Raport roczny
2018

Bezpieczeństwo produktów i Klientów

PKO Bank Polski SA i Grupa PKO Banku Polskiego SA w zakresie oferowanych produktów prowadzą politykę, która ma zapewnić:

  • zgodność produktów z obowiązującymi przepisami,
  • właściwe ich oznakowanie,
  • bezpieczeństwo Klientów w procesie ich wykorzystywania.

Zakres powyższej polityki obejmuje w Banku i Grupie Kapitałowej Banku zarówno etap formułowania oferty produktu, jego prezentacji Klientowi, nabycia (tj. podpisania umowy), jak też etap korzystania z produktu przez Klienta. Zasady i mechanizmy prowadzenia polityki zgodności i właściwego oznakowania produktów w Banku obowiązują w całej Grupie Kapitałowej Banku.

Bank i Grupa Kapitałowa Banku dokładają wszelkich starań, by wszystkie oferowane produkty spełniały wymogi wynikające z przepisów prawa i standardów rynkowych. Wysiłki te koncentrują się na zapewnieniu, by:

  • oferowane produkty były adekwatne do potrzeb Klientów, do których są kierowane,
  • sposób i forma proponowania nabycia produktów była adekwatna do ich charakteru,
  • przed zawarciem umowy, w sposób przystępny dla przeciętnego odbiorcy, udzielano Klientom rzetelnej, przejrzystej i kompleksowej informacji o produkcie, w szczególności jego charakterze, konstrukcji, warunkach, korzyściach i ryzykach oraz opłatach, prowizjach i innych kosztach związanych z zawarciem, wykonaniem i ewentualnie wcześniejszym rozwiązaniem umowy.

Powyższe zasady są stosowane zarówno przez Bank, jak i przez pozostałe podmioty Grupy Kapitałowej Banku, a także przedsiębiorstwa, którym Bank powierzył wykonanie określonych czynności związanych ze sprzedażą lub obsługą produktów.

Zarządzanie ryzykiem niewłaściwej sprzedaży produktów Klientom (misselling)

W ramach zapewnienia zgodności produktów z obowiązującymi przepisami Bank zarządza ryzykiem niewłaściwej sprzedaży (misselling) na etapie tworzenia i wdrażania produktu, jak również jego oferowania Klientom. Każdy produkt podlega analizie przedwdrożeniowej, pod kątem generowanych przez niego ryzyk oraz określenia grup Klientów,
dla których jest przeznaczony. Bank identyfikuje także grupy Klientów, którym nie należy proponować nabycia danego produktu, ze względu na nieadekwatność do potrzeb Klienta albo z innych przyczyn (tzw. anty-grupy). W przypadku występowania anty-grup, wdrażane są mechanizmy kontrolne ograniczające ryzyko niewłaściwej sprzedaży. Ryzyko niewłaściwej sprzedaży jest również ograniczane na etapie podejmowania czynności sprzedażowych – przed zaproponowaniem Klientowi nabycia określonego produktu dokonywana jest ocena, czy dany produkt jest adekwatny do potrzeb tego typu Klientów (w celu eliminacji przypadków polegających np. na sprzedaży ubezpieczenia od utraty pracy osobom utrzymującym się z emerytury lub długoterminowych produktów inwestycyjnych osobom w podeszłym wieku). Dodatkowo Bank każdorazowo udziela Klientom wiarygodnej i wyczerpującej informacji na temat oferowanych produktów i usług tak, by mogli dokonać świadomego wyboru w tym zakresie. Bank zapoznaje Klientów z korzyściami, jak i ryzykiem wynikającym z zakupu poszczególnych produktów.

Wszelkie nieprawidłowości zgłaszane przez Klientów Banku, w szczególności w formie reklamacji, są rozpatrywane w terminach wynikających z przepisów prawa. Zależnie od wyników podjętych ustaleń Bank podejmuje działania mające na celu usunięcie zaistniałych nieprawidłowości, zapobieżenie ich wystąpieniu w przyszłości oraz podniesienie jakości obsługi.

Podobne rozwiązania w zakresie zarządzania ryzykiem niewłaściwej sprzedaży produktów, przy zachowaniu zasady proporcjonalności, funkcjonują również w pozostałych podmiotach Grupy Kapitałowej Banku będących twórcami produktów finansowych lub zaangażowanych w proces ich sprzedaży, to jest w: PKO Życie Towarzystwie Ubezpieczeń SA, PKO Towarzystwie Ubezpieczeń SA, PKO Banku Hipotecznym SA, PKO Towarzystwie Funduszy Inwestycyjnych SA oraz w PKO BP Finat sp. z o.o.

Postępowania administracyjne

W 2018 roku Bank był stroną trzech postępowań administracyjnych prowadzonych przed Urzędem Ochrony Konkurencji i Konsumentów (UOKiK) w zakresie zgodności produktów Banku z obowiązującymi przepisami. Jedno z tych postępowań zostało zakończone. Obecnie w toku są dwa postępowania z udziałem Banku wszczęte w 2017 roku. W 2018 roku nie wszczęto żadnego nowego postępowania administracyjnego.

