De volgende tekst is een vertaling uit het Duits. In geval van tegenstrijdigheden tussen de taalversies is de Duitse versie doorslaggevend.

finAPI de intelligente Banking-API

Informatie over gegevensbescherming van finAPI GmbH voor rekeninginformatie- en betalingsinitiatiediensten
Status: Juni 2021

1. Naam en contactgegevens van de verantwoordelijke instantie en contactgegevens van de functionaris voor gegevensbescherming van het bedrijf

finAPI GmbH (hierna 'finAPI'), Adams-Lehmann-Strasse 44, D-80797 München (AG München, HRB 175250), e-mail: kontakt@finapi.io.
De functionaris voor gegevensbescherming van finAPI kan worden gecontacteerd op bovenstaand adres, t.a.v. Afdeling Gegevensbescherming, of kan per e-mail worden bereikt op datenschutz@finapi.io.

2. Gegevensverwerking door finAPI GmbH

2.1 Doeleinden van gegevensverwerking en wettelijke belangen van finAPI of een derde partij

a) finAPI is een betalingsinstelling die onder toezicht staat van de Duitse federale financiële toezichthoudende autoriteit (BaFin).
Met de rekeninginformatiedienst leveren we een dienst waarmee u uw rekeninginformatie kunt opvragen, indien nodig verwerken afhankelijk van de dienst die u wenst (bijv. categorisering van gegevens zoals het bepalen van inkomen, huurkosten, aantal geretourneerde debetnota's) en vervolgens beschikbaar stellen aan uw aanbieder (bijv. online handelaar, kredietbank, financieel beheerplatform, aanbieder van kredietscores). Daartoe logt u in op uw online bankieren via onze webinterface. finAPI haalt dan uw rekeninginformatie op bij uw bank en stuurt deze door naar de door u geselecteerde aanbieder die de rekeninginformatie nodig heeft voor de betreffende dienst.

Met de betalingsinitiatiedienst stellen we u in staat betalingsopdrachten en betalingstransacties te initiëren bij uw rekeningaanbieder. Alvorens in te dienen kan uw kredietlimiet worden gecontroleerd.

Voor het verstrekken van de rekeninginformatie- en betalingsinitiatiediensten moeten uw persoonsgegevens worden verwerkt. Het doel van de verwerking is dus in de eerste plaats het nakomen van onze contractuele verplichtingen tegenover u als eindgebruiker of belanghebbende, alsook tegenover onze klanten (uw aanbieder).

b) Als betalingsinstelling is finAPI onderworpen aan speciale vereisten inzake toezicht en regelgeving, zoals preventie, onderzoek en opsporing van fraude of preventie van financiering van terrorisme. Als u gebruik maakt van finAPI's rekeninginformatie- en betalingsinitiatiediensten, kunnen uw persoonsgegevens ook door ons worden verwerkt om aan dergelijke wettelijke verplichtingen te voldoen. Het waarborgen van de IT-beveiliging en IT-operaties kan ook de verwerking van uw persoonsgegevens noodzakelijk maken. Bovendien verwerken we de opgevraagde gegevens voor zover dit wettelijk is toegestaan en voor zover nodig is voor interne doeleinden. Dit omvat verwerking voor kwaliteitsborging (bijvoorbeeld het uitvoeren van evaluaties en analyses van onze diensten), voor de verbetering en uitbreiding van onze diensten (zoals het leren categoriseren van rekeningtransacties) en gerelateerde onderzoeks- en ontwikkelingsactiviteiten van finAPI. Verder kunnen we uw persoonsgegevens verwerken voor ons eigen debiteurenbeheer of voor directe reclame voor onze eigen diensten. Als u contact met ons opneemt, bijvoorbeeld per e-mail, verwerken we de door u verstrekte gegevens voor de verwerking van de aanvraag en voor eventuele vervolgcorrespondentie. Waar mogelijk anonimiseren of pseudonimiseren we uw gegevens.

2.2 Rechtsgrondslag voor gegevensverwerking

We verwerken persoonsgegevens op basis van de relevante wetgeving inzake gegevensbescherming, met name de bepalingen van de Algemene Verordening Gegevensbescherming (AVG) en de Bundesdatenschutzgesetz (BDSG, Duitse wet betreffende de gegevensbescherming), en in overeenstemming met de bepalingen van de Zahlungsdiensteaufsichtsgesetz (ZAG, Duitse wet inzake toezicht op betalingsdiensten).
Persoonsgegevens worden door ons verwerkt op basis van art. 6 lid 1 letter b) AVG en art. 59 lid 2 ZAG, voor de uitvoering van precontractuele maatregelen, voor de nakoming van de contractuele verplichtingen van finAPI tegenover onze klanten (uw aanbieder) en u als eindgebruiker of belanghebbende. Details hierover zijn te vinden in onze gebruiksovereenkomst, die van toepassing is op uw gebruik van onze rekeninginformatie- en betalingsinitiatiediensten.
Daarnaast verwerken we uw gegevens voor zover dat strikt noodzakelijk is op grond van art. 6 lid 1 letter c) AVG om te voldoen aan wettelijke verplichtingen, in het bijzonder toezichtverplichtingen. Op grond van art. 6 lid 1 letter f) AVG kunnen we uw persoonsgegevens verwerken voor zover de verwerking noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van finAPI of een derde en voor zover de belangen of de fundamentele rechten en vrijheden van de betrokkene die de bescherming van persoonsgegevens vereisen, niet zwaarder wegen. Persoonsgegevens worden alleen verwerkt indien dit na afweging van alle belangen toelaatbaar is. In dit verband vloeit het gerechtvaardigde belang van de verwerking voort uit de respectieve doeleinden overeenkomstig punt 2.1 en kan het ook van economische aard zijn.

