Deze informatie over gegevensbescherming is beschikbaar in meerdere talen. Uitsluitend de Duitse versie is leidend en juridisch bindend. Andere taalversies dienen uitsluitend ter informatie.
finAPI GmbH (hierna „finAPI”), Adams-Lehmann-Straße 44, D-80797 München (AG München, HRB
175250), e-mail: kontakt@finapi.io.
De functionaris voor gegevensbescherming van finAPI is bereikbaar op voornoemd adres (t.a.v. afdeling
Gegevensbescherming)
of per e-mail via datenschutz@finapi.io.
a) finAPI is een betaaldienstinstelling die onder toezicht staat van de Duitse federale toezichthouder BaFin
en biedt rekeninginformatiediensten en betaalinitiatiediensten.
Met de rekeninginformatiedienst leveren wij via uw dienstaanbieder (bijv. onlinehandelaar,
kredietverstrekkende bank, financieel managementplatform, aanbieder van kredietwaardigheidsbeoordelingen) een
dienst waarmee u
uw rekeninginformatie kunt ophalen, deze desgewenst en afhankelijk van de gekozen dienst kunt voorbereiden
(bijv. datacategorisering zoals vaststelling van inkomsten, huurkosten, aantal storneringen) en
vervolgens aan uw dienstaanbieder kunt verstrekken. Hiervoor logt u via onze webinterface
of via de webinterface van uw bank in op uw onlinebankieren. finAPI haalt vervolgens uw rekeninginformatie
bij uw bank op en verstrekt aan de door u geselecteerde dienstaanbieder de rekeninginformatie
die voor de betreffende prestatie noodzakelijk is.
Met de betaalinitiatiedienst stellen wij u in staat betaalopdrachten en betalingstransacties bij uw
rekeningaanbieder te initiëren. Voor verzending kan uw bestedingsruimte worden gecontroleerd.
Voor het leveren van de rekeninginformatie- en betaalinitiatiediensten is verwerking van uw persoonsgegevens
noodzakelijk.
Doel van de verwerking is primair het nakomen van onze contractuele verplichtingen
jegens u als eindgebruiker of geïnteresseerde, alsmede jegens onze klanten (uw dienstaanbieder).
b) Als betaaldienstinstelling is finAPI onderworpen aan specifieke toezichtvereisten en regelgevende plichten, zoals het voorkomen, opsporen en vaststellen van fraude of het voorkomen van terrorismefinanciering. Wanneer u de rekeninginformatie- en betaalinitiatiediensten van finAPI gebruikt, kunnen uw persoonsgegevens door ons ook worden verwerkt ter naleving van dergelijke wettelijke verplichtingen.
c) In het kader van het betalingsverkeer en ter verhoging van uw transactieveiligheid voeren wij een verificatie van de begunstigde uit (= Verification of Payee (VOP) overeenkomstig de EU-verordening Instant Payments Regulation (EU) 2024/886). Hierbij worden de naam en IBAN van de begunstigde automatisch vergeleken met de bij de bank van de begunstigde opgeslagen gegevens. Dit betreft SEPA-overboekingen en SEPA-instantbetalingen binnen de EU/EER; andere rekeningen die geen betaalrekeningen zijn, zijn uitgesloten (bijv. spaarrekeningen). Zakelijke klanten (ondernemingen) kunnen als opdrachtgever vrijwillig de begunstigdecontrole bij verzamelbetalingen uitsluiten. De verwerking van deze gegevens dient uitsluitend om een toewijzing en controle van de begunstigde mogelijk te maken in het kader van de veiligheidsvoorschriften voor betaaldiensten.
d) Ook het waarborgen van IT-veiligheid en IT-bedrijfsvoering kan onder omstandigheden vereisen dat uw persoonsgegevens worden verwerkt. Daarnaast verwerken wij de opgehaalde gegevens in de wettelijk toegestane en telkens vereiste omvang voor interne doeleinden. Dit omvat verwerking voor kwaliteitsborging (bijv. het uitvoeren van evaluaties en analyses van onze diensten), voor verbetering en uitbreiding van onze services (zoals het trainen van de categorisering van rekeningtransacties) en de daarmee samenhangende onderzoeks- en ontwikkelingsactiviteiten van finAPI of gelieerde ondernemingen. Voorts verwerken wij uw persoonsgegevens zo nodig voor eigen vorderingenbeheer of direct marketing voor eigen diensten. Wanneer u contact met ons opneemt, bijv. per e-mail, verwerken wij de door u verstrekte gegevens voor de behandeling van het verzoek en eventuele vervolgcorrespondentie. Waar mogelijk anonimiseren of pseudonimiseren wij uw gegevens.
