Niniejsza informacja o ochronie danych jest dostępna w kilku językach. Wyłącznie wersja niemieckojęzyczna jest wiążąca i ma moc prawną. Pozostałe wersje językowe mają wyłącznie charakter informacyjny.
finAPI GmbH (dalej „finAPI”), Adams-Lehmann-Straße 44, D-80797 Monachium (AG München, HRB
175250), e-mail: kontakt@finapi.io.
Inspektor ochrony danych finAPI jest dostępny pod ww. adresem (z dopiskiem Dział Ochrony Danych)
lub pod adresem e-mail: datenschutz@finapi.io.
a) finAPI jest instytucją płatniczą nadzorowaną przez niemiecki Federalny Urząd Nadzoru Usług Finansowych
(BaFin),
świadczącą usługi informacji o rachunku (AIS) oraz usługi inicjowania płatności (PIS).
W ramach usługi informacji o rachunku udostępniamy — za pośrednictwem Państwa dostawcy usług (np. sprzedawca
internetowy,
bank kredytujący, platforma zarządzania finansami, dostawca ocen zdolności kredytowej) — usługę umożliwiającą
pozyskanie informacji o rachunku, ich przygotowanie — w zależności od wybranej usługi
(np. kategoryzacja danych, jak ustalenie dochodu, kosztów najmu, liczby zwrotów obciążeń) — oraz
przekazanie ich Państwa dostawcy usług. W tym celu logują się Państwo do bankowości elektronicznej przez nasz
interfejs webowy
lub interfejs banku. finAPI następnie pobiera informacje o rachunku
z Państwa banku i przekazuje wybranemu dostawcy usług informacje o rachunku
niezbędne do realizacji danej usługi.
Usługa inicjowania płatności pozwala Państwu inicjować zlecenia i transakcje płatnicze u dostawcy rachunku.
Przed wysłaniem zlecenia może zostać sprawdzony Państwa dostępny limit.
W celu świadczenia usług AIS i PIS konieczne jest przetwarzanie Państwa danych osobowych.
Celem przetwarzania jest w pierwszej kolejności wykonanie naszych zobowiązań umownych
wobec Państwa jako użytkowników końcowych lub osób zainteresowanych oraz wobec naszych klientów (Państwa
dostawcy usług).
b) Jako instytucja płatnicza finAPI podlega szczególnym wymogom nadzorczym i obowiązkom regulacyjnym, takim jak zapobieganie, wykrywanie i ustalanie nadużyć oraz zapobieganie finansowaniu terroryzmu. Podczas korzystania z usług AIS i PIS finAPI Państwa dane osobowe mogą być przez nas przetwarzane również w celu wypełnienia takich obowiązków prawnych.
c) W ramach rozliczeń płatniczych i w celu zwiększenia bezpieczeństwa transakcji dokonujemy weryfikacji odbiorcy (= Verification of Payee – VOP zgodnie z rozporządzeniem UE w sprawie płatności natychmiastowych (UE) 2024/886). Imię i nazwisko/nazwa oraz IBAN odbiorcy są automatycznie porównywane z danymi przechowywanymi w banku odbiorcy. Dotyczy to przelewów SEPA i przelewów natychmiastowych SEPA w UE/EOG; inne rachunki niebędące rachunkami płatniczymi są wyłączone (np. rachunki oszczędnościowe). Klienci firmowi (przedsiębiorcy), jako zleceniodawcy, mogą dobrowolnie zrezygnować z weryfikacji odbiorcy dla zleceń zbiorczych. Przetwarzanie tych danych służy wyłącznie umożliwieniu przypisania i weryfikacji odbiorcy zgodnie z przepisami bezpieczeństwa dotyczącymi usług płatniczych.
d) Zapewnienie bezpieczeństwa i działania systemów IT może w pewnych okolicznościach wymagać przetwarzania Państwa danych osobowych. Ponadto przetwarzamy pobrane dane w zakresie dozwolonym prawem i koniecznym w danym przypadku do celów wewnętrznych. Obejmuje to przetwarzanie na potrzeby zapewnienia jakości (np. prowadzenie ocen i analiz naszych usług), ulepszania i rozszerzania naszych usług (np. trenowanie kategoryzacji transakcji na rachunku) oraz powiązanych działań badawczo-rozwojowych finAPI lub spółek powiązanych. Możemy także przetwarzać Państwa dane osobowe, w stosownych przypadkach, na potrzeby zarządzania należnościami lub marketingu bezpośredniego naszych usług. Jeżeli się Państwo z nami kontaktują, np. e-mailem, przetwarzamy przekazane dane w celu obsługi zapytania oraz ewentualnej dalszej korespondencji. Tam, gdzie to możliwe, anonimizujemy lub pseudonimizujemy dane.
