Prezenta notă de informare privind protecția datelor este disponibilă în mai multe limbi. Doar versiunea în limba germană este autentică și are forță juridică. Celelalte versiuni lingvistice sunt furnizate exclusiv cu titlu informativ.
finAPI GmbH (denumită în continuare „finAPI”), Adams-Lehmann-Straße 44, D-80797 München (AG München, HRB
175250), e-mail: kontakt@finapi.io.
Responsabilul cu protecția datelor al finAPI poate fi contactat la adresa de mai sus (în atenția departamentului
Protecția datelor)
sau prin e-mail la datenschutz@finapi.io.
a) finAPI este o instituție de plată supravegheată de Autoritatea Federală pentru Supravegherea Serviciilor
Financiare (BaFin),
care furnizează servicii de informare privind conturile și servicii de inițiere a plăților.
Prin intermediul serviciului de informare privind conturile punem la dispoziție, prin furnizorul dvs. de
servicii (de ex. comerciant online,
bancă creditoare, platformă de administrare financiară, furnizor de evaluări ale bonității), un serviciu care vă
permite
să preluați informații despre conturile dvs., să le pregătiți, după caz și în funcție de serviciul solicitat
(de ex. categorizarea datelor precum determinarea veniturilor, cheltuieli de chirie, numărul retururilor de
debit) și
să le puneți la dispoziția furnizorului dvs. de servicii. În acest scop vă autentificați în online banking prin
interfața noastră web
sau prin interfața web a băncii dvs. finAPI preia apoi informațiile despre cont
de la banca dvs. și transmite furnizorului de servicii selectat de dvs. informațiile
necesare pentru prestarea corespunzătoare.
Prin serviciul de inițiere a plăților vă permitem să inițiați ordine și operațiuni de plată la prestatorul dvs.
de cont.
Înainte de transmitere, plafonul dvs. disponibil poate fi verificat.
Pentru furnizarea serviciilor de informare privind conturile și de inițiere a plăților este necesară prelucrarea
datelor dvs. cu caracter personal.
Scopul prelucrării este, în primul rând, îndeplinirea obligațiilor noastre contractuale
față de dvs., în calitate de utilizator final sau persoană interesată, precum și față de clienții noștri
(furnizorul dvs. de servicii).
b) În calitate de instituție de plată, finAPI este supusă unor cerințe de supraveghere și obligații de reglementare specifice, precum prevenirea, identificarea și constatarea fraudelor sau prevenirea finanțării terorismului. Atunci când utilizați serviciile de informare privind conturile și de inițiere a plăților ale finAPI, datele dvs. cu caracter personal pot fi prelucrate și de noi pentru îndeplinirea unor astfel de obligații legale.
c) În cadrul operațiunilor de plată și pentru creșterea securității tranzacțiilor dvs., efectuăm o verificare a beneficiarului (= Verification of Payee – VOP, conform Regulamentului (UE) 2024/886 privind plățile instant). Numele și IBAN-ul beneficiarului sunt comparate automat cu datele stocate la banca beneficiarului. Aceasta se aplică transferurilor SEPA și transferurilor SEPA instant în cadrul UE/SEE; alte conturi care nu sunt conturi de plăți sunt excluse (de ex. conturi de economii). Clienții corporativi (întreprinderi), în calitate de plătitori, pot exclude voluntar verificarea beneficiarului pentru plățile în fișiere (batch). Prelucrarea acestor date servește exclusiv pentru a permite atribuirea și verificarea beneficiarului, în conformitate cu cerințele de securitate pentru serviciile de plată.
d) Asigurarea securității și a funcționării IT poate, în anumite situații, să necesite prelucrarea datelor dvs. cu caracter personal. În plus, prelucrăm datele preluate, în măsura permisă de lege și necesară în fiecare caz, în scopuri interne. Aceasta include prelucrarea pentru asigurarea calității (de ex. realizarea de evaluări și analize ale serviciilor noastre), îmbunătățirea și extinderea serviciilor noastre (cum ar fi instruirea algoritmilor de categorizare a tranzacțiilor) și activitățile de cercetare și dezvoltare ale finAPI sau ale entităților afiliate. De asemenea, putem prelucra datele dvs. cu caracter personal, după caz, pentru administrarea creanțelor sau pentru marketing direct al propriilor servicii. Dacă ne contactați, de ex. prin e-mail, prelucrăm datele furnizate de dvs. pentru gestionarea solicitării și pentru o corespondență ulterioară. Atunci când este posibil, anonimizăm sau pseudonimizăm datele.
