Zásady ochrany osobních údajů pro služby BankID

A. KDO JE SPRÁVCEM VAŠICH OSOBNÍCH ÚDAJŮ?

Při využití služeb společnosti Bankovní identita, a.s., IČO: 095 13 817, se sídlem Smrčkova 2485/4, Libeň, 180 00 Praha 8 (dále jen „BankID“ nebo „my“) zpracovává vaše osobní údaje

  • vaše banka, která potvrzuje vaši totožnost nebo úkon, který chcete provést,
  • poskytovatel online služby, pro kterou bankovní identitou prokazujete svou totožnost nebo činíte jiný úkon, a
  • BankID jako poskytovatel identifikačních služeb podle zákona o bankách přenáší vaše osobní údaje od vaší banky k vámi zvolenému poskytovateli online služby.

Tyto zásady popisují zpracování osobních údajů, které jako správce provádí BankID. Pro informace o tom, jak vaše osobní údaje zpracovává vaše banka nebo poskytovatel online služby prosím navštivte webové stránky těchto subjektů a seznamte se s jejich zásadami zpracování osobních údajů v příslušné sekci.

B. JAKÉ OSOBNÍ ÚDAJE ZPRACOVÁVÁME?

V rámci služeb BankID zpracováváme především údaje, k jejichž předání jste udělili pokyn v prostředí své banky. Může se jednat o následující kategorie údajů:

  1. identifikační údaje, zejména vaše jméno, příjmení, titul, datum a místo narození, číslo průkazu totožnosti nebo unikátní ID Vaší bankovní identity;
  2. kontaktní údaje, zejména vaše adresa, telefon nebo e-mail;
  3. platební údaje, zejména číslo vašeho bankovního účtu;

Dále zpracováváme údaje o tom, kdo nám vaše údaje předává a komu je máme dále předat, tedy údaje o vaší bance a poskytovateli online služby. Nikdy však nemáme bez vašeho pokynu přístup k údajům z prostředí vaší banky, ani údajům z online služby, pro kterou bankovní identitou prokazujete svou totožnost nebo činíte jiný úkon.

C. PROČ OSOBNÍ ÚDAJE ZPRACOVÁVÁME A CO NÁS K TOMU OPRAVŇUJE?

Při poskytování služeb BankID vystupujeme jako poskytovatel identifikačních služeb podle § 38aa odst. 2 zákona č. 21/1992 Sb., o bankách. To znamená, že na základě Vámi uděleného pokynu obdržíme od banky osobní údaje, které následně předáme vámi vybranému poskytovateli online služby. Při tom zpracováváme výše uvedené osobní údaje na základě našich oprávněných zájmů za účelem poskytování identifikačních služeb.

Záznamy o poskytnutí těchto služeb archivujeme v pseudonymizované podobě na základě našeho oprávněného zájmu z důvodu ochrany právních nároků.

Proti zpracování na základě oprávněného zájmu máte právo kdykoli podat námitku, které je blíže popsáno v kapitole „Právo vznést námitku proti zpracování“.

D. JAK DLOUHO BUDEME VAŠE OSOBNÍ ÚDAJE ZPRACOVÁVAT?

Vaše osobní údaje zpracováváme v plném rozsahu pouze po dobu, která je nezbytná pro jejich předání poskytovateli online služby, pro kterou bankovní identitou prokazujete svou totožnost nebo činíte jiný úkon. Následně vaše osobní údaje archivujeme v pseudonymizované podobě po dobu trvání promlčecí doby nároků vyplývajících nebo souvisejících s poskytnutím služby (maximálně 15 let od poskytnutí služby) prodlouženou o další jeden rok s ohledem na ochranu našich právních nároků. V případě zahájení soudního, správního nebo jiného řízení zpracováváme vaše osobní údaje v nezbytném rozsahu po celou dobu trvání takových řízení.

E. Z JAKÝCH ZDROJŮ OSOBNÍ ÚDAJE ZÍSKÁVÁME?

Osobní údaje získáváme přímo od vaší banky, a to výhradně na základě vašeho pokynu, kterým zároveň určujete, jakému příjemci máme osobní údaje předat.

F. KDO VAŠE OSOBNÍ ÚDAJE ZPRACOVÁVÁ A KOMU JE PŘEDÁVÁME?

Všechny zmíněné osobní údaje zpracováváme my jako správce. To znamená, že my stanovujeme shora vymezené účely, pro které vaše osobní údaje shromažďujeme, určujeme prostředky zpracování a odpovídáme za jeho řádné provedení.

Při poskytování služeb BankID předáváme na základě vašeho pokynu vaše osobní údaje poskytovateli online služby, kterého jste pro tento účel potvrdili v rozhraní banky.

Do zpracování osobních údajů dále zapojujeme zpracovatele, kteří prostřednictvím vhodných technických a organizačních opatření zajišťují ochranu osobních údajů a současně jsou vázáni povinností mlčenlivosti. Mezi takové zpracovatele patří:

  • poskytovatelé technické infrastruktury, jako je společnost T-Mobile Czech Republic a.s., IČO: 64949681;
  • poskytovatelé IT platforem a software, jako je společnost Atlassian Pty Ltd., 350 Bush Street, Floor 13, San Francisco, CA 94104 a Microsoft Corporation, Redmond, Washington 98052 USA.

V některých případech můžeme být povinni zpracovávané osobní údaje předat orgánům státní správy, soudům, orgánům činným v trestním řízení, orgánům dohledu v případě, že nás o to požádají. 

G. JAKÁ MÁTE PRÁVA PŘI ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ?

Stejně jako my máme svá práva a povinnosti při zpracování vašich osobních údajů, máte také vy při zpracování vašich osobních údajů určitá práva. Mezi tato práva patří:

G.1 Právo na přístup

Zjednodušeně řečeno máte právo vědět, jaké údaje o vás zpracováváme, za jakým účelem, po jakou dobu, kde Vaše osobní údaje získáváme, komu je předáváme, kdo je mimo nás zpracovává a jaká máte další práva související se zpracováním vašich osobních údajů. To vše jste se dozvěděli v těchto Informacích o zpracování osobních údajů. Pokud si však nejste jisti, které osobní údaje o vás zpracováváme, můžete nás požádat o potvrzení, zda osobní údaje, které se Vás týkají, jsou či nejsou z naší strany zpracovávány, a pokud tomu tak je, máte právo získat přístup k těmto osobním údajům. V rámci práva na přístup nás můžete požádat o kopii zpracovávaných osobních údajů, přičemž první kopii vám poskytneme bezplatně a další kopie s poplatkem kryjícím administrativní náklady s vyřízením takové žádosti související. V souvislosti s uplatněním tohoto práva si Vás dovolujeme upozornit, že k úspěšnému vyřízení Vaší žádosti bude potřeba Vás řádně identifikovat, abychom zabránili případnému zneužití. Více informací, jakým způsobem můžete uplatnit toto své právo naleznete v sekci týkající se osobních údajů.

G.2 Právo na opravu

Pokud zjistíte, že osobní údaje, které o vás zpracováváme, jsou nepřesné nebo neúplné, máte právo na to, abychom je bez zbytečného odkladu opravili, popřípadě doplnili.

G.3 Právo na výmaz

V některých případech máte právo, abychom vaše osobní údaje vymazali. Vaše osobní údaje bez zbytečného odkladu vymažeme, pokud je splněn některý z následujících důvodů:

  1. vaše osobní údaje již nepotřebujeme pro účely, pro které jsme je zpracovávali,
  2. využijete svého práva vznést námitku proti zpracování (viz níže kapitola „Právo vznést námitku proti zpracování“) a my shledáme, že již žádné takové oprávněné zájmy, které by toto zpracování opravňovaly, nemáme, nebo
  3. ukáže se, že námi prováděné zpracování osobních údajů přestalo být v souladu s obecně závaznými předpisy.

Toto právo se nicméně neuplatní v případě, že zpracování Vašich osobních údajů je i nadále nezbytné pro:

  1. splnění naší právní povinnosti,
  2. účely archivace, vědeckého či historického výzkumu či pro statistické účely, nebo
  3. určení, výkon nebo obhajobu našich právních nároků.

G.4 Právo na omezení zpracování

V některých případech můžete kromě práva na výmaz využít právo na omezení zpracování osobních údajů. Toto právo vám umožňuje v určitých případech požadovat, aby došlo k označení vašich osobních údajů a tyto údaje nebyly předmětem žádných dalších operací zpracování – v tomto případě však nikoliv navždy (jako v případě práva na výmaz), ale po omezenou dobu. Zpracování osobních údajů musíme omezit když:

  1. popíráte přesnost osobních údajů, než se dohodneme, jaké údaje jsou správné,
  2. vaše osobní údaje zpracováváme bez dostatečného právního základu (např. nad rámec toho, co zpracovávat musíme), ale vy budete před výmazem takových údajů upřednostňovat pouze jejich omezení (např. pokud očekáváte, že byste nám v budoucnu takové údaje stejně poskytl),
  3. vaše osobní údaje již nepotřebujeme pro shora uvedený účel zpracování, ale vy je požadujete pro určení, výkon nebo obhajobu svých právních nároků, nebo
  4. vznesete námitku proti zpracování. Právo na námitku je podrobněji popsáno níže v kapitole „Právo vznést námitku proti zpracování“. Po dobu, po kterou šetříme, je-li Vaše námitka oprávněná, jsme povinni zpracování Vašich osobních údajů omezit.

G.5 Právo vznést námitku proti zpracování

Máte právo vznést námitku proti zpracování osobních údajů, k němuž dochází na základě našeho oprávněného zájmu. Vzhledem k tomu, že nejde o marketingové aktivity, přestaneme vaše osobní údaje zpracovávat, pokud nebudeme mít závažné oprávněné důvody pro to, abychom v takovém zpracování pokračovali.

G.6 Právo podat stížnost

Uplatněním práv výše uvedeným způsobem není nijak dotčeno vaše právo podat stížnost u Úřadu pro ochranu osobních údajů, a to způsobem uvedeným níže v následující kapitole. Toto právo můžete uplatnit zejména v případě, že se domníváte, že vaše osobní údaje zpracováváme neoprávněně nebo v rozporu s obecně závaznými právními předpisy.

Stížnost proti námi prováděnému zpracování osobních údajů můžete podat u Úřadu pro ochranu osobních údajů, který sídlí na adrese Pplk. Sochora 27, 170 00 Praha 7.

H. JAK U NÁS MŮŽETE UPLATNIT JEDNOTLIVÁ PRÁVA?

Ve všech záležitostech souvisejících se zpracováním vašich osobních údajů, ať již jde o dotaz, uplatnění práva, podání stížnosti či cokoliv jiného, se můžete obracet na našeho Pověřence pro ochranu osobních údajů, dostupného na e-mailové adrese: dpo@bankid.cz. Obrátit se na nás můžete také korespondenčně na doručovací adrese: Bankovní identita a.s., Smrčkova 2485/4, 180 00 Praha 8.

Vaši žádost vyřídíme bez zbytečného odkladu, maximálně však do jednoho měsíce. Ve výjimečných případech, zejména z důvodu složitosti Vašeho požadavku, jsme oprávněni tuto lhůtu prodloužit o další dva měsíce. O takovém případném prodloužení a jeho zdůvodnění vás samozřejmě budeme informovat.