e) Usługi finAPI są dostępne także dla rachunków w Zjednoczonym Królestwie (dalej „rachunki UK”). Podłączenie rachunków UK odbywa się za pośrednictwem partnera token.io Ltd. (dalej „partner token”), który posiada zezwolenie władz brytyjskich na świadczenie usług finansowych (AIS i PIS). Za pośrednictwem wybranego dostawcy usług są Państwo kierowani do interfejsu webowego finAPI, który w tle wykorzystuje usługi token. W celu skorzystania z wymaganych usług następuje przekierowanie na stronę odpowiedniego banku w celu logowania do bankowości elektronicznej.
f) Partner token pobiera wymagane informacje o rachunku z Państwa banku, przekazuje je do finAPI w celu
dalszego uzgodnionego przetwarzania (np. kategoryzacji) i udostępnia dane niezbędne do usługi
Państwa dostawcy usług.
Dzięki usłudze inicjowania płatności umożliwiamy inicjowanie zleceń i transakcji płatniczych u Państwa
dostawcy rachunku w UK za pośrednictwem partnera token. W tym celu przekazujemy
naszemu partnerowi token dane podane przez Państwa w celu zainicjowania płatności.
Więcej informacji o przetwarzaniu danych z token znajduje się w sekcji 3 niniejszej
informacji.
g) Przetwarzanie Państwa danych osobowych może być konieczne, jeśli Państwa dostawca usług zwróci się do nas w przypadku problemów technicznych lub pytań związanych z naszym serwisem. Przetwarzane będą wyłącznie dane niezbędne do wyjaśnienia sprawy.
h) Jeżeli kontaktują się Państwo z nami jako użytkownik końcowy, Państwa dane są przetwarzane wyłącznie w celu komunikacji z Państwem. Dotyczy to również sytuacji, gdy jako konsument chcą Państwo skorzystać z praw wynikających z RODO (zob. sekcja 4).
i) Jeżeli korzystają Państwo z naszych usług do opłacania zakupów online, Państwa dane osobowe mogą być w pojedynczych przypadkach i w związku z kontrolami po stronie naszego dostawcy przetwarzane. Służy to weryfikacji prawidłowości rozliczeń prowizji od płatności. Jeśli to możliwe, dane te anonimizujemy.
j) Państwa dane osobowe są także przekazywane organom lub instytucjom, jeżeli istnieje taki obowiązek prawny, lub wybranym podmiotom trzecim (np. w przypadku doradztwa prawnego).
Dane osobowe przetwarzamy na podstawie obowiązujących przepisów o ochronie danych, w szczególności
ogólnego rozporządzenia o ochronie danych (RODO) oraz nowej niemieckiej federalnej ustawy o ochronie danych
(BDSGneu), a także
zgodnie z przepisami niemieckiej ustawy o nadzorze nad usługami płatniczymi (ZAG).
Dane osobowe przetwarzamy na podstawie art. 6 ust. 1 lit. b RODO oraz § 59 ust. 2 ZAG
w celu wykonania działań przedumownych, wykonania zobowiązań umownych finAPI wobec
naszych klientów (Państwa dostawcy usług) oraz wobec Państwa jako użytkowników końcowych lub osób
zainteresowanych. Szczegóły
znajdują się w naszej umowie o korzystanie, regulującej korzystanie przez Państwa z naszych usług AIS i
PIS.
Ponadto przetwarzamy Państwa dane, w niezbędnym zakresie, na podstawie art. 6 ust. 1
lit. c RODO w celu wypełnienia obowiązków prawnych, w szczególności nadzorczych. Zgodnie z art. 6 ust. 1
lit. f RODO możemy przetwarzać Państwa dane osobowe, jeżeli jest to niezbędne do realizacji prawnie
uzasadnionych interesów
finAPI lub podmiotu trzeciego i jeżeli Państwa interesy albo podstawowe prawa i wolności, wymagające ochrony
danych, nie mają pierwszeństwa.
Dane osobowe przetwarzamy
wyłącznie, gdy po wyważeniu interesów jest to dopuszczalne. Uzasadniony interes wynika ze wskazanych
w sekcji 3.1 celów i może mieć także charakter ekonomiczny.
Informacje o rachunku udostępniane Państwa dostawcy usług mogą — w zależności od przypadku — obejmować
szczególne
kategorie danych osobowych (por. art. 9 ust. 1 RODO). Mogą to być informacje o
pochodzeniu rasowym lub etnicznym, poglądach politycznych, przekonaniach religijnych lub światopoglądowych,
przynależności związkowej, stanie zdrowia, życiu seksualnym lub orientacji seksualnej.
