Poniższy tekst jest tłumaczeniem z języka niemieckiego. W przypadku rozbieżności pomiędzy wersjami językowymi, wersja niemiecka będzie rozstrzygająca.

finAPI inteligentny interfejs API dla bankowości

Informacja o ochronie danych osobowych finAPI GmbH w zakresie usług informacji o rachunku i inicjowania płatności
Status: Czerwiec 2021

1. Nazwa i dane kontaktowe podmiotu odpowiedzialnego oraz dane kontaktowe firmowego inspektora ochrony danych

finAPI GmbH (dalej „finAPI”), Adams-Lehmann-Straße 44, D-80797 Monachium (Sąd Rejonowy Monachium, HRB 175250), e-mail: kontakt@finapi.io.
Z inspektorem ochrony danych w finAPI można się skontaktować pod powyższym adresem, do rąk własnych Dział Ochrony Danych lub pocztą elektroniczną pod adresem datenschutz@finapi.io.

2. Przetwarzanie danych przez finAPI GmbH

2.1 Cele przetwarzania danych i uzasadnione interesy realizowane przez finAPI lub stronę trzecią

a) finAPI jest instytucją płatniczą nadzorowaną przez niemiecki Federalny Urząd Nadzoru Finansowego (BaFin).
Dzięki usłudze informacji o rachunku zapewniamy usługę, która umożliwia pobranie informacji o rachunku, przetworzenie ich w razie potrzeby w zależności od żądanej usługi (np. kategoryzacja danych,jak określenie dochodów, kosztów najmu, liczby transakcji obciążenia zwrotnego), a następnie udostępnienie ich dostawcy (np. sprzedawcy internetowemu, bankowi udzielającemu kredytu, platformie zarządzania finansami, dostawcy scoringu kredytowego). W tym celu użytkownik loguje się do swojej bankowości internetowej za pośrednictwem naszego interfejsu internetowego. finAPI pobiera wówczas z jego banku informacje o jego rachunku i przekazuje wybranemu przez użytkownika dostawcy takie informacje, jakie są wymagane do wykonania określonej usługi.

Dzięki usłudze inicjowania płatności umożliwiamy użytkownikom inicjowanie zleceń płatniczych i transakcji płatniczych u dostawcy rachunku. Przed złożeniem wniosku można sprawdzić swój limit dyspozycji.

Świadczenie usług informacji o rachunku i inicjowania płatności wymaga przetwarzania danych osobowych użytkownika. Celem przetwarzania jest zatem po pierwsze wypełnienie naszych zobowiązań umownych wobec użytkownika końcowego lub osoby zainteresowanej, jak również wobec naszych klientów (dostawcy użytkownika).

b) Jako instytucja płatnicza finAPI podlega specjalnym wymogom nadzorczym i obowiązkom regulacyjnym, takim jak zapobieganie, dochodzenie i wykrywanie oszustw lub zapobieganie finansowaniu terroryzmu. Jeśli użytkownik korzysta z usług finAPI w zakresie informacji o rachunku i inicjowania płatności, jego dane osobowe mogą być również przetwarzane przez nas w celu wypełnienia takich zobowiązań prawnych. Zapewnienie bezpieczeństwa informatycznego i operacji informatycznych może również powodować konieczność przetwarzania danych osobowych użytkownika. Ponadto przetwarzamy pobrane dane w zakresie dozwolonym przez prawo i wymaganym w każdym przypadku dla celów wewnętrznych. Obejmuje to przetwarzanie w celach zapewnienia jakości (np. przeprowadzanie ocen i analiz naszych usług), w celu poprawy i rozwijania naszych usług (takich jak nauka kategoryzacji transakcji na rachunku) oraz powiązanych działań badawczo-rozwojowych finAPI. Ponadto możemy przetwarzać dane osobowe użytkownika w celu zarządzania własnymi należnościami lub w celu bezpośredniej reklamy własnych usług. W przypadku kontaktu z nami, np. za pośrednictwem poczty elektronicznej, przetwarzamy przekazane dane w celu obsługi zapytania oraz ewentualnej dalszej korespondencji. Tam, gdzie jest to możliwe, anonimizujemy lub pseudonimizujemy dane użytkownika.

