Tieto informácie o ochrane osobných údajov sú k dispozícii vo viacerých jazykoch. Rozhodujúca a právne záväzná je výlučne nemecká verzia. Ostatné jazykové verzie slúžia len na Vašu informáciu.
finAPI GmbH (ďalej len „finAPI“), Adams-Lehmann-Straße 44, D-80797 Mníchov (AG München, HRB
175250), e-mail: kontakt@finapi.io.
Podnikový poverenec pre ochranu údajov spoločnosti finAPI je dostupný na uvedenej adrese, na pozornosť oddelenia
Ochrana údajov alebo
e-mailom na adrese datenschutz@finapi.io.
a) finAPI je platobná inštitúcia pod dohľadom Spolkového úradu pre dohľad nad finančnými službami (BaFin),
ktorá poskytuje služby informovania o účtoch a služby iniciácie platieb.
Prostredníctvom služby informovania o účtoch poskytujeme službu cez Vášho poskytovateľa služby (napr.
internetový obchod,
poskytujúca banka, platforma finančného manažmentu, poskytovateľ hodnotenia úverovej bonity), ktorá Vám
umožňuje získať informácie o Vašich účtoch, prípadne ich v závislosti od požadovanej služby
spracovať (napr. kategorizácia údajov ako zistenie príjmov, nájomného, počtu vrátených inkás) a
následne ich sprístupniť Vášmu poskytovateľovi služby. Na tento účel sa prostredníctvom nášho webového
rozhrania,
resp. webového rozhrania Vašej banky, prihlásite do svojho online bankovníctva. finAPI následne získa informácie
o Vašich účtoch z Vašej banky a odovzdá ich Vami zvolenému poskytovateľovi služby – a to tie informácie,
ktoré sú potrebné na poskytnutie príslušného plnenia.
Službou iniciácie platieb Vám umožňujeme iniciovať platobné príkazy a platobné transakcie u Vášho
poskytovateľa účtu. Pred podaním môže byť overený Váš disponibilný rámec.
Na poskytovanie služieb informovania o účtoch a služieb iniciácie platieb je potrebné spracúvanie Vašich
osobných
údajov. Účelom spracúvania je predovšetkým plnenie našich zmluvných povinností
voči Vám ako koncovému používateľovi, resp. záujemcovi, ako aj voči našim zákazníkom (Vášmu poskytovateľovi
služby).
b) Ako platobná inštitúcia podlieha finAPI osobitným dohľadovým požiadavkám a regulačným povinnostiam, ako je predchádzanie, zisťovanie a odhaľovanie podvodov alebo zabránenie financovaniu terorizmu. Ak využívate služby informovania o účtoch a služby iniciácie platieb spoločnosti finAPI, Vaše osobné údaje môžeme spracúvať aj na plnenie takýchto zákonných povinností.
c) V rámci platobného styku a na zvýšenie bezpečnosti Vašich transakcií vykonávame overenie údajov o účte príjemcu (= Verification of Payee (VOP) podľa nariadenia EÚ Instant Payments Regulation (EU) 2024/886). Pri tom sa automatizovane porovnávajú meno a IBAN príjemcu s údajmi uloženými v banke príjemcu. Týka sa to prevodov SEPA a okamžitých prevodov SEPA v rámci EÚ/EHP, iné účty, ktoré nie sú platobnými účtami, sú z tejto úpravy vylúčené (napr. sporiace účty s dennou dispozíciou). Firemní klienti (podniky) môžu ako odosielatelia pri hromadných platbách dobrovoľne vylúčiť overenie príjemcu. Spracúvanie týchto údajov slúži výlučne na účel umožniť priradenie a overenie príjemcu platby v rámci bezpečnostných pravidiel pre platobné služby.
d) Zabezpečenie IT bezpečnosti a IT prevádzky môže za určitých okolností tiež vyžadovať spracúvanie Vašich osobných údajov. Okrem toho spracúvame získané údaje v zákonom dovolenom a vždy potrebnom rozsahu na interné účely. Zahŕňa to spracúvanie na účely zabezpečenia kvality (napr. vykonávanie vyhodnotení a analýz našich služieb), na zlepšovanie a rozširovanie našich služieb (ako je učeniu sa kategorizácie pohybov na účte) a s tým súvisiace výskumné a vývojové činnosti finAPI alebo s ňou spriaznených podnikov. Ďalej prípadne spracúvame Vaše osobné údaje na vlastnú správu pohľadávok alebo aj na priamu reklamu vlastných služieb. Ak nás kontaktujete, napr. e-mailom, spracúvame Vami poskytnuté údaje na účely vybavenia žiadosti a prípadnej následnej korešpondencie. Kde je to možné, Vaše údaje anonimizujeme alebo pseudonymizujeme.
e) Služby finAPI sú k dispozícii aj pre účty zo Spojeného kráľovstva (ďalej len účty UK). Napojenie účtov UK prebieha prostredníctvom partnera token.io Ltd. (ďalej len „partner token“), ktorý má povolenie orgánov Spojeného kráľovstva na poskytovanie finančných služieb (služby informovania o účtoch a služby iniciácie platieb). Prostredníctvom Vášho zvoleného poskytovateľa služby sa dostanete na webové rozhranie finAPI, ktoré v pozadí využíva služby token. Na využitie požadovaných služieb budete presmerovaní na príslušnú webovú stránku banky na prihlásenie do príslušného online bankovníctva.
f) Partner token získa požadované informácie o účtoch z Vašej banky, postúpi ich finAPI na
ďalšie dohodnuté spracovanie (napr. kategorizáciu) a sprístupní pre službu potrebné údaje
Vášmu poskytovateľovi služby.
Službou iniciácie platieb Vám umožňujeme iniciovať platobné príkazy a platobné transakcie u Vášho
poskytovateľa účtu v UK prostredníctvom partnera token. Na tento účel postúpime Vami poskytnuté údaje
nášmu partnerovi token na iniciáciu platby.
Ďalšie informácie o spracúvaní údajov s token nájdete v bode 3.
týchto informácií o ochrane osobných údajov.
g) Za určitých okolností je potrebné spracúvať Vaše osobné údaje, ak sa na nás obráti Váš poskytovateľ služby v prípade technických problémov alebo otázok v súvislosti s našou službou. Spracúvajú sa len tie osobné údaje, ktoré sú potrebné na objasnenie skutkového stavu.
h) Ak nás ako koncový používateľ kontaktujete, Vaše údaje sa spracúvajú výlučne na komunikáciu s Vami. Týka sa to aj prípadu, keď chcete ako spotrebiteľ uplatniť svoje práva dotknutej osoby podľa GDPR (pozri bod 4).
i) Ak využívate naše služby na platenie Vašich online nákupov, v jednotlivých prípadoch a pri kontrolách zo strany nášho dodávateľa môžu byť spracúvané Vaše osobné údaje. Deje sa tak na účel overenia správnosti vyúčtovania provízií za platby. Ak je to možné, osobné údaje z našej strany anonymizujeme.
j) Ďalšie poskytovanie Vašich osobných údajov sa uskutočňuje aj orgánom alebo inštitúciám, pokiaľ existuje zákonná povinnosť, alebo vybraným tretím stranám (napr. v prípade právneho poradenstva).
Osobné údaje spracúvame na základe príslušných právnych predpisov o ochrane údajov, najmä
ustanovení všeobecného nariadenia o ochrane údajov (GDPR) a nového spolkového zákona o ochrane údajov (BDSGneu),
ako aj
v súlade s ustanoveniami zákona o dohľade nad platobnými službami (ZAG).
Osobné údaje spracúvame na základe čl. 6 ods. 1 písm. b) GDPR a § 59 ods. 2 ZAG
na vykonanie predzmluvných opatrení, na plnenie zmluvných povinností finAPI voči
našim zákazníkom (Vášmu poskytovateľovi služby) a Vám ako koncovému používateľovi, resp. záujemcovi. Podrobnosti
nájdete v našej zmluve o používaní, ktorá sa vzťahuje na Vaše využívanie našich služieb informovania o účtoch a
služieb iniciácie platieb.
Okrem toho spracúvame Vaše údaje v nevyhnutne potrebnom rozsahu na základe čl. 6 ods. 1
písm. c) GDPR na plnenie právnych, najmä dohľadových povinností. Podľa čl. 6 ods. 1
písm. f) GDPR môžeme Vaše osobné údaje spracúvať, pokiaľ je spracúvanie potrebné na ochranu
oprávnených záujmov finAPI alebo tretej strany a neprevažujú záujmy alebo základné práva
a slobody dotknutej osoby vyžadujúce ochranu osobných údajov. Spracúvanie
osobných údajov sa vykonáva len vtedy, ak je po zvážení všetkých záujmov prípustné. Oprávnený
záujem na spracúvaní vyplýva z príslušných účelov podľa bodu 3.1 a môže byť
okrem toho aj hospodárskej povahy.
Informácie o účtoch, ktoré sa majú sprístupniť Vášmu poskytovateľovi služby, môžu prípadne obsahovať osobitné
kategórie osobných údajov (porov. čl. 9 ods. 1 GDPR). Môže ísť o údaje o
Vašom rasovom alebo etnickom pôvode, politických názoroch, náboženskom alebo filozofickom presvedčení,
členstve v odboroch, zdravotné údaje alebo údaje o sexuálnom živote či orientácii.
Napríklad zo správy účelu platby alebo z príjemcov platieb možno vyvodiť zodpovedajúce závery.
Prípustnosť spracúvania týchto údajov na účely poskytovania služby si dohodnete so
svojím poskytovateľom služby.
Nie ste povinní nám poskytovať osobné údaje. Bez Vašich údajov však nie je pre nás
možná realizácia zmluvného vzťahu a tým ani poskytovanie zmluvne dohodnutých plnení.
Vaše osobné údaje spracúvame v rámci služieb informovania o účtoch a služieb iniciácie platieb. Pri tom vznikajúce osobné údaje pochádzajú z úverových a finančných inštitúcií, spoločností vydávajúcich platobné karty a iných poskytovateľov finančných údajov, ku ktorým sa pristupuje výlučne s Vaším súhlasom a po príslušnom prihlásení Vami do online bankovníctva cez našu aplikáciu finAPI alebo pri účtoch UK prostredníctvom partnera token. Pôvod údajov sa preto môže líšiť podľa využitej služby. Keďže prístup k účtom vždy vyžaduje Váš súhlas, sú Vám známe účty sprístupnené pre prístup zo strany finAPI a osobné údaje v nich obsiahnuté. Vaše osobné údaje k nám môžu prísť aj cez Vášho poskytovateľa služby (napr. v prípade technických problémov) alebo priamo od Vás (napr. z Vašej e-mailovej žiadosti).
Vaše osobné údaje spracúvame v Nemecku alebo v EÚ; ďalšie informácie nájdete v bode 3.6.
a) Príjemcami na účely uvedené v bode 3.1 písmeno a) sú v Európskom hospodárskom priestore a vo Švajčiarsku, ako aj prípadne v ďalších tretích krajinách (pokiaľ pre ne existuje príslušné rozhodnutie Európskej komisie o primeranosti alebo boli dohodnuté štandardné zmluvné doložky, ktoré je možné nájsť na https://www.finapi.io/datenschutz-dsgvo/) sídliaci zákazníci finAPI (t. j. Vami zvolený poskytovateľ). Ďalšími príjemcami môžu byť na účely uvedené v bode 3.1 písmeno b) aj externí spracovatelia finAPI podľa čl. 28 GDPR, ako aj externé a interné útvary finAPI. Ďalej môže finAPI na účely uvedené v bode 3.1 písmeno b) poskytovať zákaznícke údaje v vždy potrebnom a zákonom dovolenom rozsahu prípadne aj tretím stranám (napr. externým poskytovateľom, ako sú IT poskytovatelia, prevádzkovatelia aplikácií pre koncových používateľov na báze služieb finAPI, prepojené podniky alebo obchodní partneri, ako aj účtujúce inštitúcie). Citlivé prístupové údaje, ktoré umožňujú prístup k informáciám o účtoch u Vašich poskytovateľov účtov, odovzdáva finAPI výlučne príslušnej účtujúcej inštitúcii, nie však iným tretím stranám. finAPI navyše podlieha zákonným oprávneniam zásahov štátnych orgánov.
b) Vaše osobné údaje spracúvame v dátových centrách v Nemecku alebo EÚ prostredníctvom hostingu
Amazon Web Services. Poskytovateľom služby Amazon Web Services je Amazon Web Services EMEA SARL, 5 rue
Plaetis, Luxembourg, L-2338, Luxembursko. S poskytovateľom sme uzavreli zmluvu o spracúvaní údajov
podľa čl. 28 GDPR.
Poskytovateľ má sídlo v USA, takže vo výnimočných prípadoch môže dôjsť k prenosu údajov medzi
Amazon Web Services EMEA SARL a materskou spoločnosťou. Pri spracúvaní používame viacnásobný
šifrovací systém. Osobné údaje nie sú v žiadnom okamihu dostupné na serveroch AWS v nešifrovanej podobe
a nemôžu do nich nahliadať ani samotné AWS, ani iné tretie strany (vrátane americkej materskej spoločnosti).
Šifrovanie prebieha podľa aktuálneho stavu techniky a spĺňa požiadavky
GDPR.
