Tyto informace o ochraně osobních údajů jsou k dispozici ve více jazycích. Závazná a právně účinná je výhradně německá verze. Ostatní jazykové verze slouží pouze k vaší informaci.
finAPI GmbH (dále jen „finAPI“), Adams-Lehmann-Straße 44, D-80797 Mnichov (AG München, HRB
175250), e-mail: kontakt@finapi.io.
Pověřenec pro ochranu osobních údajů finAPI je dostupný na výše uvedené adrese (na oddělení Ochrana osobních
údajů)
nebo na e-mailu datenschutz@finapi.io.
a) finAPI je platební instituce pod dohledem německého federálního orgánu BaFin,
která poskytuje služby informování o účtu a služby iniciace plateb.
V rámci služby informování o účtu poskytujeme prostřednictvím vašeho poskytovatele služby (např. internetový
obchodník,
úvěrující banka, platforma finanční správy, poskytovatel hodnocení úvěruschopnosti) službu, která vám umožňuje
získávat informace o účtu, případně je dle požadované služby připravit
(např. kategorizace dat jako stanovení příjmů, nájemného, počtu vrácených inkas) a
následně je poskytnout vašemu poskytovateli služby. Za tímto účelem se přihlásíte do internetového bankovnictví
přes naše webové rozhraní
nebo přes webové rozhraní vaší banky. finAPI poté vaše informace o účtu
u vaší banky získá a předá vybranému poskytovateli služby informace o účtu,
které jsou nezbytné pro plnění dané služby.
Služba iniciace plateb vám umožňuje iniciovat platební příkazy a platební transakce u vašeho
poskytovatele účtu. Před podáním může být ověřen váš disponibilní limit.
K poskytování služeb informování o účtu a iniciace plateb je nezbytné zpracování vašich osobních údajů.
Účelem zpracování je především plnění našich smluvních povinností
vůči vám jako koncovému uživateli či zájemci a vůči našim zákazníkům (vašemu poskytovateli služby).
b) Jako platební instituce podléhá finAPI zvláštním dohledovým požadavkům a regulatorním povinnostem, jako je předcházení, odhalování a zjišťování podvodů nebo předcházení financování terorismu. Při využívání služeb informování o účtu a iniciace plateb finAPI mohou být vaše osobní údaje námi zpracovávány také za účelem splnění takových zákonných povinností.
c) V rámci platebního styku a pro zvýšení bezpečnosti vašich transakcí provádíme ověření příjemce (= Verification of Payee – VOP podle nařízení EU o okamžitých platbách (EU) 2024/886). Jméno a IBAN příjemce jsou automaticky porovnávány s údaji uloženými u banky příjemce. Týká se to převodů SEPA a okamžitých převodů SEPA v rámci EU/EHP; jiné účty, které nejsou platebními účty, jsou z této úpravy vyloučeny (např. spořicí účty). Firemní zákazníci (podniky) mohou jako plátci u souborových (hromadných) plateb ověření příjemce dobrovolně vyloučit. Zpracování těchto údajů slouží výhradně k umožnění přiřazení a ověření příjemce v rámci bezpečnostních pravidel pro platební služby.
d) Zajištění bezpečnosti IT a provozu IT může za určitých okolností vyžadovat zpracování vašich osobních údajů. Dále zpracováváme získaná data v rozsahu povoleném zákonem a vždy v nezbytném rozsahu pro interní účely. To zahrnuje zpracování pro zajištění kvality (např. provádění vyhodnocení a analýz našich služeb), zlepšování a rozšiřování našich služeb (např. učení kategorizace pohybů na účtu) a s tím související výzkumné a vývojové aktivity finAPI nebo s ní spojených společností. Dále můžeme vaše osobní údaje případně zpracovávat pro vlastní správu pohledávek nebo přímý marketing vlastních služeb. Pokud nás kontaktujete, např. e-mailem, zpracováváme vámi poskytnuté údaje za účelem vyřízení žádosti a případné následné korespondence. Kde je to možné, údaje anonymizujeme nebo pseudonymizujeme.