 

Postępowania administracyjne odnoszące się do zasady zgodności produktów Grupy Kapitałowej PKO Banku Polskiego SA, w tym PKO Banku Polskiego SA z powszechnie obowiązującymi przepisami prawa.*

Opis postępowania administracyjnego toczącego się lub zakończonego w 2018 roku Status
Bank
1. Postępowanie wszczęte przez Prezesa UOKiK z urzędu w sprawie stosowania przez Bank praktyk naruszających zbiorowe interesy konsumentów poprzez informowanie o proponowanych zmianach warunków umowy o usługę płatniczą wyłącznie za pomocą wiadomości elektronicznych oraz niezamieszczanie w wiadomościach przesłanych do konsumentów umownej podstawy prawnej oraz okoliczności faktycznych uzasadniających zmianę (regulaminów oraz taryf prowizji i opłat bankowych dla osób fizycznych) dotyczących produktów Banku, tj.: rachunków bankowych, kart debetowych, kart kredytowych, kart płatniczych, a przez to uniemożliwienie zweryfikowania przez konsumentów dopuszczalności zmiany warunków umowy. Postępowanie zakończone (brak kar administracyjnych).

Pismem z 11 lipca 2018 roku Bank złożył wniosek o wydanie decyzji zobowiązującej wraz z propozycjami działań zmierzających do zakończenia naruszenia i usunięcia jego skutków. Prezes UOKiK przychylił się do wniosku i 27 sierpnia 2018 roku wydał wobec Banku decyzję zobowiązującą. Decyzja stała się prawomocna 4 października 2018 roku.

2. Postępowanie wszczęte przez Prezesa UOKiK z urzędu o uznanie postanowień wzorca umowy za niedozwolone w sprawie stosowania przez Bank we wzorcach umów, aneksach do umów kredytów i pożyczek hipotecznych waloryzowanych/ indeksowanych/ denominowanych do walut obcych i załącznikach do nich, postanowień umownych dotyczących sposobu ustalania kursów kupna i sprzedaży walut obcych, które zdaniem Prezesa UOKiK mogą zostać uznane za niedozwolone w świetle art. 385 § 1 Kodeksu cywilnego. Postępowanie w toku.

Pismem z 31 lipca 2018 roku Bank złożył wniosek o wydanie decyzji zobowiązującej wraz z propozycjami działań zmierzających do zakończenia naruszenia i usunięcia jego skutków.

3. Postępowanie wszczęte przez Prezesa UOKiK z urzędu w sprawie stosowania praktyk naruszających zbiorowe interesy konsumentów. Zarzucane Bankowi naruszenie polega na pobieraniu od konsumentów wyższych rat kredytów oraz pożyczek denominowanych do walut obcych niż wynikających z pouczeń o ryzyku kursowym przedstawianych konsumentom przed zawarciem umów oraz przerzucenia na konsumenta możliwego ryzyka walutowego. Postępowanie w toku.

Pismem z dnia 27 września 2017 roku Bank ustosunkował się do zarzutów Prezesa UOKiK, wnosząc o umorzenie postępowania z uwagi na wszczęcie postępowania po upływie terminu zawitego lub (alternatywnie) z uwagi na bezprzedmiotowość postępowania wobec braku występowania zarzucanej Bankowi praktyki albo (w przypadku braku umorzenia postępowania) o przeprowadzenie dowodu z opinii biegłego lub osoby prawnej (jednostki naukowej) na okoliczności wskazane w odpowiedzi Banku.

Pozostałe podmioty Grupy Kapitałowej
Brak postępowań

* Nie dotyczy spraw toczących się przed sądami powszechnymi oraz postępowań wyjaśniających

Postępowania sądowe

W 2018 roku w Banku prowadzone były dwa postępowania sądowe, dotyczące stosowania praktyk naruszających konkurencję (jedno toczy się przed Sądem Apelacyjnym, drugie przed Sądem Najwyższym). W 2018 roku nie wszczęto żadnego nowego postępowania sądowego dotyczącego zachowań antykonkurencyjnych lub antyrynkowych.

Postępowania sądowe odnoszące się do PKO Banku Polskiego SA

Opis postępowania sądowego toczącego się w 2018 roku Status
Bank jest stroną postępowania sądowego wszczętego przez Prezesa UOKiK postanowieniem z 23 kwietnia 2001 roku na wniosek Polskiej Organizacji Handlu i Dystrybucji – Związek Pracodawców przeciwko operatorom systemu płatniczego Visa, Europay oraz bankom – emitentom kart Visa oraz Europay/ Eurocard/ Mastercard. Postępowanie dotyczy praktyk ograniczających konkurencję na rynku płatności za pomocą kart płatniczych w Polsce, mających polegać na wspólnym ustalaniu opłaty „interchange” za transakcje dokonane kartami systemu Visa oraz Europay/ Eurocard/ Mastercard, a także ograniczaniu dostępu do rynku podmiotom zewnętrznym. Postępowanie sądowe w toku.