e) finAPI-diensten zijn ook beschikbaar voor rekeningen uit het Verenigd Koninkrijk (hierna „UK-rekeningen”). De koppeling van UK-rekeningen vindt plaats via de partner token.io Ltd. (hierna „partner token”), die beschikt over een vergunning van de Britse autoriteiten voor het verrichten van financiële diensten (rekeninginformatie- en betaalinitiatiediensten). Via uw geselecteerde dienstaanbieder komt u op een webinterface van finAPI die op de achtergrond de diensten van token gebruikt. Voor het gebruik van de gewenste diensten wordt u doorgestuurd naar de website van de betreffende bank om in te loggen op het onlinebankieren.
f) De partner token haalt de gewenste rekeninginformatie bij uw bank op, stuurt deze door naar finAPI voor
de verdere overeengekomen verwerking (bijv. categorisering) en stelt de voor de dienst benodigde gegevens
aan uw dienstaanbieder ter beschikking.
Met de betaalinitiatiedienst stellen wij u in staat betaalopdrachten en betalingstransacties bij uw
rekeningaanbieder in het VK via de partner token te initiëren. Daartoe geven wij de door u verstrekte gegevens
door aan onze partner token ten behoeve van de betaalinitiatie.
Verdere informatie over de gegevensverwerking met token vindt u in punt 3 van deze
gegevensbeschermingsinformatie.
g) Het kan noodzakelijk zijn uw persoonsgegevens te verwerken wanneer uw dienstaanbieder zich, bij technische problemen of vragen in verband met onze dienstverlening, tot ons wendt. Er worden uitsluitend persoonsgegevens verwerkt die noodzakelijk zijn voor de opheldering van de feiten.
h) Indien u als eindgebruiker contact met ons opneemt, worden uw gegevens uitsluitend verwerkt voor communicatie met u. Dit geldt ook wanneer u als consument uw rechten volgens de AVG (zie paragraaf 4) wilt uitoefenen.
i) Indien u onze diensten gebruikt om uw onlineaankopen te betalen, kunnen in individuele gevallen en in het kader van controles door onze leverancier uw persoonsgegevens worden verwerkt. Dit gebeurt om de juistheid van de afrekening van betalingsprovisies te controleren. Waar mogelijk anonimiseren wij persoonsgegevens.
j) Uw persoonsgegevens worden voorts verstrekt aan autoriteiten of instellingen voor zover daartoe een wettelijke verplichting bestaat of aan geselecteerde derden (bijv. in het geval van juridische advisering).
Wij verwerken persoonsgegevens op basis van de toepasselijke privacywetgeving, in het bijzonder de
Algemene verordening gegevensbescherming (AVG) en de nieuwe Duitse federale wet op de gegevensbescherming
(BDSGneu), alsmede in
overeenstemming met de bepalingen van de Duitse wet toezicht betaaldiensten (ZAG).
Persoonsgegevens worden door ons verwerkt op grond van art. 6 lid 1 onder b AVG en § 59 lid 2 ZAG
voor het uitvoeren van precontractuele maatregelen, voor het nakomen van de contractuele verplichtingen van
finAPI jegens
onze klanten (uw dienstaanbieder) en jegens u als eindgebruiker respectievelijk geïnteresseerde. Details
vindt u in onze gebruiksovereenkomst die van toepassing is op uw gebruik van onze rekeninginformatie- en
betaalinitiatiediensten.
Daarnaast verwerken wij uw gegevens in strikt noodzakelijke omvang op grond van art. 6 lid 1
onder c AVG om te voldoen aan wettelijke, in het bijzonder toezichtsrechtelijke verplichtingen. Op grond van
art. 6 lid 1
onder f AVG kunnen wij uw persoonsgegevens verwerken voor zover de verwerking noodzakelijk is voor de
behartiging van
de gerechtvaardigde belangen van finAPI of een derde en niet de belangen of grondrechten en fundamentele
vrijheden
van de betrokkene, die bescherming van persoonsgegevens vereisen, zwaarder wegen. Verwerking
van persoonsgegevens vindt alleen plaats wanneer dit na een belangenafweging toelaatbaar is. Het
gerechtvaardigde belang vloeit voort uit de doeleinden volgens paragraaf 3.1 en kan bovendien economisch van
aard zijn.
De aan uw dienstaanbieder ter beschikking te stellen rekeninginformatie kan zo nodig bijzondere
categorieën van persoonsgegevens bevatten (vgl. art. 9 lid 1 AVG). Dit kan informatie betreffen over
uw ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen,
lidmaatschap van een vakbond, gezondheidsgegevens of gegevens over het seksleven of de seksuele geaardheid.
