Klient zadzwonił do mnie z pytaniem, którego nie spodziewałem się od osoby z 5-letnim stażem na zagranicznych bukmacherach: „Czy MiFinity może odmówić mi prawa do bycia zapomnianym?”. Pytanie z pozoru prawne, ale w praktyce dotyka kluczowej kwestii: gdzie kończy się GDPR, a gdzie zaczyna obowiązek retencji wynikający z dyrektywy 5AMLD. Te dwa reżimy często wchodzą w konflikt, a MiFinity działa na ich styku.
Kategorie danych zbieranych przez MiFinity
Dane osobowe MiFinity dzieli na pięć kategorii, każda z innym uzasadnieniem prawnym i okresem retencji.
Pierwsza kategoria to dane identyfikacyjne: imię, nazwisko, data urodzenia, narodowość, numer dokumentu tożsamości. Te dane MiFinity zbiera jako wymóg KYC wynikający z dyrektywy 5AMLD i lokalnych regulacji FCA i MFSA. Podstawa prawna: realizacja obowiązku prawnego, art. 6 ust. 1 lit. c GDPR. Okres retencji: minimum 5 lat od zamknięcia konta.
Druga kategoria to dane kontaktowe: adres zamieszkania, e-mail, numer telefonu. Zbierane częściowo jako element KYC (adres potwierdza tożsamość), częściowo jako narzędzie kontaktu z klientem (e-mail, telefon). Okres retencji: ten sam co dane identyfikacyjne – 5 lat minimum.
Trzecia kategoria to dane finansowe: numery rachunków bankowych powiązanych, historia transakcji, salda kont, dane karty płatniczej (zaszyfrowane, MiFinity nie przechowuje pełnych numerów). Zbierane jako niezbędne do realizacji usługi i jako wymóg AML. Retencja transakcji: 5-7 lat zależnie od jurysdykcji.
Czwarta kategoria to dane behawioralne: adres IP, urządzenie, przeglądarka, czas i godziny logowań, lokalizacja przybliżona. Zbierane na podstawie uzasadnionego interesu (art. 6 ust. 1 lit. f) – wykrywanie fraudu, bezpieczeństwo konta. Okres retencji: zazwyczaj 24 miesiące od ostatniej aktywności.
Piąta kategoria to skany dokumentów (POI, POA, SOF). MiFinity przechowuje cyfrowe kopie wszystkich dokumentów przesłanych podczas weryfikacji. Retencja: 5-7 lat od zamknięcia konta, w niektórych przypadkach dłużej, jeśli prawo lokalne (np. polskie regulacje podatkowe, gdy klient został zgłoszony do GIIF) tego wymaga.
Cele przetwarzania: KYC, AML, marketing
Każda kategoria danych jest przetwarzana w określonym celu, co GDPR nazywa „podstawą prawną”. Niezgodność celu z deklarowaną podstawą jest naruszeniem GDPR, które rodzi prawo do skargi.
Cele zgodne z GDPR i deklarowane przez MiFinity to: weryfikacja tożsamości (KYC), przeciwdziałanie praniu pieniędzy (AML), realizacja transakcji, kontakt z klientem w sprawach konta, raportowanie regulacyjne, wykrywanie fraudu, marketing własnych usług MiFinity.
Marketing wymaga osobnej zgody – to jest miejsce, gdzie GDPR daje konsumentowi realną kontrolę. MiFinity nie może wysyłać Ci ofert ani newsletterów bez wcześniej wyrażonej zgody (zgoda jednoznaczna, świadoma, dobrowolna). Zgodę można odwołać w każdej chwili przez ustawienia konta albo link „unsubscribe” w mailu marketingowym.
Z mojej praktyki: 80% polskich klientów MiFinity nie sprawdza ustawień marketingowych po rejestracji. Niektórzy domyślnie zgadzają się przy formularzu rejestracji (checkbox „I want to receive offers”), inni – nie. Sprawdź to w sekcji „Privacy and Marketing” w panelu konta. Wyłączenie marketingu nie wpływa na funkcjonalność konta – będziesz nadal otrzymywać e-maile transakcyjne, alerty bezpieczeństwa, decyzje compliance. Tylko oferty komercyjne znikną.
Komu MiFinity udostępnia Twoje dane
Lista odbiorców danych jest długa, ale każdy z nich ma określoną rolę w łańcuchu obsługi konta. Przejrzystość, kim są ci odbiorcy, jest jednym z praw GDPR.
Bukmacherzy i kasyna online to pierwsza grupa odbiorców. Gdy płacisz z MiFinity do bukmachera, MiFinity przekazuje bukmacherowi minimalny zestaw danych potrzebny do zaksięgowania transakcji: identyfikator klienta, kwotę, walutę, czasem nazwę i e-mail dla weryfikacji crossowej. To, co bukmacher otrzymuje, zależy od umowy MiFinity-bukmacher i poziomu integracji.
Dostawcy weryfikacji KYC to druga grupa: Onfido, Jumio, IDnow albo podobne firmy. MiFinity przesyła im skany dokumentów do weryfikacji autentyczności. Te firmy mają własne polityki przechowywania, ale jako podprzetwarzacze MiFinity są związane GDPR i polityką MiFinity. Ich okres retencji jest często dłuższy niż MiFinity – Onfido przechowuje skany do 7 lat dla celów audytu.
Banki i dostawcy płatności to trzecia grupa: gdy realizujesz przelew SEPA z MiFinity na swój polski bank, MiFinity przekazuje swojemu bankowi rozliczeniowemu wszystkie dane potrzebne do wykonania przelewu. Bank rozliczeniowy MiFinity przekazuje te dane Twojemu polskiemu bankowi. Łańcuch jest długi, ale wszystkie ogniwa są regulowane.
Regulatorzy i organy ścigania to czwarta grupa: FCA, MFSA, GIIF (przy zgłoszeniach AML), HMRC i Krajowa Administracja Skarbowa (przy zapytaniach), Europol i Interpol w przypadkach śledztw transgranicznych. MiFinity udostępnia dane tym organom tylko na podstawie formalnego wezwania prawnego, ale fakt, że taki kanał istnieje, jest częścią obowiązków każdej instytucji finansowej.
Dostawcy infrastruktury IT to piąta grupa: hosting (AWS, Azure, własne serwerownie MiFinity), firmy obsługujące systemy bezpieczeństwa (Cloudflare, Akamai), monitoring fraudu. Ci dostawcy mają dostęp do danych, ale w roli technicznej – zarządzają serwerami, na których dane są przechowywane, ale nie przetwarzają ich do własnych celów.
Twoje prawa: dostęp, sprostowanie, usunięcie
GDPR daje Ci sześć praw, każde z nich można wykonać przez MiFinity. Lista, jak to wygląda w praktyce.
Prawo dostępu (art. 15 GDPR): możesz zażądać kopii wszystkich swoich danych przechowywanych przez MiFinity. Wniosek wysyłasz na [email protected] z numerem konta i potwierdzeniem tożsamości. MiFinity ma 30 dni na odpowiedź, dla większości klientów odpowiedź przychodzi w 14-21 dni. Otrzymasz plik PDF z przeglądem danych w pięciu kategoriach opisanych wyżej.
Prawo do sprostowania (art. 16): jeśli Twoje dane są nieaktualne (zmiana adresu, nazwiska po małżeństwie), możesz zażądać korekty. Większość zmian możesz wykonać samodzielnie w panelu konta. Dla zmian wymagających weryfikacji (np. zmiana nazwiska wymagana przez nowy dokument tożsamości) – wniosek przez support z załącznikiem dokumentu.
Prawo do usunięcia (art. 17), tzw. „prawo do bycia zapomnianym”: możesz zażądać usunięcia swoich danych. Tu jednak GDPR przegrywa z dyrektywą 5AMLD. MiFinity ma obowiązek retencji 5-7 lat od zamknięcia konta. Wnioski o usunięcie są realizowane częściowo: dane marketingowe są usuwane natychmiast, dane behawioralne po 24 miesiącach, ale dane KYC, transakcje i skany dokumentów pozostają w archiwum compliance przez pełny okres retencji. Praktyczna konsekwencja: pełne „wymazanie” konta MiFinity jest niemożliwe za życia regulacji 5AMLD.
Prawo do ograniczenia przetwarzania (art. 18): możesz zażądać, aby MiFinity przestał aktywnie przetwarzać Twoje dane (np. profilowania, marketingu), zachowując je tylko w archiwum. Wykonalne dla większości celów oprócz tych wynikających z obowiązku prawnego.
Prawo do przenoszenia danych (art. 20): możesz zażądać kopii swoich danych w formacie strukturalnym (CSV, JSON), który możesz przekazać innemu dostawcy usług. Praktyczna wartość ograniczona – niewiele konkurencyjnych e-portfeli przyjmuje takie dane jako import.
Prawo do sprzeciwu (art. 21): możesz sprzeciwić się przetwarzaniu danych w celu marketingu i profilowania. Działa natychmiast po zgłoszeniu.
Transfer danych poza EOG i mechanizmy ochrony
MiFinity ma siedzibę w UK (po Brexicie poza EOG) i na Malcie (w EOG). Dane klientów z UE są przechowywane głównie w Malcie, ale część przetwarzania (zwłaszcza compliance i fraud monitoring) odbywa się w UK. To powoduje, że dane przekraczają granicę EOG.
GDPR pozwala na transfery poza EOG tylko z zachowaniem odpowiednich gwarancji. UK ma Decyzję o Adekwatności wydaną przez Komisję Europejską (czerwiec 2021) – to znaczy, że transfer danych z UE do UK jest równoważny transferowi wewnątrz UE w sensie ochrony prawnej. Decyzja jest ważna do 2025 roku z możliwością przedłużenia.
Drugi mechanizm to Standard Contractual Clauses (SCC) – standardowe klauzule umowne, które MiFinity podpisuje z dostawcami spoza EOG (np. AWS, jeśli dane przechodzą przez serwery w USA). SCC zobowiązują dostawcę do stosowania ochrony porównywalnej z GDPR.
Trzeci mechanizm to Binding Corporate Rules (BCR) – wewnętrzne polityki grupy kapitałowej. MiFinity jako część grupy ma własne BCR regulujące przepływ danych między spółkami w UK i na Malcie.
Praktyczna konsekwencja dla polskiego klienta: Twoje dane są chronione przez ten sam reżim GDPR niezależnie od tego, czy są fizycznie w Maladze, w Londynie, czy w centrum danych AWS w Niemczech. Skarga do polskiego UODO jest skuteczna, jeśli dane dotyczą polskiego klienta – niezależnie od fizycznej lokalizacji serwerów MiFinity. Jeśli z kolei kwestia dotyczy szerszej dyskusji o tym, co dzieje się z danymi przekazywanymi przez MiFinity bukmacherom, warto przeczytać analizę tego, jakie dane MiFinity przekazuje operatorom przy realizacji bonusów i obrotu.