e) Serviciile finAPI sunt disponibile și pentru conturi din Regatul Unit (în continuare „conturi UK”). Conectarea conturilor UK se realizează prin partenerul token.io Ltd. (în continuare „partenerul token”), care deține autorizația autorităților britanice pentru furnizarea de servicii financiare (servicii de informare privind conturile și servicii de inițiere a plăților). Prin furnizorul dvs. de servicii selectat veți fi direcționat către o interfață web finAPI, care utilizează în fundal serviciile token. Pentru utilizarea serviciilor dorite, veți fi redirecționat către site-ul băncii relevante pentru autentificarea în online banking.
f) Partenerul token preia informațiile de cont necesare de la banca dvs., le transmite finAPI pentru
prelucrarea suplimentară convenită (de ex. categorizare) și pune la dispoziția furnizorului dvs. de servicii
datele
necesare pentru serviciu.
Prin serviciul de inițiere a plăților vă permitem să inițiați ordine și operațiuni de plată la prestatorul dvs.
de cont
din Regatul Unit prin partenerul token. În acest scop, transmitem partenerului nostru token datele furnizate de
dvs.
pentru inițierea plății.
Pentru mai multe informații privind prelucrarea datelor cu token, vă rugăm să consultați Secțiunea 3 din
prezenta
notă.
g) Poate fi necesară prelucrarea datelor dvs. cu caracter personal dacă furnizorul dvs. de servicii ne contactează în cazul unor probleme tehnice sau al unor întrebări legate de serviciul nostru. Vor fi prelucrate doar datele personale necesare clarificării situației.
h) Dacă ne contactați în calitate de utilizator final, datele dvs. vor fi prelucrate exclusiv pentru comunicarea cu dvs. Aceasta se aplică și în cazul în care, în calitate de consumator, doriți să vă exercitați drepturile conferite de RGPD (a se vedea Secțiunea 4).
i) Dacă utilizați serviciile noastre pentru a achita cumpărăturile online, datele dvs. cu caracter personal pot fi prelucrate, în cazuri individuale și cu ocazia unor verificări efectuate de furnizorul nostru. Aceasta are ca scop verificarea corectitudinii decontărilor comisioanelor pentru plăți. Atunci când este posibil, anonimizăm aceste date.
j) Datele dvs. cu caracter personal sunt, de asemenea, divulgate autorităților sau instituțiilor atunci când există o obligație legală, ori unor terți selectați (de ex. în cazul consultanței juridice).
Prelucrăm datele cu caracter personal în temeiul legislației aplicabile în domeniul protecției datelor, în
special
al Regulamentului general privind protecția datelor (RGPD) și al noii Legi federale germane privind protecția
datelor (BDSGneu), precum și
în conformitate cu dispozițiile Legii germane privind supravegherea serviciilor de plată (ZAG).
Datele personale sunt prelucrate în temeiul art. 6 alin. (1) lit. b) RGPD și § 59 alin. (2) ZAG
pentru executarea măsurilor precontractuale, pentru îndeplinirea obligațiilor contractuale ale finAPI față de
clienții noștri (furnizorul dvs. de servicii) și față de dvs., în calitate de utilizator final sau persoană
interesată. Detalii
găsiți în acordul nostru de utilizare care reglementează utilizarea de către dvs. a serviciilor noastre de
informare privind conturile și
de inițiere a plăților.
În plus, prelucrăm datele dvs., în măsura strict necesară, în temeiul art. 6 alin. (1)
lit. c) RGPD pentru a respecta obligații legale, în special de supraveghere. În temeiul art. 6 alin. (1)
lit. f) RGPD, putem prelucra datele dvs. personale atunci când prelucrarea este necesară în scopul intereselor
legitime
urmărite de finAPI sau de un terț și când aceste interese nu sunt prevalate de interesele ori drepturile și
libertățile fundamentale
ale persoanei vizate care impun protecția datelor. Datele cu caracter personal sunt prelucrate
numai dacă, după o balanță a intereselor, acest lucru este permis. Interesul legitim rezultă din scopurile
prevăzute la Secțiunea 3.1 și poate fi și de natură economică.
