Vaše osobní údaje jsou u nás v bezpečí

Vážení klienti, možná se k vám už dostala informace o tom, že 25. května vstoupilo v platnost nařízení GDPR neboli Obecné nařízení o ochraně osobních údajů, které má za cíl co nejvíce zvýšit ochranu osobních údajů fyzických osob.

Jako banka víme, jak důležité je dbát na bezpečnost informací. K vašim údajům se chováme zodpovědně a nakládáme s nimi v souladu s nařízením GDPR. Proto také vznikla tato stránka. Najdete zde přehled o tom, jak osobní údaje zpracováváme a také vždy aktuální znění dokumentů, které se tohoto týkají.

Pokud vás zajímají další podrobnosti, můžete kontaktovat našeho pověřence pro ochranu osobních údajů, který se vám rád bude věnovat. Kontaktní adresa: [email protected]

Informace o zpracování osobních údajů

Banka důsledně dbá na ochranu soukromí klientů i jiných fyzických osob, jejichž osobní údaje zpracovává v souvislosti se svou činností (klienti a další fyzické osoby dále společně jen „Klienti“). Osobní údaje Klientů zpracovává plně v souladu s obecně závaznými právními předpisy a činí vše pro to, aby osobní údaje byly dostatečně zabezpečeny a chráněny před zneužitím.

Účelem tohoto dokumentu je informovat Klienty o tom, pro jaký účel jsou osobní údaje zpracovávány, komu mohou být osobní údaje zpřístupněny, jaké jsou lhůty pro jejich uchovávání, jaká jsou práva Klienta v souvislosti se zpracováním osobních údajů a dále o existenci profilování a automatizovaného rozhodování. Tento dokument je dostupný na internetových stránkách Banky www.creditas.cz/osobni-udaje a na každé pobočce a v sídle Banky. Specifické smluvní dokumenty mohou v závislosti na povaze konkrétní finanční služby blíže specifikovat způsob a rozsah zpracování osobních údajů.

1 SPRÁVCE OSOBNÍCH ÚDAJŮ

Správcem osobních údajů Klientů je Banka CREDITAS a.s., IČO: 63492555, se sídlem Sokolovská 675/9, Karlín, 186 00 Praha 8, zapsaná v obchodním rejstříku Městského soudu v Praze, oddíl B, vložka 23903 (dále jen „Banka“). Banka jmenovala pověřence pro ochranu osobních údajů, který dohlíží na řádné zpracování osobních údajů, na něhož se Klienti mohou kdykoli obrátit prostřednictvím e-mailové adresy [email protected] nebo na korespondenční adrese Banky.
Banka je členem skupiny evropské finanční holdingové osoby CREDITAS B.V. zapsané v „Business Register Netherlands Chamber of Commerce“, Beslotten Vennootschap (srovnatelné s českou s.r.o.), se sídlem Barbara Strozzilaan 201, 1083HN Amsterdam, CCI number 76639371, RSIN 860717999 (dále jen nebo jen „Skupina“).

2 KATEGORIE ZPRACOVÁVANÝCH OSOBNÍCH ÚDAJŮ

A. Adresní a identifikační údaje

Mezi základní adresní a identifikační údaje patří zejména všechna jména a příjmení, rodné číslo, a nebylo-li rodné číslo přiděleno, pak datum narození, místo narození, pohlaví, trvalý nebo jiný pobyt, kontaktní adresy, státní občanství, druh a číslo průkazů totožnosti, stát, popřípadě orgán, který jej vydal, a dobu jeho platnosti, rodinný stav, údaje o zastoupení, podobiznu, e-mailovou adresu, identifikátor datové schránky, telefonní číslo, jiný elektronický identifikátor (např. IP adresa, adresa a podrobnosti profilu na sociálních sítích, AIFO, bezvýznamový identifikátor, RUIAN), podpis, biometrický údaj, a to za účelem uvedeném v souhlasu se zpracováním osobních údajů, u Subjektu údajů, který je podnikatelem, také jeho obchodní firmu, odlišující dodatek nebo další označení, místo podnikání, identifikační číslo.

B. Popisné údaje

Mezi popisné údaje patří zejména údaje o dosaženém vzdělání, údaje o znalostech a zkušenostech v oblasti investic, údaje o majetkových poměrech, investičních cílech a preferencích v oblasti investic, údaje o zaměstnání či předmětu podnikání, údaje potřebné k posouzení bonity, údaje o zdrojích peněžních prostředků, údaje potřebné k zajištění pohledávky, finanční údaje (předpokládané příjmy nebo obraty na účtech), údaje o účelu uzavření smlouvy s Bankou, údaje o politické exponovanosti v souladu s AML zákonem, údaje v rozsahu potřebném pro vyhodnocení, zda Subjekt údajů spadá pod režim FATCA, údaje v rozsahu potřebném pro vyhodnocení režimu CRS a/nebo daňové rezidenci, údaje o bankovním spojení, údaje potřebné k plnění právních povinností zaměstnavatele, veškeré další údaje obsažené v klientské dokumentaci, která je se Subjektem údajů uzavírána, která je Subjektu údajů předána k vyplnění či splnění informační povinnosti a/nebo je předána Subjektu údajů k jejímu vyplnění.