29 grudnia 2006 roku UOKiK uznał praktyki polegające na wspólnym ustalaniu opłaty „interchange” za ograniczające konkurencję oraz nakazał ich zaniechania, jednocześnie nakładając m.in. na Bank karę pieniężną w kwocie 16,6 miliona PLN. Bank odwołał się od wyżej wymienionej decyzji Prezesa UOKiK do Sądu Ochrony Konkurencji i Konsumentów (SOKiK). Wyrokiem z 21 listopada 2013 roku SOKiK zmniejszył karę wymierzoną Bankowi do kwoty 10,4 miliona PLN. Strony postępowania wniosły apelację. Sąd Apelacyjny w Warszawie w wyroku z 6 października 2015 roku przywrócił pierwotną wysokość nałożonych kar pieniężnych określonych w decyzji UOKiK, tj. karę w kwocie 16,6 miliona PLN (kara nałożona na PKO Bank Polski SA) i karę w kwocie 4,8 miliona PLN (kara nałożona na Nordea Bank Polska SA). Kary zostały zapłacone przez Bank w październiku 2015 roku. Na skutek wniesionej przez Banki skargi kasacyjnej Sąd Najwyższy wyrokiem z 25 października 2017 roku uchylił zaskarżony wyrok Sądu Apelacyjnego w Warszawie i przekazał sprawę do ponownego rozpatrzenia. Kary zapłacone przez Bank zostały zwrócone Bankowi 21 marca 2018 roku. Sprawa toczy się obecnie przed Sądem Apelacyjnym w Warszawie. Rozprawa w sprawie została odroczona bez terminu.

Bank jest stroną postępowania sądowego wywołanego decyzją Prezesa UOKiK w związku z podejrzeniem stosowania niedozwolonych postanowień umownych we wzorcach umów o kredyt konsumencki, z wyłączeniem umów o karty kredytowe. Postępowanie sądowe w toku.

Decyzją z 31 grudnia 2013 roku Prezes UOKiK uznał działania Banku za praktykę naruszającą zbiorowe interesy konsumentów i nałożył na Bank karę pieniężną w wysokości 29 milionów PLN. Bank odwołał się od tej decyzji do SOKiK. Wyrokiem z 9 lipca 2015 roku SOKiK uchylił w całości decyzję Prezesa UOKiK. 21 sierpnia 2015 roku Prezes UOKiK wniósł apelację od tego wyroku. 31 maja 2017 roku Sąd Apelacyjny w Warszawie podtrzymał korzystne dla Banku rozstrzygnięcie SOKiK w przedmiocie uchylenia decyzji, w której UOKiK uznał, że Bank naruszył zbiorowe interesy konsumentów stosując tzw. klauzule zmiennego oprocentowania i w konsekwencji o uchyleniu kary w wysokości 17 milionów PLN. Natomiast odnośnie drugiej zarzucanej Bankowi praktyki dotyczącej stosowania formularza informacyjnego, Sąd Apelacyjny uznał apelację za częściowo zasadną, jednocześnie obniżył karę nałożoną na Bank przez UOKiK z 12 milionów PLN do 6 milionów PLN. Karę zapłacono w dniu 17 lipca 2017 roku. 23 października 2017 roku Bank wniósł skargę kasacyjną od wyroku Sądu Apelacyjnego. Skargę kasacyjną wniósł także Prezes UOKiK. Bank oczekuje na decyzje Sądu Najwyższego w sprawie przyjęcia skarg kasacyjnych do rozpoznania.

 

Grupa PKO Banku Polskiego SA, w tym PKO Bank Polski SA realizuje wymogi w zakresie właściwego oznakowania produktów bankowych i inwestycyjnych poprzez dostarczenie Klientom wszelkich niezbędnych informacji na ich temat, szczególnie na etapie przedkontraktowym.

Zakres przekazywanych informacji o produktach wyznaczają obowiązujące przepisy prawa i rekomendacje (KNF). Ogólną zasadą jest, iż najwyższy poziom ochrony przysługuje Klientom detalicznym – konsumentom. Informacje te są sformułowane w taki sposób, aby były zrozumiałe dla tzw. „przeciętnego konsumenta” w rozumieniu ustawy o przeciwdziałaniu nieuczciwym praktykom rynkowym, to jest konsumenta dostatecznie dobrze poinformowanego, uważnego i ostrożnego. Natomiast zakres informacji przekazywanych instytucjom finansowym i innym profesjonalnym odbiorcom produktów i usług finansowych jest odpowiednio węższy.

Bank realizuje ustawowe obowiązki informacyjne:

a) w odniesieniu do produktów depozytowych m.in. poprzez:

  • informowanie Klientów o zasadach funkcjonowania systemu gwarantowania wkładów,
  • informowanie Klientów o możliwości złożenia dyspozycji na wypadek śmierci,
  • przypominanie Klientom o prowadzonych w Banku rachunkach, na których od wielu lat nie odnotowano żadnej operacji, nie później niż na 6 miesięcy przed upływem 10-letniego okresu braku aktywności ze wskazaniem, że w przypadku braku dalszej aktywności umowa ulegnie rozwiązaniu z mocy prawa,
  • udostępnianie wzorców umownych wykorzystywanych do zawierania umów z Klientami przed zawarciem umowy przy wykorzystaniu danego wzorca oraz w trakcie jej trwania – na każde żądanie Klienta.

b) w odniesieniu do produktów inwestycyjnych m.in. poprzez:

  • przekazywanie Klientom informacji wymaganych na podstawie Regulacji MiFID (m.in. w formie Broszury Informacyjnej o Wymogach MiFID),
  • udostępnianie Klientom przed zawarciem umowy/transakcji dla funduszy FIZ: „Dokumentów Zawierających Kluczowe Informacje”, zgodnie z wymogami Rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 1286/2014 w sprawie dokumentów zawierających kluczowe informacje dotyczące detalicznych produktów zbiorowego inwestowania i ubezpieczeniowych produktów inwestycyjnych,
  • udostępnianie Klientom przed zawarciem umowy/transakcji dla funduszy FIO oraz SFIO: „Kluczowych Informacji dla Inwestorów” zgodnie z wymogami Ustawy o funduszach inwestycyjnych i zarządzaniu alternatywnymi funduszami inwestycyjnymi oraz Dyrektywy UCITS IV,
  • udostępnianie wzorców umownych wykorzystywanych do zawierania umów z Klientami przed zawarciem umowy przy wykorzystaniu danego wzorca oraz w trakcie jej trwania – na każde żądanie Klienta.

c) w odniesieniu do produktów kredytowych, zgodnie z przepisami ustawy o kredycie konsumenckim, ustawy o kredycie hipotecznym oraz o nadzorze nad pośrednikami kredytu hipotecznego i agentami), m.in. poprzez:

  • przekazywanie Klientom na etapie przedkontraktowym formularza informacyjnego oraz spersonalizowanego projektu umowy kredytu, a w przypadku ubiegania się o kredyt hipoteczny – również decyzji kredytowej,
  • udostępnianie Klientom w każdym czasie informacji ogólnych dotyczących umowy o kredyt hipoteczny,
  • informowanie Klientów, którzy opóźniają się ze spłatą zobowiązań z tytułu udzielonego kredytu, o możliwości ubiegania się o restrukturyzację zadłużenia.

d) w odniesieniu do produktów ubezpieczeniowych, zgodnie z przepisami ustawy o pośrednictwie ubezpieczeniowym oraz Rekomendacji U Komisji Nadzoru Finansowego dotyczącej dobrych praktyk w zakresie bancassurance, m.in. poprzez:

  • okazywanie Klientom przy podejmowaniu pierwszej czynności w ramach wykonywanej przez Bank działalności agencyjnej oraz na każde żądanie Klienta, dokumentu pełnomocnictwa, a w przypadku osób fizycznych wykonujących czynności agencyjne – dokumentu upoważniającego do działania w imieniu agenta ubezpieczeniowego,
  • powiadamianie Klientów, czy Bank działa na rzecz jednego, czy wielu zakładów ubezpieczeń,
  • informowanie Klientów o treści wpisu do rejestru pośredników ubezpieczeniowych i sposobie sprawdzenia wpisu do rejestru oraz o posiadanych przez Bank akcjach albo udziałach zakładu ubezpieczeń uprawniających co najmniej do 10% głosów na walnym zgromadzeniu albo zgromadzeniu wspólników,
  • zapewnianie Klientom informacji o ich prawach i obowiązkach związanych z nabyciem ochrony ubezpieczeniowej, w tym przekazanie karty informacyjnej o produkcie ubezpieczeniowym.

Właściwe oznakowanie produktów obejmuje również przekazy reklamowe Banku wspierające działania sprzedażowe oraz kształtujące wizerunek jego marki. Wszystkie publikowane przez Bank materiały o charakterze marketingowym uwzględniają specyficzne obowiązki wynikające z powszechnie obowiązujących przepisów prawa (np. ustawy o kredycie konsumenckim – w zakresie reklamy tego rodzaju kredytów), jak również standardy rynkowe i wytyczne KNF sformułowane w uchwalonych „Zasadach reklamowania usług bankowych”.

Bank dokłada najwyższych starań, aby przekazywane komunikaty marketingowe o charakterze produktowym w sposób jasny wskazywały, jakiego produktu lub usługi dotyczą oraz były sformułowane w sposób rzetelny i nie wprowadzały ich odbiorców w błąd, jak również wskazywały odbiorcom sposób dotarcia do pełnych informacji o cechach reklamowanego produktu oraz korzyściach i ryzykach z nim związanych.

Jednym z priorytetów Banku jest wyznaczanie najwyższych standardów bezpieczeństwa. Bezpieczeństwo Klientów w procesie korzystania z produktów Banku i Grupy Kapitałowej Banku obejmuje przede wszystkim bezpieczeństwo środków Klientów, ale także bezpieczeństwo fizyczne Klientów w obiektach Banku. Kwestię bezpieczeństwa regulują przepisy wewnętrzne, w tym Polityka Bezpieczeństwa w PKO Banku Polskim SA oraz – szczegółowo – przepisy dotyczące konkretnych obszarów bezpieczeństwa, tj.: (i) ochrony osób i mienia, (ii) bezpieczeństwa systemu informatycznego, (iii) zarządzania incydentami bezpieczeństwa.