Viac o údajoch spracúvaných pri používaní Amazon Web Services (AWS) sa dozviete v
zásadách ochrany osobných údajov na adrese https://aws.amazon.com/de/privacy/.
c) Pri napájaní niektorých bankových účtov z EÚ spracúvame údaje prostredníctvom token GmbH, c/o
Industrious, Schicklerstraße 5, 10179 Berlín. Pri napájaní účtov UK používame pre tieto služby
token.io Ltd., 4th Floor, 70 St Mary Axe, London, EC3A 8BE, England, ktorej spracúvanie údajov prebieha zmluvne
v
EÚ. S poskytovateľom sme uzavreli zmluvu o spracúvaní údajov podľa čl. 28 GDPR.
Vo výnimočných prípadoch môže dôjsť k prenosu údajov medzi token GmbH a token.io Ltd. so spriaznenou
spoločnosťou
token Inc., 548 Market Street, STE 57805, San Francisco, CA, 94104-5401 v USA. Pre prípadný
prenos údajov boli medzi token GmbH, token.io Ltd. a token Inc. uzavreté štandardné zmluvné doložky ako
primerané záruky podľa čl. 46 ods. 1 a ods. 2 písm. c) GDPR. Ďalšie informácie o
ochrane údajov partnera token nájdete na: https://token.io/policies/privacy-policy
d) Naše služby GiroIdent Plus, GiroIdent Jugendschutz a GiroIdent GwG ponúkajú ďalšie overenie mena, adresy a dátumu narodenia, pri službe GiroIdent GwG navyše IBAN. Na tento účel používame porovnanie s databázou SCHUFA Holding AG, Komoranweg 5, 65201 Wiesbaden. SCHUFA Holding AG je spoľahlivá a bezpečná úverová informačná spoločnosť. Poskytovateľovi sa odovzdávajú len tie osobné údaje, ktoré sú pre službu nevyhnutné. Ďalšie informácie o ochrane údajov poskytovateľa SCHUFA nájdete na: https://www.meineschufa.de/de/datenschutzhinweis.
e) Na rýchlu a efektívnu podporu pri technických problémoch alebo otázkach používame pri
spracúvaní náš ticketovací systém, softvérové riešenie od spoločnosti Zendesk, 989 Market St, San Francisco, CA
94103,
USA. Hneď ako Váš poskytovateľ služby kontaktuje našu podporu, automaticky sa vytvorí tiket.
S poskytovateľom máme zmluvne dohodnuté, že spracúvanie osobných údajov prebieha výlučne v EÚ.
Pre prípadný prenos údajov do USA používa Zendesk štandardné zmluvné doložky, ktoré ako primerané záruky podľa
čl. 46 ods. 1 a ods. 2 písm. c)
spĺňajú požiadavky ochrany údajov. S poskytovateľom máme uzavretú zmluvu o spracúvaní údajov podľa čl. 28
GDPR.
Ďalšie informácie o ochrane údajov spoločnosti Zendesk nájdete na: https://www.zendesk.de/company/agreements-and-terms/privacy-notice/
V prípade technických otázok alebo porúch rozhraní FinTS bánk, ktoré získavame cez B+S Banksysteme
Aktiengesellschaft, kontaktujeme zákaznícku podporu B+S (Banksysteme Aktiengesellschaft,
Elsenheimerstraße 45, 80687 München, resp. B+S Banksysteme Salzburg GmbH, Siezenheimer Straße 39a, A 5020
Salzburg). Zákazník, teda Váš poskytovateľ služby, dostane cez ticketovací systém Zendesk informáciu, ak bola
potrebná ďalšia spracovateľská činnosť cez B+S. S poskytovateľom služby máme
uzavretú zmluvu o spracúvaní údajov podľa čl. 28 GDPR. Ďalšie informácie o ochrane údajov
B+S Banksysteme Aktiengesellschaft nájdete na: https://bs-ag.com/wir-uber-uns/datenschutz/
Osobné údaje uchovávame len určitý čas. Rozhodujúcim kritériom na určenie tohto času je nevyhnutnosť. Osobné údaje sa preto uchovávajú a spracúvajú tak dlho, ako je to potrebné na príslušné účely. Treba vziať do úvahy, že obchodný vzťah s Vami môže byť dlhodobý a finAPI spracúva údaje prinajmenšom do konca tohto zmluvného vzťahu. Môžu tiež platiť obchodné, daňové a dohľadové lehoty uchovávania, dokumentačné a informačné povinnosti, ktorými je finAPI viazaná. Takéto lehoty spravidla predstavujú až desať rokov. Okrem toho môže byť spracúvanie potrebné aj dlhšie, napríklad na účely kontroly ochrany údajov, zálohovania údajov a na právnu obranu. Ak údaje už nie sú potrebné na účely spracúvania, sú vymazané.
Služby informovania o účtoch a služby iniciácie platieb, ktoré sa týkajú účtov UK, sa poskytujú prostredníctvom
partnera token
(porov. 3.1 písmeno c) týchto informácií o ochrane osobných údajov), pretože tento má potrebné povolenie
orgánov Spojeného kráľovstva.
Za prístup k účtu a získanie informácií o účte, ako aj za služby iniciácie platieb je podľa GDPR zodpovedným
subjektom
token.io Ltd., 4th Floor, 70 St Mary Axe, London, EC3A 8BE, England; na tento účel sa uplatňujú
Všeobecné podmienky partnera token (bližšie informácie sú uvedené v zmluvných podmienkach).
finAPI vykonáva činnosti poskytovania webového rozhrania, resp. presmerovania na
webové rozhranie Vašej banky (na prihlásenie do online bankovníctva pri účtoch UK), ako aj prijímanie
získaných informácií o účte ako spracovateľ podľa GDPR. Na tento účel existuje
zmluva o spracúvaní údajov medzi partnerom token a finAPI.
Ďalšie spracúvanie informácií o účte (napr. kategorizácia) v súvislosti s účtami UK vykonáva
finAPI ako zodpovedný subjekt podľa GDPR. Spracúvanie údajov opísané v oddiele 2
sa v tomto oddiele uplatní analogicky.
V tejto súvislosti môže byť potrebný prenos údajov z finAPI k partnerovi token, napríklad
v súvislosti s podporou. Takéto prenosy údajov sa uskutočňujú vo Vašom vlastnom záujme podľa čl. 6 ods. 1 písm.
b) GDPR. Pre Spojené kráľovstvo existuje rozhodnutie EÚ o primeranosti, takže
prípadný prenos údajov do UK poskytuje rovnakú úroveň ochrany údajov ako v EÚ.
Ďalšie informácie o ochrane údajov partnera token nájdete na: https://token.io/policies/privacy-policy
Voči finAPI, v prípadoch, keď vystupuje ako prevádzkovateľ, máte právo na prístup podľa čl. 15
GDPR, právo na opravu podľa čl. 16 GDPR, právo na vymazanie podľa čl. 17 GDPR, právo
na obmedzenie spracúvania podľa čl. 18 GDPR a právo na prenosnosť údajov podľa čl. 20
GDPR. Na uplatnenie týchto práv sa môžete kedykoľvek obrátiť na finAPI (kontaktné údaje pozri bod
1). Okrem toho máte možnosť obrátiť sa na dozorný orgán. Pre finAPI je príslušným dozorným orgánom
Bavorský krajinský úrad pre dohľad nad ochranou údajov.
Udelené súhlasy môžete kedykoľvek voči finAPI odvolať. Platí to aj pre
súhlasy, ktoré boli udelené ešte pred nadobudnutím účinnosti GDPR. Odvolanie súhlasu nemá vplyv
na zákonnosť spracúvania osobných údajov do momentu odvolania.
Sme povinní Vás upozorniť, že podľa čl. 21 ods. 1 GDPR môžete namietať proti spracúvaniu údajov na základe čl. 6 ods. 1 písm. e) a f) GDPR z dôvodov, ktoré vyplývajú z Vašej osobitnej situácie. Proti používaniu Vašich osobných údajov na marketingové účely môžete podľa čl. 21 ods. 2 GDPR kedykoľvek v celom rozsahu alebo voči jednotlivým opatreniam namietať. Námietka môže byť podaná bez formálnych náležitostí a adresuje sa na finAPI GmbH, Adams-Lehmann-Straße 44, D-80797 Mníchov.
Ak to vyžaduje Váš zvolený poskytovateľ služby, po prístupe k účtu, ktorý ste iniciovali,
môžu byť prostredníctvom našej aplikácie pomocou automatizovaného spracúvania údajov informácie z Vášho
online bankového účtu spracované (kategorizácia) a odovzdané Vášmu poskytovateľovi služby, pričom z nich možno
vyvodiť závery o Vašej osobnej a ekonomickej situácii (napr. priemerný príjem, nájomné, úverové záväzky,
počet vrátených inkás). Automatizované spracúvanie údajov môže byť pri označených službách vykonávané aj cez
naše systémy využívajúce algoritmy umelej inteligencie. Tieto systémy sú
implementované v rámci architektúry finAPI, t. j. údaje neodchádzajú k tretím stranám, najmä nie k
poskytovateľom umelej inteligencie.
Nerozhodujeme o prípadnom Vami požadovanom uzatvorení produktu (napr.
poskytnutie úveru). To je výlučne v kompetencii Vášho poskytovateľa služby. O prípadnom profilovaní,
ako aj o automatizovanom rozhodovaní u Vášho poskytovateľa služby Vás bude informovať on.