e) Služby finAPI jsou k dispozici také pro účty ve Spojeném království (dále „UK účty“). Napojení UK účtů probíhá prostřednictvím partnera token.io Ltd. (dále „partner token“), který má povolení britských orgánů k poskytování finančních služeb (služby informování o účtu a iniciace plateb). Prostřednictvím vámi zvoleného poskytovatele služby se dostanete na webové rozhraní finAPI, které na pozadí využívá služby token. Pro využití požadovaných služeb budete přesměrováni na webovou stránku příslušné banky pro přihlášení do internetového bankovnictví.
f) Partner token získá požadované informace o účtu u vaší banky, předá je finAPI k
dalšímu dohodnutému zpracování (např. kategorizaci) a poskytne údaje potřebné pro danou službu
vašemu poskytovateli služby.
Služba iniciace plateb vám umožňuje iniciovat platební příkazy a transakce u vašeho
poskytovatele účtu v UK prostřednictvím partnera token. K tomu předáváme
našemu partnerovi token vámi poskytnuté údaje za účelem iniciace platby.
Další informace o zpracování údajů s token naleznete v bodě 3 těchto
informací o ochraně osobních údajů.
g) Zpracování vašich osobních údajů může být nezbytné, pokud se na nás váš poskytovatel služby obrátí v případě technických problémů nebo dotazů souvisejících s našimi službami. Zpracovány budou pouze osobní údaje nezbytné k objasnění věci.
h) Pokud se na nás obrátíte jako koncový uživatel, budou vaše údaje zpracovány výhradně za účelem komunikace s vámi. To platí i v případě, že jako spotřebitel chcete uplatnit svá práva subjektu údajů dle GDPR (viz bod 4).
i) Pokud využíváte naše služby k úhradě online nákupů, mohou být ve výjimečných případech a při kontrolách ze strany našeho dodavatele zpracovávány vaše osobní údaje. Děje se tak za účelem ověření správnosti vyúčtování provizí z plateb. Kde je to možné, tyto osobní údaje anonymizujeme.
j) Vaše osobní údaje jsou dále předávány orgánům nebo institucím, pokud k tomu existuje zákonná povinnost, nebo vybraným třetím osobám (např. v případě právního poradenství).
Osobní údaje zpracováváme na základě příslušných předpisů na ochranu osobních údajů, zejména
obecného nařízení o ochraně osobních údajů (GDPR) a nové německé spolkové úpravy (BDSGneu), jakož i
v souladu s ustanoveními německého zákona o dohledu nad platebními službami (ZAG).
Osobní údaje zpracováváme na základě čl. 6 odst. 1 písm. b) GDPR a § 59 odst. 2 ZAG
za účelem provedení předběžných opatření, plnění smluvních povinností finAPI vůči
našim zákazníkům (vašemu poskytovateli služby) a vůči vám jako koncovému uživateli nebo zájemci. Podrobnosti
naleznete v naší uživatelské smlouvě, která upravuje vaše využívání našich služeb informování o účtu a
iniciace plateb.
Dále zpracováváme vaše údaje v nezbytně nutném rozsahu na základě čl. 6 odst. 1
písm. c) GDPR za účelem plnění zákonných, zejména dohledových povinností. Podle čl. 6 odst. 1
písm. f) GDPR můžeme vaše osobní údaje zpracovávat, pokud je zpracování nezbytné k ochraně oprávněných zájmů
finAPI nebo třetí strany a nepřevažují vaše zájmy nebo základní práva a svobody,
které vyžadují ochranu osobních údajů. Zpracování osobních údajů
probíhá pouze tehdy, je-li po zvážení všech zájmů přípustné. Oprávněný zájem vyplývá z cílů
uvedených v bodě 3.1 a může mít i ekonomickou povahu.
Údaje o účtu, které mají být zpřístupněny vašemu poskytovateli služby, mohou případně obsahovat zvláštní
kategorie osobních údajů (viz čl. 9 odst. 1 GDPR). Může se jednat o údaje
o vašem rasovém či etnickém původu, politických názorech, náboženském či filozofickém přesvědčení,
členství v odborech, zdravotním stavu nebo o sexuálním životě či orientaci.