2.2 Podstawa prawna przetwarzania danych

Przetwarzamy dane osobowe na podstawie odpowiednich przepisów o ochronie danych, w szczególności przepisów ogólnego rozporządzenia o ochronie danych (RODO) i federalnej ustawy o ochronie danych (BDSG) oraz zgodnie z przepisami ustawy o nadzorze nad usługami płatniczymi (ZAG).
Dane osobowe są przez nas przetwarzane na podstawie art. 6 ust. 1 lit. b) RODO oraz § 59 ust. 2 ZAG, w celu realizacji działań przedumownych, w celu wypełnienia zobowiązań umownych finAPI wobec naszych klientów (dostawcy użytkownika) oraz wobec użytkownika końcowego lub osoby zainteresowanej. Szczegóły na ten temat można znaleźć w naszej umowie użytkowania, która dotyczy korzystania przez użytkownika z naszych usług w zakresie informacji o rachunku i inicjowania płatności.
Ponadto przetwarzamy dane użytkownika w ściśle niezbędnym zakresie na podstawie art. 6 ust. 1 lit. c) RODO w celu wypełnienia obowiązków prawnych, w szczególności obowiązków nadzorczych. Zgodnie z art. 6 ust. 1 lit. f) RODO możemy przetwarzać dane osobowe użytkownika w zakresie, w jakim przetwarzanie jest niezbędne do celów ochrony uzasadnionych interesów finAPI lub osoby trzeciej oraz w zakresie, w jakim interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, które wymagają ochrony danych osobowych, nie są nadrzędne. Dane osobowe są przetwarzane tylko wtedy, gdy jest to dopuszczalne po rozważeniu wszystkich interesów. W tym zakresie uzasadniony interes przetwarzania wynika z odpowiednich celów zgodnie z punktem 2.1 i może mieć również charakter ekonomiczny.

Informacje o rachunku, które należy przekazać dostawcy, mogą zawierać specjalne kategorie danych osobowych (por. art. 9 ust. 1 RODO). Mogą to być informacje o pochodzeniu rasowym i etnicznym użytkownika, jego poglądach politycznych, przekonaniach religijnych lub filozoficznych, przynależności do związków zawodowych, dane dotyczące zdrowia lub dane dotyczące życia seksualnego lub orientacji seksualnej. Na przykład wnioski można wyciągnąć na podstawie tytułu przelewu lub odbiorców przelewu. Użytkownik uzgadnia ze swoim dostawcą usług dopuszczalność przetwarzania tych danych w celu realizacji usługi.

Użytkownik nie ma obowiązku podawania nam danych osobowych. Bez tych danych nie jest jednak możliwe zrealizowanie przez nas stosunku umownego, a tym samym świadczenie usług określonych w umowie.

2.3 Pochodzenie danych

Przetwarzamy dane osobowe użytkownika w ramach usług informacji o rachunku lub inicjowania płatności. Dane osobowe wykorzystywane w tym procesie pochodzą od instytucji kredytowych i finansowych, firm obsługujących karty kredytowe i innych dostawców danych finansowych, do których dostęp uzyskujemy wyłącznie za zgodą użytkownika i po zalogowaniu się przez niego do bankowości internetowej w naszej aplikacji finAPI. Pochodzenie danych może być zatem różne w zależności od wykorzystywanej usługi. Ponieważ dostęp do rachunku zawsze wymaga zgody użytkownika, użytkownik ma wiedzę na temat rachunków i związanych z nimi danych osobowych, udostępnionych finAPI.

2.4 Kategorie danych osobowych, które mogą być przetwarzane

• Dane osobowe (np. dane główne rachunku, nazwisko, imię, data urodzenia, adres, płeć)
• Dane kontaktowe (np. numery telefonów, numery telefonów komórkowych, adresy e-mail)
• Bieżące i historyczne informacje o rachunkach (np. salda rachunków, obroty, odbiorcy płatności, limity dyspozycji, zlecenia stałe, przelewy terminowe)
• Dane dostępu lub dane do logowania do dostawców rachunków użytkownika (np. identyfikatory użytkownika, PIN lub hasło) | Nasze usługi opierają się na funkcjonalności bankowości internetowej użytkownika. Dlatego potrzebujemy dostępu do konta internetowego użytkownika. W tym celu wysyłana jest prośba o udostępnienie danych logowania do bankowości internetowej związanych z kontem użytkownika, a następnie dane są przekazywane do banku użytkownika za pośrednictwem naszych systemów z wykorzystaniem szyfrowanej procedury. W przypadku niektórych banków wykorzystujemy w tym celu specjalne standardowe interfejsy banku użytkownika (np. FinTS lub dedykowany interfejs dla zewnętrznych dostawców usług). W innych bankach dostęp odbywa się poprzez interfejs użytkownika bankowości internetowej, tak jakby użytkownik sam się tam logował. Dane dostępowe służą wyłącznie do nawiązania połączenia z bankowością internetową użytkownika i są przechowywane w finAPI tylko wtedy, gdy użytkownik wyraził aktywną zgodę na ich przechowywanie. Transmisja do nas i do banku użytkownika odbywa się za pomocą szyfrowanego połączenia, zgodnego ze standardami bankowymi.
• Dane przygotowane za pomocą elektronicznego przetwarzania danych i połączone w różne kategorie (np. średni dochód, czynsz, zobowiązania kredytowe, liczba transakcji obciążenia zwrotnego)
• Specjalne dane osobowe opisane w punkcie 2.2.
• Dane dziennika (pliki dziennika), takie jak data i godzina dostępu, adres IP (jeśli jest wymagany przez bank), typ i wersja przeglądarki, używany system operacyjny, odwiedzane strony i transakcje bankowości internetowej.

