwarzania danych opartego na prawnie uzasadnionym interesie Banku (tj. na podstawie art. 6 ust. 1 lit. f) Rozporządzenia), w tym profilowania. W takiej sytuacji Bank nie będzie mógł dalej przetwarzać danych w tych celach, chyba że istnieją ważne prawnie uzasadnione podstawy do przetwarzania lub dane potrzebne są Bankowi do ustalenia, dochodzenia lub obrony roszczeń.
Jeżeli dane osobowe są przetwarzane na potrzeby marketingu bezpośredniego, to osoba, której dane są przetwarzane ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania na potrzeby takiego marketingu, w tym profilowania, w zakresie, w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim. Wówczas Bankowi nie będzie wolno przetwarzać danych do takich celów.
g) prawo do cofnięcia zgody na podstawie art. 7 ust. 3 Rozporządzenia;
W przypadkach, w których przetwarzanie danych odbywa się na podstawie zgody (art. 6 ust. 1 lit. a) Rozporządzenia), osoba której dane dotyczą ma prawo do wycofania tej zgody w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem.