Administratorem danych pozyskanych w związku z korzystaniem z profilu Login.gov.pl oraz dostępem do systemu teleinformatycznego udostępnionego na stronie internetowej KNF (Podsystem Komunikacji CRP) jest Komisja Nadzoru Finansowego z siedzibą przy ul. Pięknej 20, 00-549 Warszawa. Dane osobowe są przetwarzane w celu zalogowania do ww. systemu i korzystania z niego w celu wymiany informacji pomiędzy instytucją pożyczkową a Komisją Nadzoru Finansowego w ramach sprawowanego nadzoru nad instytucjami pożyczkowymi, w celu zapewnienia obsługi i wsparcia systemu, archiwizacji dokumentacji, a także spełnienia wymagań związanych z koniecznością uwierzytelnienia użytkownika systemu teleinformatycznego podmiotu publicznego. W przypadkach przewidzianych przepisami prawa osobie, której dane osobowe dotyczą przysługuje prawo dostępu do swoich danych osobowych, ich sprostowania, usunięcia, ograniczenia przetwarzania, sprzeciwu wobec przetwarzania, a także wniesienia skargi do organu nadzorczego.

Klauzula informacyjna dotycząca przetwarzania przez Komisję Nadzoru Finansowego danych osobowych

1. Administratorem danych osobowych jest Komisja Nadzoru Finansowego, ul. Piękna 20, kod pocztowy: 00-549 Warszawa („Administrator” lub „KNF”). Z Administratorem można się kontaktować pisemnie, kierując korespondencję na adres: ul. Piękna 20, skr. poczt. 419, kod pocztowy: 00-549 Warszawa lub pocztą elektroniczną na adres: knf@knf.gov.pl
2. Administrator wyznaczył Inspektora Ochrony Danych („IOD”). Kontakt z IOD jest możliwy za pośrednictwem poczty elektronicznej pod adresem: iod@knf.gov.pl lub drogą pocztową na adres korespondencyjny Administratora. Z IOD można się kontaktować we wszystkich sprawach dotyczących przetwarzania danych osobowych, w szczególności w zakresie korzystania z praw związanych z ich przetwarzaniem.
3. Podstawą prawną przetwarzania danych osobowych jest:
   • art. 6 ust. 1 lit. e RODO, tj. niezbędność przetwarzania do wykonania przez Administratora zadania realizowanego w interesie publicznym:
     • polegającego na nadzorze nad instytucjami pożyczkowymi sprawowanego zgodnie z przepisami art. 1 ust. 2 pkt 13 ustawy o nadzorze nad rynkiem finansowym (Dz. U. z 2024 r. poz. 135) oraz ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim (Dz.U. z 2023 r. poz. 1028, z późn. zm.), w szczególności art. 59df – 59dh tej ustawy, w związku z koniecznością udostępnienia instytucjom pożyczkowym przez KNF elektronicznych formularzy sprawozdawczych i kanałów komunikacji; zgodnie z art. 59 dg ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim instytucja pożyczkowa ma obowiązek przekazywania KNF sprawozdań z działalności wyłącznie w postaci elektronicznej za pośrednictwem udostępnionych przez KNF formularzy sprawozdawczych i kanałów komunikacji,
     • polegającego na nadzorze nad instytucjami pożyczkowymi sprawowanym zgodnie z przepisami art. 1 ust. 2 pkt 13 w zw. z art. 4 ust. 1 pkt 2 ustawy o nadzorze nad rynkiem finansowym (Dz. U. z 2024 r. poz. 135) oraz ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim (Dz.U. z 2023 r. poz. 1028, z późn. zm.) w związku z umożliwieniem dostępu i korzystania z systemu teleinformatycznego udostępnionego na stronie internetowej KNF, tj. Podsystemu Komunikacji CRP), zwanego dalej „Systemem”, przez instytucję pożyczkową w celu odbierania i przekazywania korespondencji z KNF za pośrednictwem Systemu w sprawach inne niż określone w lit. a – w przypadku wyrażenia przez instytucję pożyczkową zgody na taką komunikację za pośrednictwem Systemu,
     • w związku z przepisami ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2024 r. poz. 307), w szczególności art. 20a ust. 1 pkt 1 tej ustawy, który stanowi, że uwierzytelnienie użytkownika systemu teleinformatycznego podmiotu publicznego, w którym udostępniane są usługi online, wymaga użycia środka identyfikacji elektronicznej wydanego w systemie identyfikacji elektronicznej przyłączonym do węzła krajowego identyfikacji elektronicznej, o którym mowa w art. 21a ust. 1 pkt 2 lit. a ustawy z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej (Dz. U. z 2024 r. poz. 422);
   • w odniesieniu do pełnomocnika instytucji pożyczkowej – art. 6 ust. 1 lit. c RODO, tj. niezbędność przetwarzania do wypełnienia obowiązku prawnego ciążącego na Administratorze, wynikającego z przepisów właściwych ustaw, w związku z identyfikacją oraz wykazaniem umocowania do działania w cudzym imieniu;
   • art. 6 ust. 1 lit. c RODO, tj. niezbędność przetwarzania do wypełnienia obowiązku prawnego ciążącego na Administratorze wynikającego z ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (j.t. Dz. U. z 2020 r. poz. 164, ze zm.) oraz z przyjętych na jej podstawie przepisów archiwizacyjnych określających okres przechowywania dokumentacji w Urzędzie Komisji Nadzoru Finansowego – na podstawie których Administrator ma obowiązek zarchiwizowania dokumentacji;
   • art. 6 ust. 1 lit. f RODO, tj. prawnie uzasadniony interes Administratora, polegający na konieczności ustalania, dochodzenia lub obrony przed ewentualnymi roszczeniami.
4. Dane osobowe będą przetwarzane w celach wynikających z ust. 3, w tym umożliwienia dostępu i korzystania z Systemu, uwierzytelnienia jego użytkowników i udostępnienia im funkcjonalności Systemu, zapewnienia przez Administratora obsługi i wsparcia Systemu, w celu archiwizacji dokumentacji oraz ewentualnie w celu dochodzenia lub obrony przed roszczeniami.
5. Pozyskiwane przez Administratora kategorie danych osobowych obejmują w przypadku:
   • osób wyznaczonych do kontaktów z nadzorem z ramienia instytucji pożyczkowej (użytkownicy Systemu) – imię, nazwisko, numer PESEL, adres poczty elektronicznej, numer telefonu;
   • osób reprezentujących instytucję pożyczkową – imiona, nazwisko, pełnioną funkcję, podpis, ewentualnie inne dane osobowe służące do identyfikacji osoby składającej podpis.
6. Jeżeli dane osobowe nie zostały pozyskane bezpośrednio od osób, których dotyczą, zostały one przekazane Administratorowi przez instytucję pożyczkową lub osobę go reprezentującą (Przedstawiciel Podmiotu Nadzorowanego lub Administrator Podmiotu), a w stosunku do osób logujących się za pomocą profilu Login.gov.pl – od ministra właściwego do spraw informatyzacji. Dane osobowe mogą zostać również pozyskane przez Administratora z rejestrów publicznych – w zakresie danych osobowych niezbędnych do potwierdzenia właściwej reprezentacji instytucji pożyczkowej.
7. W przypadku pozyskania danych osobowych bezpośrednio od osób, których one dotyczą, podanie danych osobowych jest niezbędne do uzyskania dostępu do Systemu. Brak podania danych osobowych będzie skutkował brakiem możliwości korzystania z Systemu. W przypadku, gdy przekazywanie przez instytucję pożyczkową określonego rodzaju informacji za pomocą Systemu wynika z przepisu prawa, podanie danych osobowych jest niezbędne do zrealizowania obowiązków ciążących na instytucji pożyczkowej.
8. Odbiorcami danych osobowych mogą być organy administracji publicznej lub inne podmioty upoważnione na podstawie przepisów prawa lub wykonujące zadania realizowane w interesie publicznym lub w ramach sprawowania władzy publicznej, podmioty świadczące usługi na rzecz Administratora, w tym usługi z zakresu informatycznego oraz w ramach przesyłanej korespondencji, w tym podmioty zapewniające usługi doręczeń przy użyciu środków komunikacji elektronicznej.
9. Administrator nie planuje przekazywać danych osobowych odbiorcom w państwach trzecich (spoza Europejskiego Obszaru Gospodarczego) lub organizacjom międzynarodowym.
10. Administrator będzie przetwarzać pozyskane dane osobowe w celach opisanych w ust. 4 do momentu wygaśnięcia obowiązku przechowywania danych, wynikającego z przepisów prawa określonych w ust. 3, nie dłużej jednak niż przez okres 25 lat.
11. Z wyjątkami zastrzeżonymi przepisami prawa, każdej osobie, której dane osobowe dotyczą, przysługuje prawo dostępu do swoich danych osobowych oraz otrzymania ich kopii, prawo do sprostowania (poprawiania) swoich danych osobowych, prawo do żądania ograniczenia przetwarzania danych osobowych oraz usunięcia danych osobowych.
12. W przypadku przetwarzania opartego na art. 6 ust. 1 lit. e i f RODO, każdej osobie, której dane osobowe dotyczą, przysługuje prawo do wniesienia sprzeciwu wobec przetwarzania danych osobowych z przyczyn związanych z jej szczególną sytuacją.
13. W sytuacji uznania, że przetwarzanie danych osobowych narusza przepisy prawa, każdej osobie przysługuje również prawo do wniesienia skargi do organu nadzorczego, tj. Prezesa Urzędu Ochrony Danych Osobowych.
14. Dane osobowe nie będą podlegały zautomatyzowanemu podejmowaniu decyzji, w tym profilowaniu.