Odpowiednie wnioski mogą wynikać np. z tytułów płatności lub nazw odbiorców.
Dopuszczalność przetwarzania takich danych na potrzeby świadczenia usługi ustalają Państwo ze swoim
dostawcą usług.
Nie mają Państwo obowiązku przekazywania nam danych osobowych. Bez tych danych nie możemy jednak wykonywać
umowy, a tym samym świadczyć uzgodnionych usług.
Państwa dane osobowe przetwarzamy w związku z usługami AIS i PIS. Dane osobowe powstające w tym kontekście pochodzą z instytucji kredytowych i finansowych, wydawców kart oraz innych dostawców danych finansowych, do których dostęp uzyskiwany jest wyłącznie za Państwa zgodą i po zalogowaniu się przez Państwa do bankowości elektronicznej poprzez naszą aplikację finAPI lub — w przypadku rachunków UK — poprzez partnera token. Źródło danych może się zatem różnić w zależności od używanej usługi. Ponieważ dostęp do rachunków zawsze wymaga Państwa zgody, znają Państwo rachunki udostępnione do dostępu przez finAPI i zawarte w nich dane osobowe. Państwa dane osobowe mogą do nas trafiać także za pośrednictwem Państwa dostawcy usług (np. w przypadku problemów technicznych) lub bezpośrednio od Państwa (np. z zapytania e-mail).
Państwa dane osobowe przetwarzamy w Niemczech lub w UE; dalsze informacje znajdą Państwo w sekcji 3.6.
a) Odbiorcami do celów wskazanych w sekcji 3.1(a) są klienci finAPI z siedzibą w Europejskim Obszarze Gospodarczym oraz w Szwajcarii, jak również — w stosownych przypadkach — w innych państwach trzecich (pod warunkiem istnienia dla tych państw decyzji wykonawczej Komisji Europejskiej w sprawie odpowiedniego stopnia ochrony lub zawarcia standardowych klauzul umownych, które można znaleźć pod adresem https://www.finapi.io/datenschutz-dsgvo/) (tj. wybrany przez Państwa dostawca). Inni odbiorcy do celów wskazanych w sekcji 3.1(b) to zewnętrzni podmioty przetwarzające finAPI na podstawie art. 28 RODO oraz wewnętrzne i zewnętrzne jednostki finAPI. Ponadto do celów wskazanych w sekcji 3.1(b) finAPI może przekazywać dane klientów podmiotom trzecim w zakresie niezbędnym i dozwolonym prawnie (np. zewnętrznym dostawcom usług takim jak dostawcy IT, operatorzy aplikacji dla użytkowników końcowych opartych na usługach finAPI, spółki powiązane lub partnerzy biznesowi, a także instytucje prowadzące rachunki). Wrażliwe dane dostępowe umożliwiające dostęp do informacji o rachunku u Państwa dostawców rachunku są przekazywane przez finAPI wyłącznie właściwej instytucji prowadzącej rachunek i nie są przekazywane innym podmiotom trzecim. finAPI podlega ponadto ustawowym uprawnieniom ingerencyjnym organów publicznych.
b) Państwa dane osobowe przetwarzamy w centrach danych w Niemczech lub w UE w ramach hostingu
Amazon Web Services. Dostawcą usług jest Amazon Web Services EMEA SARL, 5 rue
Plaetis, Luxembourg, L-2338, Luksemburg. Z dostawcą zawarliśmy umowę powierzenia przetwarzania danych
zgodnie z art. 28 RODO.
Siedziba dostawcy znajduje się w USA, zatem w wyjątkowych przypadkach może dojść do przekazania danych pomiędzy
Amazon Web Services EMEA SARL a spółką matką. W przetwarzaniu stosujemy wielowarstwowy system szyfrowania.
Dane osobowe nigdy nie są dostępne w postaci niezaszyfrowanej na serwerach AWS i nie mogą być przeglądane przez
AWS ani podmioty trzecie
(w tym spółkę matkę z USA). Szyfrowanie odbywa się zgodnie z aktualnym stanem techniki i spełnia wymagania
RODO.
Więcej informacji o danych przetwarzanych podczas korzystania z Amazon Web Services (AWS) znajduje się w
polityce prywatności: https://aws.amazon.com/de/privacy/.
c) W przypadku podłączania niektórych rachunków bankowych z UE przetwarzamy dane poprzez token GmbH, c/o
Industrious, Schicklerstraße 5, 10179 Berlin. W przypadku rachunków UK korzystamy
z token.io Ltd., 4th Floor, 70 St Mary Axe, London, EC3A 8BE, Anglia, którego przetwarzanie danych odbywa się na
podstawie umowy
w UE. Z dostawcą zawarliśmy umowę powierzenia zgodnie z art. 28 RODO.