Bezpieczeństwo środków Klientów

Działania Banku i pozostałych podmiotów Grupy Kapitałowej Banku związane z zapewnieniem bezpieczeństwa środków Klientów dotyczą zarówno zapewnienia bezpieczeństwa powierzonych środków, jak też środków inwestowanych za pomocą oferowanych produktów. Realizowane inicjatywy w zakresie zapewnienia stabilnej i bezpiecznej infrastruktury teleinformatycznej pozwoliły osiągnąć w 2018 roku bardzo wysokie wskaźniki niezawodności działania aplikacji infrastruktury informatycznej.

Bezpieczeństwo inwestowanych środków: Bank dokłada wszelkiej staranności, aby oferowane Klientom produkty nie generowały ryzyka utraty środków. Ma to szczególne znaczenie w przypadku produktów inwestycyjnych. Dlatego też Bank w ramach obowiązków nałożonych przez Dyrektywę MiFID, informuje Klientów przed dokonaniem transakcji na instrumentach finansowych, czy dany produkt jest dla nich odpowiedni.

Bezpieczeństwo powierzonych depozytów: W odniesieniu do produktów depozytowych podstawowym mechanizmem gwarantującym bezpieczeństwo powierzonych przez Klientów środków jest stabilność wyniku finansowego Banku i pozostałych podmiotów Grupy Kapitałowej Banku. Dodatkowym mechanizmem jest uczestnictwo Banku w obowiązkowym systemie gwarantowania wkładów, funkcjonującym na podstawie Ustawy o Bankowym Funduszu Gwarancyjnym, systemie gwarantowania depozytów oraz przymusowej restrukturyzacji.

Bezpieczeństwo środków Klientów gwarantują w Banku także rozwiązania proceduralne zapewniające prawidłową identyfikację Klienta w każdym przypadku realizowania jego dyspozycji.

Zarządzanie ryzykiem nieuprawnionego dostępu do środków Klientów za pomocą bankowości elektronicznej

Najistotniejszym identyfikowanym przez Bank oraz PKO Towarzystwo Funduszy Inwestycyjnych SA zagrożeniem dla bezpieczeństwa Klientów korzystających z produktów Grupy Kapitałowej Banku są potencjalne przestępcze działania osób trzecich, wymierzone w Klientów korzystających z elektronicznych kanałów dostępu do usług bankowych i inwestycyjnych.

Po pierwsze, w Banku stosowane są najnowsze rozwiązania bezpieczeństwa teleinformatycznego gwarantujące bezpieczny dostęp do posiadanych przez Klientów środków, a Bank stale podnosi jakość zabezpieczenia systemów IT, w szczególności w zakresie aplikacji wykorzystywanych przez Klientów Banku. Dotyczy to m.in. aktywnego zwalczania stron phishingowych podszywających się pod serwisy Banku, śledzenia rozwoju złośliwego oprogramowania atakującego Klientów Banku, rozwoju mechanizmów detekcji zainfekowanych komputerów Klientów oraz doskonalenia reguł i rozszerzania zakresu prowadzonego monitoringu transakcji elektronicznych.

Po drugie, Bank przywiązuje bardzo dużą wagę do informowania i podnoszenia świadomości Klientów w zakresie bezpiecznego korzystania z usług bankowości elektronicznej, a także z kart płatniczych, gdyż bezpieczeństwo w tym zakresie uzależnione jest w znacznej mierze od działań użytkownika. Działania te obejmują w szczególności:

  • masowe kampanie edukacyjne np. poprzez inicjowanie tekstów na temat bezpiecznego korzystania z bankowości elektronicznej (magazyn Bankomania dystrybuowany w wersji papierowej w ponad 1200 oddziałach i agencjach (tj. w blisko 2/3), portal edukacyjny www.bankomania.pkobp.pl),
  • bieżące przekazywanie odpowiedzi i wyjaśnień na zapytania Klientów (e-mail, media społecznościowe),
  • bieżące przekazywanie poprzez środki masowego przekazu stanowiska Banku dotyczącego fałszywych e-maili, zawierającego elementy edukacyjne,
  • bieżące reagowanie na inne sygnały dotyczące zagrożeń,
  • publikowanie na stronach internetowych Banku, w serwisie transakcyjnym i dystrybuowanie do Klientów drogą mailową informacji na temat bezpiecznego logowania i zasad korzystania z bankowości elektronicznej.

W 2018 roku podjęto prace nad utworzeniem platformy wpierającej system klasy SIEM (Security Information and Event Management). Pozwoli to na lepsze wykrywanie incydentów i anomalii oraz automatyzację wielu działań związanych z obsługą incydentów. Zakończono wdrożenie rozwiązania monitorującego zagrożenia na stacjach roboczych Banku, co umożliwiło m.in. wykrywanie zaawansowanych typów złośliwego oprogramowania. Po zintegrowaniu rozwiązania z Bankowym systemem SIEM możliwa będzie natychmiastowa reakcja na wykryte incydenty.