2.5 Kategorie odbiorców danych osobowych

Odbiorcami w celach wymienionych w punkcie 2.1 lit. a) są klienci finAPI z siedzibą w Europejskim Obszarze Gospodarczym i w Szwajcarii, a także ew. w innych państwach trzecich (pod warunkiem że istnieje dla nich odpowiednia decyzja Komisji Europejskiej o odpowiednim poziomie ochrony lub uzgodniono standardowe klauzule umowne, które można znaleźć na stronie https://www.finapi.io/datenschutz-dsgvo/), czyli wybrani przez użytkownika dostawcy). Pozostałymi odbiorcami dla celów wymienionych w punkcie 2.1 lit. b) mogą być zewnętrzni wykonawcy finAPI zgodnie z art. 28 RODO, jak również zewnętrzne i wewnętrzne organy finAPI. Ponadto finAPI może ujawnić dane klientów osobom trzecim (np. zewnętrznym dostawcom usług, takim jak dostawcy usług IT, operatorzy aplikacji dla użytkowników końcowych, opartych na usługach finAPI, spółki stowarzyszone, takie jak SCHUFA Holding AG lub partnerzy biznesowi, a także instytucje prowadzące rachunki), każdorazowo w zakresie niezbędnym i prawnie dopuszczalnym dla celów określonych w punkcie 2.1 lit. b). Wrażliwe dane dostępowe, które umożliwiają dostęp do informacji o rachunku u dostawców rachunków, są przekazywane przez finAPI tylko odpowiedniej instytucji prowadzącej rachunek, ale nie innym osobom trzecim. finAPI podlega również ustawowym uprawnieniom interwencyjnym organów państwowych.

2.6 Czas przechowywania danych

Dane osobowe przechowujemy tylko przez określony czas. Decydującym kryterium dla określenia tego czasu jest konieczność przechowywania. Dane osobowe są zatem przechowywane i przetwarzane tak długo, jak jest to konieczne do odpowiednich celów. Należy zauważyć, że relacja biznesowa z użytkownikiem może być trwała i finAPI będzie przetwarzać dane co najmniej do końca tego stosunku umownego. Mogą również obowiązywać komercyjne, podatkowe i regulacyjne zobowiązania dotyczące przechowywania, dokumentacji i informacji, które są wiążące dla finAPI. Okresy takie wynoszą zazwyczaj do dziesięciu lat. Ponadto przetwarzanie może być konieczne przez dłuższy czas, na przykład w celu kontroli ochrony danych i bezpieczeństwa danych, a także w celu obrony prawnej. Jeżeli dane nie są już niezbędne do celów przetwarzania, są usuwane.

3. Prawa osób, których dane dotyczą

Użytkownik ma prawo do uzyskania od finAPI informacji zgodnie z art. 15 RODO, prawo do sprostowania zgodnie z art. 16 RODO, prawo do usunięcia danych zgodnie z art. 17 RODO, prawo do ograniczenia przetwarzania zgodnie z art. 18 RODO oraz prawo do przenoszenia danych zgodnie z art. 20 RODO. Aby skorzystać z tych praw, użytkownik może w każdej chwili skontaktować się z finAPI (dane kontaktowe podano w punkcie 1). Ponadto istnieje możliwość skontaktowania się z organem nadzorczym. Organem nadzorczym właściwym dla finAPI jest Bayerisches Landesamt für Datenschutzaufsicht (Bawarski Państwowy Urząd Nadzoru ds. Ochrony Danych).
W każdej chwili użytkownik może odwołać swoją zgodę wobec finAPI. Dotyczy to również zgód, które zostały udzielone jeszcze przed wejściem w życie RODO. Odwołanie zgody nie wpływa na zgodność z prawem przetwarzania danych osobowych do momentu odwołania.

Jesteśmy zobowiązani poinformować, że zgodnie z art. 21 ust 1 RODO użytkownik może wnieść sprzeciw wobec przetwarzania danych na podstawie art. 6 ust. 1 lit. e) i f) RODO z przyczyn wynikających z jego szczególnej sytuacji. W każdej chwili użytkownik może wyrazić sprzeciw wobec wykorzystania jego danych osobowych w celach reklamowych, w całości lub w odniesieniu do poszczególnych działań, zgodnie z art. 21 ust. 2 RODO. Sprzeciw może być złożony w dowolnej formie i należy go kierować na adres finAPI GmbH, Adams-Lehmann-Straße 44, D-80797 Monachium.

4. Profilowanie / Kategoryzacja

Jeśli wymaga tego wybrany przez użytkownika dostawca, informacje z rachunku użytkownika w bankowości internetowej mogą być przetwarzane (kategoryzacja) po dostępie do rachunku wywołanym przez użytkownika za pośrednictwem naszej aplikacji poprzez automatyczne przetwarzanie danych i przekazywane do dostawcy użytkownika, co pozwala na wyciągnięcie wniosków na temat sytuacji osobistej i ekonomicznej użytkownika (np. średni dochód, czynsz, zobowiązania kredytowe, liczba transakcji obciążenia zwrotnego).

Nie podejmujemy decyzji o jakiejkolwiek transakcji produktowej (np. pożyczkowej), którą użytkownik mógłby chcieć zrealizować. Odpowiedzialność za te działania ponosi wyłącznie dostawca użytkownika. Dostawca poinformuje użytkownika o wszelkich procesach profilowania i zautomatyzowanego podejmowania decyzji.