W wyjątkowych przypadkach może dojść do przekazania danych między token GmbH i token.io Ltd. a spółką powiązaną
token Inc., 548 Market Street, STE 57805, San Francisco, CA, 94104-5401, USA. W celu takiego przekazania
zawarto standardowe klauzule umowne między token GmbH, token.io Ltd. i token Inc. jako odpowiednie
zabezpieczenia
zgodnie z art. 46 ust. 1 i 2 lit. c RODO. Więcej informacji o ochronie danych partnera token: https://token.io/policies/privacy-policy
d) Nasze usługi GiroIdent Plus, GiroIdent Ochrona Nieletnich oraz GiroIdent GwG oferują dodatkową weryfikację imienia i nazwiska, adresu oraz daty urodzenia; w przypadku GiroIdent GwG także IBAN. W tym celu korzystamy z porównania z bazą danych SCHUFA Holding AG, Komoranweg 5, 65201 Wiesbaden. SCHUFA Holding AG jest wiarygodną i bezpieczną agencją informacji kredytowej. Do dostawcy przekazywane są wyłącznie dane osobowe niezbędne do realizacji usługi. Więcej informacji o ochronie danych u dostawcy SCHUFA: https://www.meineschufa.de/de/datenschutzhinweis.
e) Aby zapewnić szybką i skuteczną pomoc w przypadku problemów technicznych lub pytań, korzystamy — w procesie
obsługi —
z naszego systemu zgłoszeń (ticketing), rozwiązania programowego firmy Zendesk, 989 Market St, San Francisco, CA
94103,
USA. Gdy tylko Państwa dostawca usług skontaktuje się z naszym wsparciem, automatycznie tworzony jest zgłoszenie
(ticket).
Z dostawcą uzgodniliśmy umownie, że przetwarzanie danych osobowych odbywa się wyłącznie w UE.
W przypadku ewentualnego przekazywania danych do USA Zendesk stosuje standardowe klauzule umowne, które jako
odpowiednie zabezpieczenia
w rozumieniu art. 46 ust. 1 i 2 lit. c spełniają wymogi ochrony danych. Z dostawcą zawarliśmy umowę powierzenia
zgodnie z art. 28 RODO.
Więcej informacji o ochronie danych w Zendesk: https://www.zendesk.de/company/agreements-and-terms/privacy-notice/
W przypadku pytań technicznych lub problemów z interfejsami FinTS banków, które pozyskujemy za pośrednictwem B+S
Banksysteme
Aktiengesellschaft, kontaktujemy się z pomocą techniczną B+S (Banksysteme Aktiengesellschaft,
Elsenheimerstraße 45, 80687 Monachium, lub B+S Banksysteme Salzburg GmbH, Siezenheimer Straße 39a, A-5020
Salzburg). Klient, tj. Państwa dostawca usług, otrzymuje poprzez system Zendesk informację, jeżeli
konieczne było dalsze przetwarzanie danych przez B+S. Z tym dostawcą zawarliśmy umowę powierzenia
zgodnie z art. 28 RODO. Więcej informacji o ochronie danych
B+S Banksysteme Aktiengesellschaft: https://bs-ag.com/wir-uber-uns/datenschutz/
Dane osobowe przechowujemy jedynie przez określony czas. Kryterium decydującym przy ustalaniu tego okresu jest niezbędność. Dane osobowe są zatem przechowywane i przetwarzane tak długo, jak jest to wymagane do odpowiednich celów. Należy zauważyć, że relacja biznesowa z Państwem może mieć charakter długoterminowy i że finAPI przetwarza dane co najmniej do końca tej relacji umownej. Ponadto mogą mieć zastosowanie obowiązki przechowywania, dokumentacyjne i informacyjne wynikające z przepisów handlowych, podatkowych i nadzorczych, które wiążą finAPI. Okresy te wynoszą zwykle do dziesięciu lat. Dalsze przetwarzanie może być konieczne dłużej, np. do celów kontroli ochrony danych, tworzenia kopii zapasowych i obrony prawnej. Jeżeli dane nie są już potrzebne do celów przetwarzania, zostaną usunięte.
Usługi AIS i PIS dotyczące rachunków UK są realizowane za pośrednictwem partnera token
(zob. sekcja 3.1(c) niniejszej informacji), ponieważ posiada on wymagane zezwolenie władz brytyjskich.