Działająca w strukturach Banku specjalistyczna komórka CERT realizuje strategię w zakresie zapewnienia bezpieczeństwa informatycznego świadczonych usług. CERT PKO Bank Polski jest członkiem międzynarodowego forum zrzeszającego zespoły reagujące – FIRST oraz należy do grupy roboczej europejskich zespołów reagujących – TERENA TF-CSIRT i działającej przy niej organizacji Trusted Introducer. W 2018 roku Bank rozpoczął proces certyfikacji CERT na zgodność z wymaganiami metodyki SIM3: Security Incident Management Maturity Model. W efekcie tych działań Bank jako pierwsza organizacja w sektorze finansowym w Polsce będzie posiadała certyfikowany CERT.

Dołączenie do międzynarodowych organizacji pozwala zespołowi CERT Banku na bardziej skuteczne i szybsze reagowanie na zagrożenia cyberbezpieczeństwa poprzez współpracę operacyjną oraz wymianę doświadczeń i wiedzy z podobnymi jednostkami na całym świecie. Członkostwo jest również potwierdzeniem wysokiego poziomu realizowanych usług oraz uznaniem dla profesjonalizmu i umiejętności w zakresie zapewniania bezpieczeństwa informatycznego Banku.

W 2018 roku Bankowe Centrum Cyberbezpieczeństwa powołało zespół CERT działający przy ZBP – FinCERT.pl. Zespół ten w wyniku udzielonego przez PKO Bank Polski SA poparcia dołączył do Trusted Introducer.

Wysoka dojrzałość organizacyjna w obszarze obsługi incydentów cyberbezpieczeństwa jest szczególnie istotna w świetle decyzji KNF z 2018 roku o uznaniu PKO Banku Polskiego SA operatorem usługi kluczowej w rozumieniu ustawy o krajowym systemie cyberbezpieczeństwa.

Bezpieczeństwo fizyczne Klientów

Bank i pozostałe podmioty Grupy Kapitałowej Banku spełniają postulat zapewnienia Klientom w placówkach najwyższej jakości obsługi bezpośredniej m.in. poprzez zapewnienie właściwych standardów komfortu i bezpieczeństwa. W placówkach podmiotów Grupy Kapitałowej Banku prowadzących działalność detaliczną, w tym w Banku, stosowane są najnowocześniejsze rozwiązania techniczne zapewniające bezpieczeństwo fizyczne Klientów i ich środków finansowych, oraz ochrona fizyczna i monitoring.

W Banku prowadzone są szkolenia z zakresu bezpieczeństwa dla pracowników oddziałów i agencji, w tym pt. „Przeciwdziałanie napadom i postępowanie w sytuacjach zagrożenia bezpieczeństwa”.

W trosce o bezpieczeństwo Klientów i pracowników, w ramach szkolenia BHP, w 2010 roku wprowadzono w Banku obowiązkowy kurs z pierwszej pomocy przedmedycznej. W 2018 roku przeszkolono 5477 pracowników (w ramach obowiązkowych szkoleń okresowych) oraz dodatkowo 39 osób zostało przeszkolonych z samej pierwszej pomocy w ramach indywidualnych pokazów zorganizowanych za zgodą Dyrektora Biura BHP. Od początku działania programu przeszkolono łącznie ponad 25 tys. osób.

W procesie dialogu z Klientami dotyczącego m.in. oferowanych produktów prowadzone są w Banku badania satysfakcji Klienta w podziale na dwa główne segmenty: Klienta detalicznego i Klienta korporacyjnego. Większość badań w Grupie Kapitałowej Banku prowadzonych jest przez Bank, spółki nie prowadzą własnych procesów ankietowych. Wyjątkiem jest KREDOBANK SA.

Badania satysfakcji Klienta detalicznego

W 2018 roku Bank kontynuował strategiczne podejście do kwestii satysfakcji Klienta, co skutkowało nie tylko realizacją dotychczas prowadzonych badań w zakresie identyfikacji poziomu satysfakcji Klientów, ale także wdrożeniem mechanizmu uwzględniającego czynnik zadowolenia Klienta w toku projektowania i wdrażania najważniejszych produktów i rozwiązań oferowanych przez Bank Klientom.

Bank w zakresie Klientów detalicznych prowadził dwa rodzaje badań satysfakcji:

  • Badania relacyjne – realizowane we wszystkich segmentach Klientów, w tym w firmach i przedsiębiorstwach, mierzące siłę relacji z Bankiem i satysfakcję ze współpracy w wymiarze ogólnym, obejmującym całość doświadczeń Klienta,
  • Badania transakcyjne – realizowane w kluczowych punktach styku Klienta z Bankiem, bezpośrednio po zdarzeniu, mierzące zadowolenie z danej, określonej w miejscu i czasie interakcji w tym także badania na potrzeby projektowania i wdrażania procesów.

W obu rodzajach badań wykorzystywane są zarówno wskaźniki Net Promoter Score (NPS), jak i Customer Satisfaction Index (CSI).

Badania satysfakcji Klientów zazwyczaj prowadzone są metodą wywiadów telefonicznych. Realizacja badań relacyjnych najczęściej zlecana jest zewnętrznym firmom badawczym, a badania transakcyjne realizowane są własnymi zasobami Banku za pośrednictwem Call Center.