De aan uw aanbieder te verstrekken rekeninginformatie kan bijzondere categorieën van persoonsgegevens bevatten (vgl. art. 9 lid 1 AVG). Dit kan informatie omvatten over uw raciale en etnische afkomst, politieke opvattingen, religieuze of filosofische overtuigingen, lidmaatschap van een vakbond, gezondheidsgegevens of gegevens over uw seksleven of seksuele geaardheid. Er zouden bijvoorbeeld conclusies kunnen worden getrokken uit de gebruiksdoeleinden of de ontvangers van overschrijvingen. U stemt in met de toelaatbaarheid van de verwerking van deze gegevens voor de dienstverlening met uw aanbieder.

U bent niet verplicht ons persoonsgegevens te verstrekken. Zonder uw gegevens is het voor ons echter niet mogelijk de contractuele relatie na te komen en dus de contractueel overeengekomen diensten te leveren.

2.3 Oorsprong van de gegevens

We verwerken uw persoonsgegevens in het kader van rekeninginformatie- en betalingsinitiatiediensten. De in dit proces gegenereerde persoonsgegevens zijn afkomstig van de kredietinstellingen en financiële dienstverleners, creditcardmaatschappijen en andere aanbieders van financiële gegevens, die uitsluitend toegankelijk zijn met uw toestemming en nadat u in onze finAPI-applicatie hebt ingelogd op uw online bankieren. De oorsprong van de gegevens kan dus variëren naargelang de gebruikte dienst. Aangezien voor toegang tot rekeningen altijd uw toestemming is vereist, bent u op de hoogte van de rekeningen die door finAPI zijn goedgekeurd voor toegang en de persoonsgegevens die zij bevatten.

2.4 Categorieën van persoonsgegevens die mogelijk worden verwerkt

• Persoonsgegevens (bijv. stamgegevens rekening, naam, voornaam, geboortedatum, adres, geslacht)
• Contactgegevens (bijv. telefoonnummers, mobiele telefoonnummers, e-mailadressen)
• Huidige en historische rekeninginformatie (bijv. rekeningsaldi, omzet, begunstigden, limieten voor opnames of overschrijvingen, doorlopende opdrachten, termijnoverschrijvingen)
• Toegangsgegevens of inloggegevens tot uw rekeningaanbieders (bijv. gebruikers-ID's, pincode of wachtwoord) | Onze diensten zijn gebaseerd op functionaliteiten van uw online bankieren. Daarom hebben we toegang nodig tot uw online rekening. Daartoe worden de aan uw rekening gekoppelde inloggegevens voor online bankieren opgevraagd en via onze systemen versleuteld aan uw bank doorgegeven. Voor sommige banken gebruiken we hiervoor speciale standaardinterfaces van uw bank (bijv. FinTS of een speciale interface voor externe dienstverleners). Bij andere banken verloopt de toegang via de gebruikersinterface van uw online bankieren, alsof u daar zelf inlogt. De toegangsgegevens worden alleen gebruikt om de verbinding met uw online bankieren tot stand te brengen en worden alleen bij finAPI opgeslagen als u actief toestemming hebt gegeven voor de opslag ervan. De verzending naar ons en naar uw bank gebeurt via een gecodeerde verbinding die voldoet aan de banknormen.
• Gegevens voorbereid door middel van elektronische gegevensverwerking en gecombineerd in verschillende categorieën (bijv. gemiddeld inkomen, huur, kredietverplichtingen, aantal geretourneerde debetnota's)
• Specifieke persoonsgegevens zoals beschreven in punt 2.2.
• Loggegevens (logbestanden) zoals datum en tijdstip van toegang, IP-adres (indien gevraagd door uw bank), browsertype en -versie, gebruikt besturingssysteem, geraadpleegde pagina's en transacties voor online bankieren.