W przypadku dostępu do rachunku i pobierania informacji o rachunku, a także w ramach usług PIS, token.io Ltd.,
4th Floor, 70 St Mary Axe, London, EC3A 8BE, Anglia, jest administratorem w rozumieniu RODO; obowiązują Warunki
partnera token (szczegółowe informacje znajdują się w warunkach użytkowania).
finAPI wykonuje czynności polegające na udostępnieniu interfejsu webowego lub przekierowaniu
do interfejsu webowego Państwa banku (logowanie do bankowości elektronicznej dla rachunków UK), a także odbiorze
pobranych informacji o rachunku, jako podmiot przetwarzający w rozumieniu RODO. W tym celu
istnieje umowa powierzenia przetwarzania pomiędzy partnerem token a finAPI.
Dalsze przetwarzanie informacji o rachunku (np. kategoryzacja) w związku z rachunkami UK jest wykonywane
przez finAPI jako administrator w rozumieniu RODO. Przetwarzanie danych opisane w sekcji 2
ma odpowiednie zastosowanie także w niniejszej sekcji.
W tym kontekście przekazanie danych z finAPI do partnera token może być konieczne, np.
w sprawach wsparcia. Takie przekazania odbywają się w Państwa interesie na podstawie art. 6 ust. 1
lit. b RODO. Dla Zjednoczonego Królestwa istnieje decyzja wykonawcza UE w sprawie odpowiedniego poziomu ochrony,
zatem
ewentualny transfer do UK zapewnia taki sam poziom ochrony jak w UE.
Więcej informacji o ochronie danych u partnera token: https://token.io/policies/privacy-policy
W przypadkach, gdy finAPI działa jako administrator, przysługują Państwu: prawo dostępu na podstawie art. 15
RODO, prawo do sprostowania na podstawie art. 16 RODO, prawo do usunięcia na podstawie art. 17 RODO, prawo
do ograniczenia przetwarzania na podstawie art. 18 RODO oraz prawo do przenoszenia danych na podstawie art. 20
RODO. Prawa te mogą Państwo wykonywać w każdej chwili, kontaktując się z finAPI (dane kontaktowe w sekcji
1). Mogą się Państwo również zwrócić do organu nadzorczego. Właściwym organem dla finAPI
jest Bawarski Krajowy Urząd Nadzoru Ochrony Danych (Bayerisches Landesamt für Datenschutzaufsicht).
Udzielone zgody mogą Państwo w każdej chwili odwołać. Dotyczy to także zgód udzielonych
przed wejściem w życie RODO. Odwołanie zgody nie wpływa
na zgodność z prawem przetwarzania dokonanego na podstawie zgody przed jej odwołaniem.
Jesteśmy zobowiązani poinformować Państwa, że na podstawie art. 21 ust. 1 RODO mogą się Państwo sprzeciwić przetwarzaniu danych na podstawie art. 6 ust. 1 lit. e i f RODO z przyczyn związanych z Państwa szczególną sytuacją. Mogą się Państwo w każdej chwili sprzeciwić — w całości lub części — wykorzystaniu Państwa danych osobowych do celów marketingowych na podstawie art. 21 ust. 2 RODO. Sprzeciw może zostać złożony w dowolnej formie i należy go skierować na adres finAPI GmbH, Adams-Lehmann-Straße 44, D-80797 Monachium.
Jeżeli wymaga tego wybrany przez Państwa dostawca usług, po zainicjowanym przez Państwa dostępie do rachunku
informacje z Państwa rachunku bankowości elektronicznej mogą być przetwarzane przez naszą aplikację w sposób
zautomatyzowany
(kategoryzacja) i przekazywane Państwa dostawcy usług, co umożliwia wyciąganie wniosków o Państwa
sytuacji osobistej i ekonomicznej (np. średni dochód, czynsz, zobowiązania kredytowe,
liczba zwrotów obciążeń). Przetwarzanie zautomatyzowane może być realizowane — dla wskazanych usług — również
przez
nasze systemy wykorzystujące algorytmy sztucznej inteligencji. Systemy te są
zaimplementowane w architekturze finAPI, tzn. dane nie są przekazywane podmiotom trzecim, w szczególności
dostawcom AI.
Nie podejmujemy decyzji w sprawie ewentualnego zawarcia przez Państwa umowy produktowej (np.
udzielenia kredytu). Za takie decyzje odpowiada wyłącznie Państwa dostawca usług. Państwa dostawca
poinformuje Państwa o ewentualnym profilowaniu i zautomatyzowanym podejmowaniu decyzji po swojej stronie.