Ogółem w 2018 roku Bank przeprowadził różnymi metodami blisko 130 tys. wywiadów z Klientami rynku detalicznego. Plany obejmują stałe zwiększanie liczby monitorowanych pod kątem satysfakcji Klientów procesów (produktów oraz kanałów sprzedaży) – w 2019 roku przeprowadzonych zostanie ok. 170 tys. wywiadów.

Również KREDOBANK SA w swoich codziennych działaniach prowadzi aktywności nakierowane na monitorowanie poziomu satysfakcji swoich Klientów detalicznych. Podstawową miarą satysfakcji w badaniach KREDOBANK SA jest wskaźnik Net Promoter Score (NPS). W 2018 roku KREDOBANK SA przeprowadził ponad 3,5 tys. wywiadów, w 2019 roku planowana jest dalsza ekspansja badań tj. przeprowadzenie ponad 4 tys. wywiadów.

 

Badania satysfakcji Klienta korporacyjnego

Dla segmentu Klienta korporacyjnego rok 2018 to drugi pełny rok funkcjonowania Programu NPS (wdrożonego również dla spółek PKO Leasing SA i PKO Faktoring SA). Kontynuowano wywiady telefoniczne prowadzone z Klientami bankowości korporacyjnej, strategicznej i międzynarodowej, aby lepiej zrozumieć jak postrzegają oni swoją relację z Grupą Kapitałową Banku, poszczególne produkty i kanały obsługi. Klienci dobrze odbierają tę formę dialogu, co potwierdza utrzymujący się wysoki wskaźnik odpowiedzi (Response Rate) na poziomie 64%.

Zadaniem Programu jest reagowanie na potrzeby Klientów, zarówno w trybie kontaktu z poszczególnymi podmiotami, jak i budowania długoterminowych rozwiązań. Od początku istnienia programu zakończono implementację 71 inicjatyw, z czego 31 w 2018 roku. Zmiany wdrożono między innymi w zakresie digitalizacji kolejnych procesów obsługi, systemu rozliczeń PKO Leasing SA, modelu obsługi oraz systemu w PKO Faktoring SA. Podejmowane działania przynoszą mierzalne efekty – w stosunku do 2017 roku NPS relacyjny dla Klientów korporacyjnych wzrósł o 5 punktów procentowych.

PKO Bank Polski SA działa według przepisów wewnętrznych Banku dotyczących zasad prowadzenia działalności marketingowej. Bank w komunikacji marketingowej przestrzega norm, które opisane zostały w załączniku do tych zasad, noszącym nazwę „Ogólne wymogi tworzenia przekazów reklamowych dotyczących obrotu instrumentami finansowymi”.

Przepisy wewnętrzne Banku dotyczące zasad prowadzenia działalności marketingowej określają cechy właściwego przekazu reklamowego, jak też katalog działań niepożądanych. Zgodnie z postanowieniami tych zasad przekaz reklamowy, w szczególności:

  • powinien być konstruowany w sposób rzetelny, nie wprowadzać w błąd oraz cechować się poszanowaniem powszechnie obowiązujących przepisów prawa, zasad uczciwego obrotu oraz dobrych obyczajów,
  • nie może eksponować korzyści w taki sposób, który powodowałby umniejszenie znaczenia kosztów i ryzyk związanych z nabyciem produktu lub usługi.

Bank, poza przyjętymi wewnętrznymi regulacjami, w ramach komunikacji marketingowej kieruje się również:

  • „Kodeksem etyki bankowej (Zasady dobrej praktyki bankowej)” Związku Banków Polskich,
  • „Dobrymi Praktykami w zakresie standardów reklamowania kredytu konsumenckiego” wypracowanymi w ramach współpracy Związku Banków Polskich, Konferencji Przedsiębiorstw Finansowych i Związku Firm Pożyczkowych,
  • „Zasadami reklamowania usług bankowych” Komisji Nadzoru Finansowego,
  • „Kanonem dobrych praktyk rynku finansowego” opracowanym przez podmioty sektora finansowo-ubezpieczeniowego.

W ramach własnej działalności marketingowej Bank posiada mechanizmy, które zapobiegają powstawaniu nieetycznych oraz nierzetelnych komunikatów. Poprawność komunikacji marketingowej za każdym razem opiniowana jest także przez jednostki, które w ramach swoich obowiązków mają za zadanie weryfikację zgodności komunikatów z powszechnie obowiązującymi przepisami prawa.

Zasady etyki komunikacji marketingowej i mechanizmy zapobiegania ryzyku nieetycznych i nierzetelnych przekazów odnoszą się również do materiałów przygotowywanych na zlecenie Banku przez podmioty zewnętrzne (agencje reklamowe, agencje eventowe).

Jednakowe standardy stosowane są wobec wszystkich grup Klientów. Każdy komunikat musi być sformułowany w sposób zrozumiały, rzetelny i wiarygodny, bez względu na to, do jakiego Klienta jest kierowany.