Uit betalingsomschrijvingen of begunstigden kunnen bijvoorbeeld dienovereenkomstige conclusies worden getrokken.
De toelaatbaarheid van de verwerking van deze gegevens voor het leveren van de dienst spreekt u af met uw
dienstaanbieder.
U bent niet verplicht ons persoonsgegevens te verstrekken. Zonder uw gegevens is het ons echter niet mogelijk
de contractuele relatie na te komen en de overeengekomen prestaties te leveren.
Wij verwerken uw persoonsgegevens in het kader van rekeninginformatie- en betaalinitiatiediensten. De daarbij vrijkomende persoonsgegevens zijn afkomstig van krediet- en financiële instellingen, creditcardmaatschappijen en andere aanbieders van financiële gegevens, waartoe uitsluitend met uw toestemming en na een overeenkomstige login door u in uw onlinebankieren via onze finAPI-toepassing of voor UK-rekeningen via de partner token toegang wordt verkregen. De herkomst van de gegevens kan derhalve verschillen al naargelang de gebruikte dienst. Aangezien de rekeningtoegang steeds uw toestemming vereist, zijn u de voor toegang door finAPI vrijgegeven rekeningen en de daarin opgenomen persoonsgegevens bekend. Uw persoonsgegevens kunnen ons ook bereiken via uw dienstaanbieder (bijv. bij technische problemen) of rechtstreeks via u (bijv. uit uw e-mailverzoek).
Wij verwerken uw persoonsgegevens in Duitsland of de EU; verdere informatie vindt u in paragraaf 3.6.
a) Ontvangers voor de doeleinden genoemd in paragraaf 3.1 onder a) zijn klanten van finAPI die gevestigd zijn in de Europese Economische Ruimte en in Zwitserland, alsmede eventueel in andere derde landen (voor zover daarvoor een passendheidsbesluit van de Europese Commissie bestaat of standaardcontractbepalingen zijn overeengekomen, die kunnen worden geraadpleegd via https://www.finapi.io/datenschutz-dsgvo/) (d.w.z. de door u gekozen aanbieder). Verdere ontvangers voor de doeleinden genoemd in paragraaf 3.1 onder b) kunnen externe verwerkers van finAPI zijn in de zin van art. 28 AVG alsook externe en interne afdelingen van finAPI. Voorts kan finAPI voor de doeleinden van paragraaf 3.1 onder b) in de noodzakelijke en wettelijk toelaatbare omvang klantgegevens ook aan derden doorgeven (bijv. externe dienstverleners zoals IT-dienstverleners, exploitanten van eindgebruikersapplicaties op basis van finAPI-diensten, gelieerde ondernemingen of zakenpartners, alsmede rekeninghoudende instellingen). Gevoelige toegangsgegevens die toegang tot rekeninginformatie bij uw rekeningaanbieders mogelijk maken, worden door finAPI uitsluitend doorgegeven aan de betreffende rekeninghoudende instelling en niet aan andere derden. finAPI is bovendien onderworpen aan de wettelijke interventiebevoegdheden van overheidsinstanties.
b) Wij verwerken uw persoonsgegevens in datacenters in Duitsland of de EU via hosting door
Amazon Web Services. De dienstverlener is Amazon Web Services EMEA SARL, 5 rue
Plaetis, Luxembourg, L-2338, Luxemburg. Met de dienstverlener hebben wij een verwerkersovereenkomst
overeenkomstig art. 28 AVG gesloten.
De zetel van de aanbieder is in de VS, zodat in uitzonderlijke gevallen gegevensoverdracht kan plaatsvinden
tussen
Amazon Web Services EMEA SARL en het moederconcern. Voor de verwerking gebruiken wij een meerlagig
versleutelingssysteem. Persoonsgegevens zijn op geen enkel moment onversleuteld op AWS-servers
toegankelijk en kunnen noch door AWS noch door derden (inclusief het Amerikaanse moederconcern)
worden ingezien. De versleuteling vindt plaats volgens de stand van de techniek en voldoet aan de eisen
van de AVG.
Meer informatie over de gegevens die via het gebruik van Amazon Web Services (AWS) worden verwerkt, vindt u in
het privacybeleid: https://aws.amazon.com/de/privacy/.
c) Bij de koppeling van sommige bankrekeningen uit de EU verwerken wij de gegevens via token GmbH, c/o
Industrious, Schicklerstraße 5, 10179 Berlijn. Bij de koppeling van UK-rekeningen gebruiken wij voor deze
diensten
token.io Ltd., 4th Floor, 70 St Mary Axe, London, EC3A 8BE, Engeland, waarvan de gegevensverwerking contractueel
in
de EU plaatsvindt. Met de dienstverlener hebben wij een verwerkersovereenkomst overeenkomstig art. 28 AVG
gesloten.
In uitzonderlijke gevallen kan een gegevensoverdracht plaatsvinden tussen token GmbH en token.io Ltd. met de
gelieerde onderneming
token Inc., 548 Market Street, STE 57805, San Francisco, CA, 94104-5401, VS. Voor een
eventuele gegevensoverdracht zijn tussen token GmbH, token.io Ltd. en token Inc. standaardcontractbepalingen als
passende waarborgen ex art. 46 lid 1 en lid 2 onder c AVG gesloten. Verdere informatie over
gegevensbescherming van partner token vindt u op: https://token.io/policies/privacy-policy
d) Onze diensten GiroIdent Plus, GiroIdent Jeugdbescherming en GiroIdent GwG bieden aanvullende verificatie van naam, adres en geboortedatum; bij GiroIdent GwG tevens de IBAN. Hiervoor gebruiken wij een vergelijking met de databestanden van SCHUFA Holding AG, Komoranweg 5, 65201 Wiesbaden. SCHUFA Holding AG is een betrouwbare en veilige kredietinformatiebureau. Alleen de persoonsgegevens die voor de dienst noodzakelijk zijn, worden aan de aanbieder doorgegeven. Meer informatie over gegevensbescherming bij SCHUFA vindt u op: https://www.meineschufa.de/de/datenschutzhinweis.
e) Om snel en effectief ondersteuning te bieden bij technische problemen of vragen, gebruiken wij voor de
afhandeling ons ticketsysteem, een softwareoplossing van Zendesk, 989 Market St, San Francisco, CA 94103,
VS. Zodra uw dienstaanbieder contact opneemt met onze support, wordt automatisch een ticket aangemaakt.
Met de aanbieder is contractueel overeengekomen dat de verwerking van persoonsgegevens uitsluitend in de EU
plaatsvindt.
Voor eventuele gegevensoverdracht naar de VS gebruikt Zendesk standaardcontractbepalingen die als passende
waarborgen
ex art. 46 lid 1 en lid 2 onder c gegevensbeschermingsconform zijn. Met de dienstverlener hebben wij een
verwerkersovereenkomst
overeenkomstig art. 28 AVG gesloten.
Verdere informatie over gegevensbescherming bij Zendesk: https://www.zendesk.de/company/agreements-and-terms/privacy-notice/
Bij technische vragen of storingen van FinTS-interfaces van banken die wij via B+S Banksysteme
Aktiengesellschaft betrekken, nemen wij contact op met de klantenservice van B+S (Banksysteme
Aktiengesellschaft,
Elsenheimerstraße 45, 80687 München respectievelijk B+S Banksysteme Salzburg GmbH, Siezenheimer Straße 39a,
A-5020
Salzburg). De klant, d.w.z. uw dienstaanbieder, ontvangt via het Zendesk-ticketsysteem bericht indien
verdere gegevensverwerking via B+S noodzakelijk was. Met de dienstaanbieder hebben wij een
verwerkersovereenkomst overeenkomstig art. 28 AVG gesloten. Verdere informatie over gegevensbescherming bij
B+S Banksysteme Aktiengesellschaft: https://bs-ag.com/wir-uber-uns/datenschutz/
Wij bewaren persoonsgegevens slechts gedurende een bepaalde periode. Doorslaggevend criterium voor de vaststelling van deze periode is de noodzakelijkheid. Persoonsgegevens worden derhalve bewaard en verwerkt zolang dit voor de respectieve doeleinden vereist is. Hierbij wordt opgemerkt dat de zakelijke relatie met u langdurig kan zijn en dat finAPI gegevens ten minste tot het einde van deze contractuele relatie verwerkt. Voorts kunnen handels-, fiscale en toezichtsrechtelijke bewaarplichten, documentatie- en informatieplichten gelden waaraan finAPI is gebonden. Dergelijke termijnen bedragen in de regel tot tien jaar. Daarnaast kan verwerking ook langer noodzakelijk zijn, bijvoorbeeld voor doeleinden van gegevensbeschermingscontrole, gegevensbackup en rechtsverdediging. Indien de gegevens voor de verwerkingsdoeleinden niet meer nodig zijn, worden zij verwijderd.
Rekeninginformatie- en betaalinitiatiediensten die UK-rekeningen betreffen, worden via de partner token
uitgevoerd (vgl. 3.1 onder c) van deze informatie), aangezien deze over de noodzakelijke vergunning van de
Britse autoriteiten beschikt.
Voor de rekeningtoegang en het ophalen van rekeninginformatie, alsmede voor betaalinitiatiediensten, is token.io
Ltd.,
4th Floor, 70 St Mary Axe, London, EC3A 8BE, Engeland, volgens de AVG de verwerkingsverantwoordelijke; hiervoor
zijn de
Terms and Conditions van de partner token van toepassing (nadere informatie hierover is opgenomen in de
gebruiksvoorwaarden).
finAPI verricht de activiteiten van het aanbieden van de webinterface resp. het doorverwijzen naar
de webinterface van uw bank (voor het inloggen in uw onlinebankieren bij UK-rekeningen) alsmede de ontvangst van
de
opgehaalde rekeninginformatie als verwerker in de zin van de AVG. Hiervoor bestaat een
verwerkersovereenkomst tussen de partner token en finAPI.
De verdere verwerking van de rekeninginformatie (bijv. categorisering) in verband met UK-rekeningen
wordt door finAPI als verwerkingsverantwoordelijke volgens de AVG uitgevoerd. De gegevensverwerking beschreven
in paragraaf 2
is in deze paragraaf overeenkomstig van toepassing.
In dit verband kan het noodzakelijk zijn dataman te versturen van finAPI naar de partner token, bijvoorbeeld
in supportzaken. Dergelijke overdrachten vinden plaats in uw eigen belang overeenkomstig art. 6 lid 1
onder b AVG. Voor het Verenigd Koninkrijk bestaat een adequaatheidsbesluit van de EU, zodat een
eventuele overdracht naar het VK hetzelfde gegevensbeschermingsniveau als in de EU biedt.
Verdere informatie over gegevensbescherming bij de partner token: https://token.io/policies/privacy-policy
Tegenover finAPI, in de gevallen waarin finAPI verwerkingsverantwoordelijke is, hebt u recht op inzage volgens
art. 15
AVG, recht op rectificatie volgens art. 16 AVG, recht op wissing volgens art. 17 AVG, recht
op beperking van de verwerking volgens art. 18 AVG en recht op gegevensoverdraagbaarheid volgens art. 20
AVG. U kunt deze rechten te allen tijde uitoefenen door contact op te nemen met finAPI (contactgegevens zie
paragraaf
1). Daarnaast bestaat de mogelijkheid u te wenden tot een toezichthoudende autoriteit. De voor finAPI
bevoegde toezichthouder is het Bayerisches Landesamt für Datenschutzaufsicht.
Door u verleende toestemmingen kunt u te allen tijde jegens finAPI intrekken. Dit geldt ook voor
toestemmingen die vóór de inwerkingtreding van de AVG zijn verleend. De intrekking laat de rechtmatigheid van de
verwerking op basis van de toestemming tot aan de intrekking onverlet.
Wij zijn verplicht u erop te wijzen dat u overeenkomstig art. 21 lid 1 AVG bezwaar kunt maken tegen gegevensverwerking op grond van art. 6 lid 1 onder e) en f) AVG wegens redenen die verband houden met uw specifieke situatie. Tegen het gebruik van uw persoonsgegevens voor reclamedoeleinden kunt u overeenkomstig art. 21 lid 2 AVG te allen tijde geheel of gedeeltelijk bezwaar maken. Het bezwaar kan vormvrij worden ingediend en dient te worden gericht aan finAPI GmbH, Adams-Lehmann-Straße 44, D-80797 München.
Indien uw geselecteerde dienstaanbieder dit nodig heeft, kunnen na een door u geïnitieerde rekeningtoegang via
onze applicatie door middel van geautomatiseerde gegevensverwerking informatie uit uw onlinebankieren-rekening
worden voorbereid (categorisering) en aan uw dienstaanbieder worden doorgegeven, waardoor conclusies kunnen
worden getrokken over uw
persoonlijke en economische situatie (bijv. gemiddeld inkomen, huur, kredietverplichtingen,
aantal storneringen). Geautomatiseerde gegevensverwerking kan bij gemarkeerde diensten ook via
onze systemen die algoritmen voor kunstmatige intelligentie gebruiken, worden uitgevoerd. Deze systemen zijn
binnen de finAPI-architectuur geïmplementeerd, d.w.z. er worden geen gegevens aan derden doorgegeven, in het
bijzonder niet aan
aanbieders van kunstmatige intelligentie.
Wij nemen geen beslissing over een door u eventueel gewenste productafsluiting (bijv.
kredietverlening). Dit is uitsluitend aan uw dienstaanbieder. Over eventuele profileringen alsmede
geautomatiseerde
besluitvorming bij uw dienstaanbieder zal deze u informeren.