2.5 Categorieën ontvangers van de persoonsgegevens

Ontvangers voor de doeleinden genoemd in paragraaf 2.1 letter a) zijn klanten van finAPI (d.w.z. de door u gekozen aanbieders) gevestigd in de Europese Economische Ruimte en in Zwitserland, alsmede, indien van toepassing, in andere derde landen (op voorwaarde dat er een overeenkomstig adequaatheidsbesluit van de Europese Commissie met betrekking tot deze bestaat of standaardcontractbepalingen zijn overeengekomen, die kunnen worden ingekeken op https://www.finapi.io/datenschutz-dsgvo/). Andere ontvangers kunnen externe opdrachtnemers van finAPI zijn overeenkomstig art. 28 AVG alsook externe en interne instanties van finAPI voor de doeleinden vermeld in paragraaf 2.1 letter b). Bovendien kan finAPI ook gegevens van klanten doorgeven aan derden (bijv. externe dienstverleners zoals IT-dienstverleners, exploitanten van eindgebruikertoepassingen op basis van finAPI-diensten, gelieerde ondernemingen zoals SCHUFA Holding AG of zakenpartners, evenals aan instellingen die rekeningen bijhouden), voor zover dit in het desbetreffende geval noodzakelijk en wettelijk toegestaan is voor de in paragraaf 2.1 letter b) genoemde doeleinden. Gevoelige toegangsgegevens die toegang mogelijk maken tot rekeninginformatie bij uw rekeningaanbieders worden door finAPI alleen doorgegeven aan de betreffende rekeninghoudende instelling, maar niet aan andere derden. finAPI is ook onderworpen aan de wettelijke interventiebevoegdheden van overheidsinstanties.

2.6 Duur van de gegevensopslag

We slaan persoonsgegevens slechts gedurende een bepaalde periode op. Het beslissende criterium voor het bepalen van deze periode is de noodzakelijkheid. Persoonsgegevens worden derhalve opgeslagen en verwerkt zolang dat nodig is voor de respectieve doeleinden. Er moet worden opgemerkt dat de zakelijke relatie met u permanent kan zijn. In dat geval zal finAPI gegevens verwerken ten minste tot het einde van deze contractuele relatie. Commerciële, fiscale en wettelijke bewaar-, documentatie- en informatieverplichtingen kunnen ook van toepassing zijn en finAPI is hieraan gebonden. Dergelijke periodes duren meestal tot tien jaar. Bovendien kan verwerking langer nodig zijn, bijvoorbeeld voor controle van de gegevensbescherming en gegevensbeveiliging en voor juridische verdediging. Indien de gegevens niet langer noodzakelijk zijn voor de doeleinden van de verwerking, worden zij gewist.

3. Rechten van de betrokkenen

U hebt het recht op informatie van finAPI volgens art. 15 AVG, het recht op rectificatie volgens art. 16 AVG, het recht op wissing volgens art. 17 AVG, het recht op beperking van de verwerking volgens art. 18 AVG en het recht op gegevensoverdraagbaarheid volgens art. 20 AVG. Om deze rechten uit te oefenen, kunt u te allen tijde contact opnemen met finAPI (voor contactgegevens, zie paragraaf 1). Bovendien bestaat de mogelijkheid om contact op te nemen met een toezichthoudende autoriteit. De voor finAPI bevoegde toezichthoudende autoriteit is het Bayerische Landesamt für Datenschutzaufsicht (Beiers staatsbureau voor gegevensbescherming).
U kunt uw toestemming te allen tijde herroepen tegenover finAPI. Dit geldt ook voor toestemmingen die al vóór de inwerkingtreding van de AVG waren verleend. De intrekking van de toestemming heeft geen gevolgen voor de rechtmatigheid van de persoonsgegevens die tot de intrekking zijn verwerkt.

We zijn verplicht u erop te wijzen dat u overeenkomstig artikel 21 lid 1 AVG bezwaar kunt maken tegen gegevensverwerking op grond van artikel 6 lid 1 letter e) en f) AVG om redenen die voortvloeien uit uw bijzondere situatie. U kunt te allen tijde bezwaar maken tegen het gebruik van uw persoonsgegevens voor reclamedoeleinden, hetzij in zijn geheel, hetzij voor afzonderlijke maatregelen, overeenkomstig art. 21 lid 2 AVG. Het bezwaar kan zonder formaliteiten worden ingediend en moet worden gericht aan finAPI GmbH, Adams-Lehmann-Straße 44, D-80797 München.

4. Profilering / Categorisering

Op verzoek van de door u gekozen aanbieder kan informatie van uw online bankrekening na een door u via onze applicatie geïnitieerde toegang tot de rekening door middel van geautomatiseerde gegevensverwerking worden verwerkt (categorisering) en aan uw aanbieder worden doorgegeven, waardoor conclusies kunnen worden getrokken over uw persoonlijke en economische situatie (bijv. gemiddeld inkomen, huur, kredietverplichtingen, aantal geretourneerde debetnota's).

We nemen geen beslissing over een producttransactie die u wilt aangaan (bijvoorbeeld een lening). Dit is uitsluitend de verantwoordelijkheid van uw aanbieder. Uw aanbieder zal u informeren over eventuele profilering en geautomatiseerde besluitvorming.