W ramach Grupy Kapitałowej Banku podmioty zależne posiadają przepisy wewnętrzne, które nakładają na nie obowiązek konstruowania komunikatów przy zachowaniu standardów etyki (nie dotyczy podmiotów, które nie prowadzą aktywnej działalności marketingowej). Standardy te pokrywają się z przyjętymi przez Bank. Dodatkowo pozostałe podmioty Grupy Kapitałowej Banku, które zawarły z Bankiem umowy dotyczące zlecania usług marketingowych, zobowiązane są do stosowania przepisów wewnętrznych Banku w zakresie komunikacji marketingowej.

Każdy z pozostałych podmiotów Grupy Kapitałowej Banku w zakresie swojej działalności marketingowej posiada mechanizmy kontrolne, które zapobiegają ryzyku nieodpowiedzialnej lub nieetycznej komunikacji ze strony podmiotu. Komunikacja marketingowa jest zatwierdzana odpowiednio przez jednostki nadzorujące dany podmiot, bądź dodatkowo – w przypadku spółek, które zawarły z Bankiem umowy dotyczące zlecania usług marketingowych dla Grupy Kapitałowej Banku – przez odpowiednie komórki merytoryczne Banku.

W zakresie prowadzonej przez Grupę Kapitałową Banku i Bank działalności marketingowej, w 2018 roku nie były prowadzone żadne postępowania administracyjne związane z naruszeniem regulacji dotyczących etyki w komunikacji marketingowej.

W marcu 2018 roku miała miejsce sytuacja o charakterze incydentalnym, w której jeden z oddziałów podjął się dystrybucji ulotki dotyczącej pożyczki gotówkowej niezgodnej z zasadami ustawy o kredycie konsumenckim. Z uwagi na powyższe działania Prezes UOKIK skierował do PKO Banku Polskiego SA wezwanie do dobrowolnego zaniechania stosowania praktyk naruszających zbiorowy interes konsumentów. Pomysł na dystrybucję ulotki oraz jej treść nie były konsultowane z Centralą Banku i nie uzyskały jej akceptacji. Oddział zaniechał dystrybuowania ulotki reklamowej oraz w celu zapobieżenia podobnym praktykom w przyszłości, Bank przekazał do sieci oddziałów komunikat przypominający o zakazie samodzielnego tworzenia materiałów marketingowych.

PKO Bank Polski SA, zgodnie z powszechnie obowiązującymi przepisami, w tym z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, zwane RODO) oraz ustawą z 10 maja 2018 roku o ochronie danych osobowych, posiada wewnętrzne przepisy dotyczące ochrony danych osobowych.

Wspomniane regulacje dotyczą zasad przetwarzania danych osobowych w Banku, w szczególności sposobu ich przetwarzania oraz środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych. Dodatkowo w Banku obowiązują przepisy wewnętrzne dotyczące w szczególności:

  • bezpieczeństwa informacji chronionych,
  • bezpieczeństwa systemu informatycznego,
  • ochrony osób i mienia,
  • zarządzania incydentami bezpieczeństwa,
  • prowadzenia postępowań wyjaśniających,
  • opracowywania i wdrażania mechanizmów bezpieczeństwa.

Zarządzanie ryzykiem nieuprawnionego dostępu do informacji o Klientach

Ryzyko nieuprawnionego dostępu do informacji o Klientach zarządzane jest zgodnie z Polityką Bezpieczeństwa w PKO Banku Polskim SA. Natomiast w Zasadach bezpieczeństwa informacji chronionych w PKO Banku Polskim SA są uregulowane kwestie dotyczące poufności informacji i zachowania tajemnicy bankowej oraz bezpieczeństwa danych osobowych, w tym odpowiedzialność pracowników Banku w zakresie ochrony danych osobowych. Zgodnie z powyższymi zasadami:

  • dostęp do informacji chronionych w Banku posiadają pracownicy wyłącznie w zakresie powierzonych zadań i obowiązków służbowych,
  • pracownicy przed rozpoczęciem przetwarzania informacji chronionych realizują szkolenia z zakresu bezpieczeństwa informacji chronionych,
  • w przypadku udostępniania podmiotom zewnętrznym materiałów zawierających informacje chronione zawierana jest pomiędzy stronami umowa o zachowaniu poufności, zaś w przypadku powierzenia przetwarzania danych osobowych, zawierana jest umowa o powierzeniu przetwarzania danych osobowych.

Każdy z pozostałych podmiotów Grupy Kapitałowej Banku przetwarzający dane osobowe, na którym spoczywa obowiązek posiadania odpowiednich regulacji w tym zakresie, przepisy takie posiada i stosuje je w praktyce. Są one zgodne z powszechnie obowiązującymi przepisami oraz ze standardami stosowanymi w Banku, a w niezbędnym zakresie zawierają regulacje szczególne, adekwatne do specyfiki działalności konkretnego podmiotu.

Od czasu rozpoczęcia obowiązywania ogólnego rozporządzenia o ochronie danych, tj. od 25 maja 2018 roku, przypadki naruszenia ochrony danych osobowych skutkujące ryzykiem naruszenia praw i wolności osób fizycznych są zgłaszane do Prezesa UODO.

Wyniki wyszukiwania: