Zásady ochrany osobních údajů pro služby BankID

A. KDO JE SPRÁVCEM VAŠICH OSOBNÍCH ÚDAJŮ?

Při využití služeb společnosti Bankovní identita, a.s., IČO: 095 13 817, se sídlem Smrčkova 2485/4, Libeň, 180 00 Praha 8 (dále jen „BankID“ nebo „my“) zpracovává vaše osobní údaje

  • Vaše banka, která potvrzuje Vaši totožnost nebo úkon, který chcete provést,
  • poskytovatel online služby, pro kterou bankovní identitou prokazujete svou totožnost nebo činíte jiný úkon, a
  • BankID jako poskytovatel identifikačních služeb podle zákona o bankách přenáší Vaše osobní údaje od Vaší banky k Vámi zvolenému poskytovateli online služby.

Tyto zásady popisují zpracování osobních údajů, které jako správce provádí BankID. Pro informace o tom, jak Vaše osobní údaje zpracovává Vaše banka nebo poskytovatel online služby prosím navštivte webové stránky těchto subjektů a seznamte se s jejich zásadami zpracování osobních údajů v příslušné sekci.

B. JAKÉ OSOBNÍ ÚDAJE ZPRACOVÁVÁME?

V rámci služeb BankID zpracováváme především údaje, k jejichž předání jste udělili pokyn v prostředí své banky. Může se jednat o následující kategorie údajů:

  1. identifikační údaje, zejména Vaše jméno, příjmení, titul, datum a místo narození, země pobytu, číslo průkazu totožnosti nebo unikátní ID Vaší bankovní identity;
  2. kontaktní údaje, zejména Vaše adresa, telefon nebo e-mail;
  3. platební údaje, zejména číslo Vašeho bankovního účtu;
  4. údaje o podepsaných dokumentech a prohlášeních, zejména obsah dokumentů nebo prohlášení, které podepisujete pomocí služby BankID SIGN, jejich jedinečný matematický otisk (hash), název a počet stran v případě dokumentů.

Dále zpracováváme údaje o tom, kdo nám Vaše údaje předává a komu je máme dále předat, tedy údaje o Vaší bance a poskytovateli online služby. Nikdy však nemáme bez Vašeho pokynu přístup k údajům z prostředí Vaší banky, ani údajům z online služby, pro kterou bankovní identitou prokazujete svou totožnost nebo činíte jiný úkon. Naopak Vaší bance nepředáváme obsah dokumentů, který podepíšete pomocí služby BankID SIGN sloužící pro vytváření elektronických podpisů – dokumenty máme k dispozici pouze my a Vámi vybraný poskytovatel online sužby. Vaší bance předáme pouze údaje o dokumentech jako jsou jejich názvy, počet stran a jedinečný matematický otisk (hash). 

C. PROČ OSOBNÍ ÚDAJE ZPRACOVÁVÁME A CO NÁS K TOMU OPRAVŇUJE?

Při poskytování služeb BankID vystupujeme jako poskytovatel identifikačních služeb podle § 38aa odst. 2 zákona č. 21/1992 Sb., o bankách. To znamená, že na základě Vámi uděleného pokynu obdržíme od banky osobní údaje, které následně předáme Vámi vybranému poskytovateli online služby a/nebo je uložíme do Vámi stažené mobilní aplikace (v případě služby BankID Plus). Při tom zpracováváme výše uvedené osobní údaje na základě našich oprávněných zájmů za účelem poskytování identifikačních služeb nebo za účelem ověření Vašeho věku v souvislosti s využíváním služby BankID Plus na základě plnění smlouvy s Vámi.