Informațiile privind contul care urmează a fi puse la dispoziția furnizorului dvs. de servicii pot conține, după
caz,
categorii speciale de date cu caracter personal (a se vedea art. 9 alin. (1) RGPD). Acestea pot include
informații
despre originea rasială sau etnică, opinii politice, convingeri religioase sau filozofice,
apartenență sindicală, date privind sănătatea sau date privind viața sexuală ori orientarea sexuală.
De exemplu, din câmpurile de descriere a plății sau din beneficiari s-ar putea trage anumite concluzii.
Permisibilitatea prelucrării acestor date în vederea prestării serviciului este convenită între dvs.
și furnizorul dvs. de servicii.
Nu sunteți obligat(ă) să ne furnizați date personale. Totuși, fără aceste date nu putem executa
relația contractuală și, în consecință, nu putem furniza serviciile convenite.
Prelucrăm datele dvs. cu caracter personal în contextul serviciilor de informare privind conturile și al serviciilor de inițiere a plăților. Datele personale generate în acest context provin de la instituțiile de credit și financiare, emitenții de carduri și alți furnizori de date financiare, la care se accesează doar cu consimțământul dvs. și după autentificarea în online banking prin aplicația noastră finAPI sau, pentru conturile UK, prin partenerul token. Proveniența datelor poate varia, așadar, în funcție de serviciul utilizat. Deoarece accesul la conturi necesită întotdeauna consimțământul dvs., cunoașteți conturile autorizate pentru acces de către finAPI și datele personale conținute în acestea. Datele personale pot ajunge la noi și prin furnizorul dvs. de servicii (de ex. în caz de probleme tehnice) sau direct de la dvs. (de ex. din solicitarea dvs. prin e-mail).
Prelucrăm datele dvs. personale în Germania sau în UE; pentru informații suplimentare, consultați Secțiunea 3.6.
a) Destinatarii în scopurile menționate la Secțiunea 3.1(a) sunt clienți ai finAPI stabiliți în Spațiul Economic European și în Elveția, precum și, după caz, în alte state terțe (în măsura în care există o decizie de adecvare a Comisiei Europene pentru aceste state sau au fost convenite clauze contractuale standard, care pot fi consultate la https://www.finapi.io/datenschutz-dsgvo/) (adică furnizorul pe care l-ați ales). Alți destinatari pentru scopurile menționate la Secțiunea 3.1(b) pot fi persoane împuternicite externe ale finAPI în sensul art. 28 RGPD, precum și unități externe și interne ale finAPI. De asemenea, în scopurile menționate la Secțiunea 3.1(b), finAPI poate divulga date ale clienților către terți, în măsura necesară și permisă de lege (de ex. furnizori externi precum prestatori IT, operatori de aplicații pentru utilizatori finali bazate pe serviciile finAPI, societăți afiliate sau parteneri de afaceri, precum și instituții la care sunt deschise conturile). Datele sensibile de acces care permit accesul la informațiile despre cont la prestatorii dvs. de cont sunt divulgate de finAPI exclusiv instituției la care este deschis contul, și nu altor terți. finAPI este, de asemenea, supusă prerogativelor legale de intervenție ale autorităților publice.
b) Prelucrăm datele dvs. personale în centre de date din Germania sau din UE prin găzduirea oferită de
Amazon Web Services. Furnizorul de servicii este Amazon Web Services EMEA SARL, 5 rue
Plaetis, Luxembourg, L-2338, Luxemburg. Am încheiat cu acest furnizor un acord de prelucrare a datelor
conform art. 28 RGPD.
Furnizorul are sediul în Statele Unite, astfel că, în cazuri excepționale, poate avea loc un transfer de date
între
Amazon Web Services EMEA SARL și societatea-mamă. Pentru prelucrare utilizăm un sistem de criptare în mai multe
straturi.
Datele cu caracter personal nu sunt accesibile în clar pe serverele AWS și nu pot fi vizualizate nici de AWS,
nici de terți
(inclusiv de societatea-mamă din SUA). Criptarea se realizează conform stadiului actual al tehnicii și
îndeplinește cerințele
RGPD.
Mai multe informații despre datele prelucrate prin utilizarea Amazon Web Services (AWS) găsiți în politica de
confidențialitate: https://aws.amazon.com/de/privacy/.
c) Pentru conectarea unor conturi bancare din UE prelucrăm datele prin token GmbH, c/o
Industrious, Schicklerstraße 5, 10179 Berlin. Pentru conectarea conturilor UK utilizăm
token.io Ltd., 4th Floor, 70 St Mary Axe, London, EC3A 8BE, Anglia, al cărei proces de prelucrare a datelor are
loc contractual
în UE. Am încheiat cu acest furnizor un acord de prelucrare a datelor conform art. 28 RGPD.
În cazuri excepționale poate avea loc un transfer de date între token GmbH și token.io Ltd. împreună cu
societatea afiliată
token Inc., 548 Market Street, STE 57805, San Francisco, CA, 94104-5401, SUA. Pentru un astfel de transfer
au fost încheiate între token GmbH, token.io Ltd. și token Inc. clauze contractuale standard ca garanții
adecvate
conform art. 46 alin. (1) și (2) lit. c) RGPD. Informații suplimentare despre protecția datelor la partenerul
token: https://token.io/policies/privacy-policy
d) Serviciile noastre GiroIdent Plus, GiroIdent Protecția Minorilor și GiroIdent GwG oferă o verificare suplimentară a numelui, adresei și datei nașterii; pentru GiroIdent GwG, de asemenea, a IBAN-ului. În acest scop utilizăm o comparație cu baza de date a SCHUFA Holding AG, Komoranweg 5, 65201 Wiesbaden. SCHUFA Holding AG este o agenție de referință de credit fiabilă și sigură. Sunt transmise furnizorului doar datele personale necesare pentru serviciu. Mai multe informații privind protecția datelor la SCHUFA: https://www.meineschufa.de/de/datenschutzhinweis.
e) Pentru a oferi asistență rapidă și eficientă în cazul problemelor tehnice sau al întrebărilor, utilizăm, în
gestionare,
sistemul nostru de tichete, o soluție software de la Zendesk, 989 Market St, San Francisco, CA 94103,
SUA. De îndată ce furnizorul dvs. de servicii contactează suportul nostru, este creat automat un tichet.
Am convenit contractual cu furnizorul ca prelucrarea datelor personale să aibă loc exclusiv în UE.
Pentru eventuale transferuri de date în SUA, Zendesk utilizează clauze contractuale standard care, ca garanții
adecvate în sensul
art. 46 alin. (1) și (2) lit. c), respectă cerințele de protecție a datelor. Am încheiat cu furnizorul un acord
de prelucrare
în temeiul art. 28 RGPD.
Informații suplimentare privind protecția datelor la Zendesk: https://www.zendesk.de/company/agreements-and-terms/privacy-notice/
În cazul întrebărilor tehnice sau al disfuncționalităților interfețelor FinTS ale băncilor, pe care le obținem
prin B+S Banksysteme
Aktiengesellschaft, contactăm serviciul clienți B+S (Banksysteme Aktiengesellschaft,
Elsenheimerstraße 45, 80687 München, respectiv B+S Banksysteme Salzburg GmbH, Siezenheimer Straße 39a, A-5020
Salzburg). Clientul, adică furnizorul dvs. de servicii, primește informații prin sistemul de tichete Zendesk
dacă
a fost necesară o prelucrare suplimentară prin B+S. Am încheiat cu acest furnizor un acord de prelucrare
conform art. 28 RGPD. Informații suplimentare privind protecția datelor la
B+S Banksysteme Aktiengesellschaft: https://bs-ag.com/wir-uber-uns/datenschutz/
Stocăm datele personale doar pentru o perioadă determinată. Criteriul decisiv pentru stabilirea acestei perioade este necesitatea. Prin urmare, datele personale sunt stocate și prelucrate atât timp cât este necesar pentru scopurile respective. Este de menționat că relația comercială cu dvs. poate fi de lungă durată și că finAPI prelucrează datele cel puțin până la sfârșitul acestei relații contractuale. În plus, se pot aplica obligații de păstrare, documentare și informare de natură comercială, fiscală și de supraveghere, la care finAPI este obligată. Astfel de perioade sunt, de regulă, de până la zece ani. De asemenea, prelucrarea poate fi necesară pentru o perioadă mai lungă, de exemplu în scopuri de control al protecției datelor, backup de date și apărare în justiție. Dacă datele nu mai sunt necesare pentru scopurile prelucrării, acestea vor fi șterse.
Serviciile de informare privind conturile și de inițiere a plăților care privesc conturi UK sunt furnizate prin
partenerul token
(a se vedea Secțiunea 3.1(c) din prezenta notă), deoarece acesta deține autorizația necesară din partea
autorităților britanice.
Pentru accesul la cont și preluarea informațiilor de cont, precum și pentru serviciile de inițiere a plăților,
token.io Ltd.,
4th Floor, 70 St Mary Axe, London, EC3A 8BE, Anglia, este operator în sensul RGPD; se aplică Termenii și
Condițiile
partenerului token (informații suplimentare sunt prevăzute în Condițiile de utilizare).
finAPI desfășoară activitățile de punere la dispoziție a interfeței web sau de redirecționare
către interfața web a băncii dvs. (pentru autentificarea în online banking pentru conturile UK), precum și
primirea
informațiilor de cont preluate, în calitate de persoană împuternicită în sensul RGPD. În acest scop
există un acord de prelucrare a datelor între partenerul token și finAPI.
Prelucrarea ulterioară a informațiilor de cont (de ex. categorizare) în legătură cu conturile UK este efectuată
de finAPI în calitate de operator în sensul RGPD. Prelucrarea datelor descrisă la Secțiunea 2
se aplică în mod corespunzător în această secțiune.
În acest context poate fi necesar un transfer de date de la finAPI către partenerul token, de exemplu
în chestiuni de suport. Astfel de transferuri au loc în interesul dvs. legitim, în temeiul art. 6 alin. (1)
lit. b) RGPD. Pentru Regatul Unit există o decizie de adecvare a UE, astfel încât
un eventual transfer de date către UK oferă același nivel de protecție ca în UE.
Informații suplimentare privind protecția datelor la partenerul token: https://token.io/policies/privacy-policy
În cazurile în care finAPI acționează ca operator, aveți dreptul de acces conform art. 15
RGPD, dreptul la rectificare conform art. 16 RGPD, dreptul la ștergere conform art. 17 RGPD, dreptul
la restricționarea prelucrării conform art. 18 RGPD și dreptul la portabilitatea datelor conform art. 20
RGPD. Vă puteți exercita aceste drepturi în orice moment contactând finAPI (datele de contact se găsesc la
Secțiunea
1). De asemenea, aveți posibilitatea de a contacta o autoritate de supraveghere. Autoritatea competentă pentru
finAPI
este Bayerisches Landesamt für Datenschutzaufsicht (Autoritatea bavareză pentru supravegherea protecției
datelor).
Vă puteți revoca în orice moment consimțămintele acordate. Aceasta se aplică și consimțămintelor acordate
înainte de intrarea în vigoare a RGPD. Revocarea nu afectează
legalitatea prelucrării efectuate în baza consimțământului înainte de revocare.
Suntem obligați să vă informăm că, în temeiul art. 21 alin. (1) RGPD, vă puteți opune prelucrării datelor în temeiul art. 6 alin. (1) lit. e) și f) RGPD din motive legate de situația dvs. particulară. Vă puteți opune oricând, integral sau parțial, utilizării datelor dvs. personale în scopuri de marketing, în temeiul art. 21 alin. (2) RGPD. Opoziția poate fi făcută în formă liberă și trebuie adresată către finAPI GmbH, Adams-Lehmann-Straße 44, D-80797 München.
Dacă este necesar pentru furnizorul dvs. de servicii selectat, după un acces la cont inițiat de dvs.,
informații din contul dvs. de online banking pot fi prelucrate prin aplicația noastră, prin prelucrare
automatizată
(categorizare) și transmise furnizorului dvs. de servicii, permițând deducerea unor concluzii privind
situația dvs. personală și economică (de ex. venit mediu, chirie, obligații de credit,
numărul retururilor de debit). Prelucrarea automatizată poate fi realizată, pentru serviciile indicate, și prin
sistemele noastre care utilizează algoritmi de inteligență artificială. Aceste sisteme sunt
implementate în cadrul arhitecturii finAPI, adică nu se transferă date către terți, în special către
furnizori de inteligență artificială.
Nu luăm nicio decizie cu privire la o eventuală încheiere de produs dorită de dvs. (de ex.
acordarea unui credit). Aceasta intră exclusiv în responsabilitatea furnizorului dvs. de servicii. Furnizorul
dvs. vă va informa
cu privire la orice activități de profilare sau decizii automatizate realizate de acesta.