Například z účelů plateb nebo z příjemců lze dovodit odpovídající závěry.
Přípustnost zpracování těchto údajů pro poskytování služby sjednáváte se svým
poskytovatelem služby.
Nejste povinni nám poskytovat osobní údaje. Bez vašich údajů však nemůžeme plnit
smluvní vztah a poskytovat dohodnuté služby.
Vaše osobní údaje zpracováváme v souvislosti se službami informování o účtu a iniciace plateb. Osobní údaje vznikající v této souvislosti pocházejí z úvěrových a finančních institucí, karetních společností a dalších poskytovatelů finančních dat, k nimž je přístup získáván pouze s vaším souhlasem a po vašem přihlášení do internetového bankovnictví prostřednictvím naší aplikace finAPI nebo — u UK účtů — prostřednictvím partnera token. Původ údajů se tedy může lišit v závislosti na použité službě. Protože přístup k účtům vždy vyžaduje váš souhlas, jsou vám účty zpřístupněné pro přístup ze strany finAPI a v nich obsažené osobní údaje známy. Vaše osobní údaje k nám mohou přicházet také přes vašeho poskytovatele služby (např. v případě technických problémů) nebo přímo od vás (např. z vašeho e-mailového dotazu).
Vaše osobní údaje zpracováváme v Německu nebo v EU; další informace naleznete v bodě 3.6.
a) Příjemci pro účely uvedené v bodě 3.1 písm. a) jsou zákazníci finAPI se sídlem v Evropském hospodářském prostoru a ve Švýcarsku a případně v dalších třetích zemích (pokud pro ně existuje rozhodnutí Evropské komise o odpovídající úrovni ochrany nebo jsou sjednány standardní smluvní doložky, které lze nalézt na https://www.finapi.io/datenschutz-dsgvo/) (tj. vámi zvolený poskytovatel). Dalšími příjemci pro účely uvedené v bodě 3.1 písm. b) mohou být externí zpracovatelé finAPI dle čl. 28 GDPR a externí i interní útvary finAPI. Pro účely uvedené v bodě 3.1 písm. b) může finAPI předávat zákaznická data třetím osobám v nezbytném a zákonem dovoleném rozsahu (např. externím poskytovatelům služeb jako IT poskytovatelům, provozovatelům aplikací pro koncové uživatele na základě služeb finAPI, propojeným společnostem nebo obchodním partnerům, jakož i institucím vedoucím účty). Citlivé přístupové údaje umožňující přístup k informacím o účtu u vašich poskytovatelů účtu jsou finAPI předávány výhradně příslušné instituci vedoucí účet, nikoli jiným třetím osobám. finAPI dále podléhá zákonným zásahovým oprávněním orgánů veřejné moci.
b) Vaše osobní údaje zpracováváme v datových centrech v Německu nebo v EU prostřednictvím hostingu
Amazon Web Services. Poskytovatelem služby je Amazon Web Services EMEA SARL, 5 rue
Plaetis, Luxembourg, L-2338, Lucembursko. S poskytovatelem jsme uzavřeli smlouvu o zpracování údajů
podle čl. 28 GDPR.
Sídlo poskytovatele je v USA, a proto může ve výjimečných případech docházet k přenosu údajů mezi
Amazon Web Services EMEA SARL a mateřskou společností. Pro zpracování používáme vícevrstvý
šifrovací systém. Osobní údaje nejsou nikdy na serverech AWS dostupné v nešifrované podobě a nemohou do nich
nahlížet ani AWS, ani třetí osoby
(včetně americké mateřské společnosti). Šifrování probíhá podle aktuálního stavu techniky a splňuje požadavky
GDPR.
Více informací o údajích zpracovávaných při použití Amazon Web Services (AWS) naleznete v zásadách ochrany
soukromí: https://aws.amazon.com/de/privacy/.
c) Při napojení některých bankovních účtů z EU zpracováváme údaje prostřednictvím token GmbH, c/o
Industrious, Schicklerstraße 5, 10179 Berlín. Při napojení UK účtů používáme pro tyto služby
token.io Ltd., 4th Floor, 70 St Mary Axe, London, EC3A 8BE, Anglie, jehož zpracování údajů probíhá smluvně v
EU. S poskytovatelem jsme uzavřeli smlouvu o zpracování podle čl. 28 GDPR.
Ve výjimečných případech může dojít k přenosu údajů mezi token GmbH a token.io Ltd. a propojenou společností
token Inc., 548 Market Street, STE 57805, San Francisco, CA, 94104-5401, USA. Pro případné přenosy
byly mezi token GmbH, token.io Ltd. a token Inc. uzavřeny standardní smluvní doložky jako vhodné záruky
dle čl. 46 odst. 1 a 2 písm. c) GDPR. Další informace o ochraně údajů u partnera token: https://token.io/policies/privacy-policy
d) Naše služby GiroIdent Plus, GiroIdent Ochrana mládeže a GiroIdent GwG nabízejí další ověření jména, adresy a data narození; u služby GiroIdent GwG navíc IBAN. K tomu používáme porovnání s databází SCHUFA Holding AG, Komoranweg 5, 65201 Wiesbaden. SCHUFA Holding AG je spolehlivá a bezpečná úvěrová informační agentura. Poskytovateli jsou předávány pouze ty osobní údaje, které jsou pro službu nezbytné. Další informace o ochraně údajů u SCHUFA: https://www.meineschufa.de/de/datenschutzhinweis.
e) Pro rychlou a efektivní podporu v případě technických problémů či dotazů používáme v procesu zpracování
náš tiketovací systém, softwarové řešení společnosti Zendesk, 989 Market St, San Francisco, CA 94103,
USA. Jakmile váš poskytovatel služby kontaktuje naši podporu, je automaticky vytvořen tiket.
S poskytovatelem máme smluvně dohodnuto, že zpracování osobních údajů probíhá výhradně v EU.
Pro případné přenosy údajů do USA používá Zendesk standardní smluvní doložky, které jako vhodné záruky dle
čl. 46 odst. 1 a 2 písm. c) splňují požadavky na ochranu údajů. S poskytovatelem máme uzavřenu smlouvu o
zpracování
podle čl. 28 GDPR.
Další informace o ochraně údajů u Zendesk: https://www.zendesk.de/company/agreements-and-terms/privacy-notice/
V případě technických dotazů nebo poruch rozhraní FinTS bank, která získáváme prostřednictvím B+S Banksysteme
Aktiengesellschaft, kontaktujeme zákaznickou podporu B+S (Banksysteme Aktiengesellschaft,
Elsenheimerstraße 45, 80687 Mnichov, resp. B+S Banksysteme Salzburg GmbH, Siezenheimer Straße 39a, A-5020
Salzburg). Zákazník, tedy váš poskytovatel služby, obdrží prostřednictvím tiketového systému Zendesk informaci,
pokud
bylo nutné další zpracování přes B+S. S tímto poskytovatelem máme uzavřenu smlouvu o zpracování
dle čl. 28 GDPR. Další informace o ochraně údajů
B+S Banksysteme Aktiengesellschaft: https://bs-ag.com/wir-uber-uns/datenschutz/
Osobní údaje uchováváme pouze po určitou dobu. Rozhodujícím kritériem pro stanovení této doby je nezbytnost. Osobní údaje jsou proto uchovávány a zpracovávány tak dlouho, jak je to pro příslušné účely nezbytné. Upozorňujeme, že obchodní vztah s vámi může být dlouhodobý a finAPI zpracovává údaje nejméně do konce tohoto smluvního vztahu. Dále mohou platit obchodní, daňové a dohledové povinnosti uchovávání, dokumentace a poskytování informací, kterými je finAPI vázána. Takové lhůty zpravidla činí až deset let. Zpracování může být nezbytné i delší dobu, např. pro účely kontroly ochrany údajů, zálohování dat a právní obrany. Pokud již údaje nejsou pro účely zpracování potřebné, jsou vymazány.
Služby informování o účtu a iniciace plateb, které se týkají UK účtů, jsou poskytovány prostřednictvím partnera
token
(viz bod 3.1 písm. c) této informace), neboť ten má potřebné povolení britských orgánů.
Pro přístup k účtu a získání informací o účtu, jakož i pro služby iniciace plateb je token.io Ltd.,
4th Floor, 70 St Mary Axe, London, EC3A 8BE, Anglie, správcem ve smyslu GDPR; použijí se Podmínky
partnera token (podrobnější informace jsou uvedeny v obchodních podmínkách).
finAPI provádí činnosti zpřístupnění webového rozhraní resp. přesměrování
na webové rozhraní vaší banky (pro přihlášení do internetového bankovnictví u UK účtů) a přijetí
získaných informací o účtu jako zpracovatel ve smyslu GDPR. Za tímto účelem existuje
smlouva o zpracování údajů mezi partnerem token a finAPI.
Další zpracování informací o účtu (např. kategorizace) ve vztahu k UK účtům provádí
finAPI jako správce ve smyslu GDPR. Zpracování údajů popsané v bodě 2
se v této části použije obdobně.
V této souvislosti může být nezbytný přenos údajů z finAPI k partnerovi token, například
ve věcech podpory. Takové přenosy probíhají ve vašem oprávněném zájmu podle čl. 6 odst. 1
písm. b) GDPR. Pro Spojené království existuje rozhodnutí EU o odpovídající ochraně, takže
případný přenos do UK poskytuje stejnou úroveň ochrany jako v EU.
Další informace o ochraně údajů u partnera token: https://token.io/policies/privacy-policy
V případech, kdy finAPI vystupuje jako správce, máte právo na přístup dle čl. 15
GDPR, právo na opravu dle čl. 16 GDPR, právo na výmaz dle čl. 17 GDPR, právo
na omezení zpracování dle čl. 18 GDPR a právo na přenositelnost údajů dle čl. 20
GDPR. Tato práva můžete kdykoli uplatnit kontaktováním finAPI (kontaktní údaje viz bod
1). Dále máte možnost obrátit se na dozorový úřad. Příslušným dozorovým orgánem pro finAPI
je Bayerisches Landesamt für Datenschutzaufsicht.
Udělené souhlasy můžete kdykoli vůči finAPI odvolat. To platí i pro
souhlasy udělené před účinností GDPR. Odvolání souhlasu není na újmu zákonnosti
zpracování provedeného na základě souhlasu před jeho odvoláním.
Jsme povinni vás upozornit, že podle čl. 21 odst. 1 GDPR můžete z důvodů souvisejících s vaší konkrétní situací vznést námitku proti zpracování údajů na základě čl. 6 odst. 1 písm. e) a f) GDPR. Proti využívání vašich osobních údajů pro marketingové účely můžete dle čl. 21 odst. 2 GDPR kdykoli vznést námitku, a to celkově nebo proti jednotlivým opatřením. Námitku lze podat neformálně a je třeba ji zaslat na adresu finAPI GmbH, Adams-Lehmann-Straße 44, D-80797 Mnichov.
Pokud to vyžaduje vámi zvolený poskytovatel služby, mohou být po vámi iniciovaném přístupu k účtu
prostřednictvím naší aplikace automatizovaným zpracováním připravovány informace z vašeho účtu internetového
bankovnictví
(kategorizace) a předávány vašemu poskytovateli služby, což umožňuje vyvozovat závěry o vaší
osobní a ekonomické situaci (např. průměrný příjem, nájemné, úvěrové závazky,
počet vrácených inkas). Automatizované zpracování může být u označených služeb prováděno také
našimi systémy využívajícími algoritmy umělé inteligence. Tyto systémy jsou
implementovány v rámci architektury finAPI, tzn. údaje se nepředávají třetím osobám, zejména
poskytovatelům umělé inteligence.
Nerozhodujeme o případném uzavření produktu, o který můžete usilovat (např.
poskytnutí úvěru). To je výhradně v kompetenci vašeho poskytovatele služby. O případném profilování a
automatizovaném rozhodování na své straně vás bude informovat váš poskytovatel služby.