Při poskytování služby BankID SIGN, sloužící pro vytváření elektronických podpisů, obdržíme od Vámi vybraného poskytovatele online služby dokumenty nebo prohlášení. Vybrané údaje o těchto dokumentech nebo prohlášení předáme Vaší bance, abyste v prostředí banky mohli udělit pokyn k připojení elektronického podpisu k těmto dokumentům nebo prohlášení. Na základě Vámi uděleného pokynu obdržíme osobní údaje od banky a použijeme je pro připojení Vašeho elektronického podpisu k dokumentům nebo prohlášením. Následně podepsané dokumenty nebo prohlášení s údaji od Vaší banky předáme Vámi vybranému poskytovateli online služby. Všechny tyto kroky provádíme za účelem poskytování identifikačních služeb na základě plnění smlouvy s Vámi.

Záznamy o poskytnutí našich služeb archivujeme na základě našeho oprávněného zájmu z důvodu ochrany právních nároků. V případě jiných služeb než služby BankID SIGN, sloužící pro vytváření elektronických podpisů, a BankID Plus, sloužící k ověření Vašeho věku, tyto údaje archivujeme výlučně v pseudonymizované podobě.

Proti zpracování na základě oprávněného zájmu máte právo kdykoli podat námitku, které je blíže popsáno v kapitole „Právo vznést námitku proti zpracování“.

D. JAK DLOUHO BUDEME VAŠE OSOBNÍ ÚDAJE ZPRACOVÁVAT?

Vaše osobní údaje zpracováváme v plném rozsahu pouze po dobu, která je nezbytná pro jejich předání poskytovateli online služby, pro kterou bankovní identitou prokazujete svou totožnost nebo činíte jiný úkon. Následně Vaše osobní údaje archivujeme v pseudonymizované podobě po dobu trvání promlčecí doby nároků vyplývajících nebo souvisejících s poskytnutím služby (maximálně 15 let od poskytnutí služby). V případě zahájení soudního, správního nebo jiného řízení zpracováváme Vaše osobní údaje v nezbytném rozsahu po celou dobu trvání takových řízení.

V případě služby BankID SIGN, sloužící pro vytváření elektronických podpisů, si Vaše osobní údaje potřebujeme uchovat bez jejich pseudonymizace, abychom byli schopni později prokázat, kdo připojil elektronických podpis k určitému dokumentu podepsanému pomocí této služby. Proto Vaše osobní údaje zpracováváme po dobu, která je nezbytná pro jejich předání poskytovateli online služby, jenž nám předal dokumenty nebo prohlášení k připojení Vašeho elektronického podpisu. Vaše identifikační údaje a vybrané údaje o podepsaných dokumentech a prohlášeních (nikoli však obsah dokumentů), archivujeme po dobu trvání promlčecí doby nároků vyplývajících nebo souvisejících s poskytnutím služby (maximálně 15 let od poskytnutí služby). V případě zahájení soudního, správního nebo jiného řízení zpracováváme tyto osobní údaje v nezbytném rozsahu po celou dobu trvání takových řízení.

V případě služby BankID Plus, sloužící k ověření Vašeho věku, si Vaše osobní údaje potřebujeme uchovat bez pseudonymizace, abychom byli schopni později prokázat, kdo se prostřednictvím služby BankID Plus ověřil. Vaše osobní údaje uchováváme po dobu 12 měsíců od ověření, abychom mohli v případě kontroly ze strany státních orgánů, prokázat, že k ověření Vašeho věku skutečně došlo. V případě, že v souvislosti s Vaším ověřením dojde k zahájení soudního, správního nebo jiného řízení zpracováváme Vaše osobni údaje v nezbytném rozsahu po celou dobu trvání takových řízení.

E. Z JAKÝCH ZDROJŮ OSOBNÍ ÚDAJE ZÍSKÁVÁME?

Osobní údaje získáváme přímo od Vaší banky, a to výhradně na základě Vašeho pokynu, kterým zároveň určujete, jakému příjemci máme osobní údaje předat.

F. KDO VAŠE OSOBNÍ ÚDAJE ZPRACOVÁVÁ A KOMU JE PŘEDÁVÁME?

Všechny zmíněné osobní údaje zpracováváme my jako správce. To znamená, že my stanovujeme shora vymezené účely, pro které vaše osobní údaje shromažďujeme, určujeme prostředky zpracování a odpovídáme za jeho řádné provedení.

Při poskytování služeb BankID předáváme na základě Vašeho pokynu Vaše osobní údaje poskytovateli online služby, kterého jste pro tento účel potvrdili v rozhraní banky.

Do zpracování osobních údajů dále zapojujeme zpracovatele, kteří prostřednictvím vhodných technických a organizačních opatření zajišťují ochranu osobních údajů a současně jsou vázáni povinností mlčenlivosti. Mezi takové zpracovatele patří:

  • poskytovatelé technické infrastruktury, jako je společnost T-Mobile Czech Republic a.s., IČO: 64949681;
  • poskytovatelé IT platforem a software, jako je společnost Atlassian Pty Ltd., 350 Bush Street, Floor 13, San Francisco, CA 94104 a Microsoft Corporation, Redmond, Washington 98052 USA;
  • poskytovatelé internetových aplikaci pro některé naše produkty, jako je společnost Digital Solutions, s.r.o., IČO: 25998706.

V některých případech můžeme být povinni zpracovávané osobní údaje předat orgánům státní správy, soudům, orgánům činným v trestním řízení, orgánům dohledu v případě, že nás o to požádají. 

G. JAKÁ MÁTE PRÁVA PŘI ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ?

Stejně jako my máme svá práva a povinnosti při zpracování Vašich osobních údajů, máte také Vy při zpracování Vašich osobních údajů určitá práva. Jejich přehled naleznete níže.

S ohledem na zajištění bezpečnosti Vašich osobních údajů nelze v naší databázi obsahující tyto údaje vyhledávat bez znalosti identifikátoru, který vám pro účely služeb BankID přidělila banka, již jste si při využití služeb BankID zvolili. Za účelem výkonu Vašich práv (s výjimkou práva podat stížnost) nám proto musíte poskytnout příslušný identifikátor, který Vám sdělí Vaše banka. Pokud používáte více různých bank, Vaši žádost vyřídíme ve vztahu k údajům, které bude možné podle tohoto identifikátoru vyhledat, tj. údajům, které jsme získali, když jste při použití služeb BankID zvolili banku, jež Vám identifikátor poskytla. Pokud chcete mít jistotu, že žádost ve vztahu ke Všem vašim osobním údajům, poskytněte nám prosím identifikátory od všech bank, které jste pro služby BankID v minulosti zvolili.

G.1 Právo na přístup

Zjednodušeně řečeno máte právo vědět, jaké údaje o Vás zpracováváme, za jakým účelem, po jakou dobu, kde Vaše osobní údaje získáváme, komu je předáváme, kdo je mimo nás zpracovává a jaká máte další práva související se zpracováním Vašich osobních údajů. To vše jste se dozvěděli v těchto Informacích o zpracování osobních údajů. Pokud si však nejste jisti, které osobní údaje o Vás zpracováváme, můžete nás požádat o potvrzení, zda osobní údaje, které se Vás týkají, jsou či nejsou z naší strany zpracovávány, a pokud tomu tak je, máte právo získat přístup k těmto osobním údajům. V rámci práva na přístup nás můžete požádat o kopii zpracovávaných osobních údajů, přičemž první kopii Vám poskytneme bezplatně a další kopie s poplatkem kryjícím administrativní náklady s vyřízením takové žádosti související.

G.2 Právo na opravu

Pokud zjistíte, že osobní údaje, které o Vás zpracováváme, jsou nepřesné nebo neúplné, máte právo na to, abychom je bez zbytečného odkladu opravili, popřípadě doplnili.

G.3 Právo na výmaz

V některých případech máte právo, abychom Vaše osobní údaje vymazali. Vaše osobní údaje bez zbytečného odkladu vymažeme, pokud je splněn některý z následujících důvodů:

  1. Vaše osobní údaje již nepotřebujeme pro účely, pro které jsme je zpracovávali,
  2. využijete svého práva vznést námitku proti zpracování (viz níže kapitola „Právo vznést námitku proti zpracování“) a my shledáme, že již žádné takové oprávněné zájmy, které by toto zpracování opravňovaly, nemáme, nebo
  3. ukáže se, že námi prováděné zpracování osobních údajů přestalo být v souladu s obecně závaznými předpisy.

Toto právo se nicméně neuplatní v případě, že zpracování Vašich osobních údajů je i nadále nezbytné pro:

  1. splnění naší právní povinnosti,
  2. účely archivace, vědeckého či historického výzkumu či pro statistické účely, nebo
  3. určení, výkon nebo obhajobu našich právních nároků.

G.4 Právo na omezení zpracování

V některých případech můžete kromě práva na výmaz využít právo na omezení zpracování osobních údajů. Toto právo Vám umožňuje v určitých případech požadovat, aby došlo k označení Vašich osobních údajů a tyto údaje nebyly předmětem žádných dalších operací zpracování – v tomto případě však nikoliv navždy (jako v případě práva na výmaz), ale po omezenou dobu. Zpracování osobních údajů musíme omezit když:

  1. popíráte přesnost osobních údajů, než se dohodneme, jaké údaje jsou správné,
  2. Vaše osobní údaje zpracováváme bez dostatečného právního základu (např. nad rámec toho, co zpracovávat musíme), ale vy budete před výmazem takových údajů upřednostňovat pouze jejich omezení (např. pokud očekáváte, že byste nám v budoucnu takové údaje stejně poskytl),
  3. Vaše osobní údaje již nepotřebujeme pro shora uvedený účel zpracování, ale Vy je požadujete pro určení, výkon nebo obhajobu svých právních nároků, nebo
  4. vznesete námitku proti zpracování. Právo na námitku je podrobněji popsáno níže v kapitole „Právo vznést námitku proti zpracování“. Po dobu, po kterou šetříme, je-li Vaše námitka oprávněná, jsme povinni zpracování Vašich osobních údajů omezit.

G.5 Právo vznést námitku proti zpracování

Máte právo vznést námitku proti zpracování osobních údajů, k němuž dochází na základě našeho oprávněného zájmu. Vzhledem k tomu, že nejde o marketingové aktivity, přestaneme Vaše osobní údaje zpracovávat, pokud nebudeme mít závažné oprávněné důvody pro to, abychom v takovém zpracování pokračovali.

G.6 Právo podat stížnost

Uplatněním práv výše uvedeným způsobem není nijak dotčeno Vaše právo podat stížnost u Úřadu pro ochranu osobních údajů, a to způsobem uvedeným níže v následující kapitole. Toto právo můžete uplatnit zejména v případě, že se domníváte, že Vaše osobní údaje zpracováváme neoprávněně nebo v rozporu s obecně závaznými právními předpisy.

Stížnost proti námi prováděnému zpracování osobních údajů můžete podat u Úřadu pro ochranu osobních údajů, který sídlí na adrese Pplk. Sochora 27, 170 00 Praha 7.

H. JAK U NÁS MŮŽETE UPLATNIT JEDNOTLIVÁ PRÁVA?

Ve všech záležitostech souvisejících se zpracováním vašich osobních údajů, ať již jde o dotaz, uplatnění práva, podání stížnosti či cokoliv jiného, se můžete obracet na našeho pověřence pro ochranu osobních údajů, dostupného na e-mailové adrese: dpo@bankid.cz. Obrátit se na nás můžete také korespondenčně na doručovací adrese: Bankovní identita a.s., Smrčkova 2485/4, 180 00 Praha 8.

Vaši žádost vyřídíme bez zbytečného odkladu, maximálně však do jednoho měsíce. Ve výjimečných případech, zejména z důvodu složitosti Vašeho požadavku, jsme oprávněni tuto lhůtu prodloužit o další dva měsíce. O takovém případném prodloužení a jeho zdůvodnění vás samozřejmě budeme informovat.