C. Údaje uvedené v rámci uděleného souhlasu

3 ÚČELY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

A. Zpracování osobních údajů bez souhlasu Klienta

Osobní údaje, které o Vás sbíráme, a účely jejich zpracování se mohou lišit, a to v závislosti na povaze poskytované finanční služby. Banka bez souhlasu zpracovává osobní údaje zejména pro následující účely a na základě následujících právních základů:

1) Plnění smluvních povinností a za účelem jednání směřujícího k uzavření smlouvy

  • Zpracování osobních údajů pro plnění povinností plynoucích ze smluv uzavřených mezi Bankou a Klientem.

  • Poskytnutí osobních údajů ve stanoveném rozsahu je povinné, v případě neposkytnutí osobních údajů může být odepřeno poskytnutí finanční služby.

2) Plnění zákonných povinností

a) Zpracování osobních údajů pro plnění právních povinností:

  • které se na Banku vztahují zejména na základě zákona č. 21/1992 Sb., o bankách, ve znění pozdějších předpisů;

  • které se na Banku vztahují zejména na základě zákona č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu, ve znění pozdějších předpisů (dále jen „AML zákon“), přičemž charakter těchto údajů se může měnit v závislosti na typu Klienta, obchodního vztahu, produktu nebo obchodu;

  • které se na Banku vztahují zejména na základě zákona č. 250/2017 Sb., o elektronické identifikaci, ve znění pozdějších předpisů

  • které se na Banku vztahují v rozsahu potřebném k vyhodnocení, zda Klient spadá pod režim FATCA, a plnění povinností plynoucích z CRS (k tomu blíže viz dokumenty Banky nazvané „Informace k FATCA“ a „Informace k CRS“ dostupné na pobočkách a internetových stránkách Banky: https://www.creditas.cz/dulezite-dokumenty);

  • které se na Banku vztahují v souvislosti s poskytováním investičních služeb (například na základě zákona č. 256/2004 Sb., o podnikání na kapitálovém trhu, ve znění pozdějších předpisů);

  • které se na Banku vztahují dle dalších právních předpisů (například se může jednat o zpracovávání osobních údajů z registrů a databází evidujících bonitu a schopnost Klienta dostát svým závazkům).

b) Poskytnutí osobních údajů ve stanoveném rozsahu je povinné, v případě neposkytnutí osobních údajů může být odepřeno poskytnutí finanční služby.

3) Určení, výkon nebo obhajoba právních nároků Banky

a) Zpracování osobních údajů pro určení, výkon nebo obhajobu právních nároků v rozsahu nezbytném pro účely oprávněných zájmů Banky

4) Prevence podvodů a protiprávního jednání

a) Zpracování osobních údajů pro účely prevence podvodů a protiprávního jednání v rozsahu nezbytném s ohledem na oprávněné zájmy Banky.

b) Zpracování osobních údajů pro účely fyzické, elektronické a ekonomické identifikace Klienta.

5) Zasílání marketingových sdělení pro účely přímého marketingu (bez souhlasu)

a) Bez souhlasu Klienta může Banka osobní údaje v přiměřené míře zpracovávat pro účely přímého marketingu, pokud je zpracování osobních údajů nezbytné pro účely oprávněných zájmů Banky.

b) Za tímto účelem budou zpracovávány jen kontaktní a identifikační údaje Klienta pro doručení takového marketingového sdělení.

c) Klient má právo vznést proti zpracování osobních údajů pro tento účel kdykoli námitku, a to komunikačními prostředky uvedenými dále v tomto dokumentu.

6) Pořizování záznamů telefonických hovorů, uchovávaní e-mailové či obdobné komunikace

a) Pořizování záznamů telefonických hovorů, uchovávaní e-mailové či obdobné komunikace, jejíž předmětem je kromě plnění Smlouvy či povinností Bance uložených právními předpisy i zodpovězení obecných dotazů.

b) Poskytnutí osobních údajů v požadovaném rozsahu může být povinné, v případě jejich neposkytnutí může být odepřeno poskytnutí finanční služby.

7) Pořizování záznamů podobizny

a) Bez souhlasu Klienta může Banka pořizovat záznamy podobizny Klienta kamerovým systémem.

b) Bez souhlasu Klienta může Banka pořizovat záznamy podobizny Klienta z jiných zdrojů, např. z kopie dokladu totožnosti.

8) Používání aplikace CREDITAS Banking Mobile pouze v omezeném rozsahu funkcí dostupných pro uživatele, kteří nevyužívají finanční služby Banky

8.1) Používání aplikace CREDITAS Banking Mobile (v omezeném rozsahu funkcí)

a) Zpracování osobních údajů pro tento účel provádíme z důvodu užívání aplikace.

b) Poskytnutí osobních údajů ve stanoveném rozsahu je povinné, v případě jejich neposkytnutí může být odepřen přístup do aplikace CREDITAS Banking Mobile.

8.2) Určení, výkon nebo obhajoba právních nároků Banky

a) Zpracování osobních údajů pro určení, výkon nebo obhajobu právních nároků v rozsahu nezbytném pro účely oprávněných zájmů Banky.

8.3) Prevence podvodů a protiprávního jednání

a) Zpracování osobních údajů pro účely prevence podvodů a protiprávního jednání v rozsahu nezbytném s ohledem na oprávněné zájmy Banky.

B. Zpracování osobních údajů se souhlasem Klienta

Plnění smluvních povinností a za účelem jednání směřujícího k uzavření smlouvy Mimo zpracování osobních údajů, které Banka provádí jako svou zákonnou povinnost, plnění smlouvy či oprávněný zájem, může Banka zpracovávat osobní údaje Klientů na základě uděleného souhlasu. Souhlas je zcela dobrovolný a může být kdykoli odvolán, a to i v jeho jednotlivých částech, například prostřednictvím bezplatné infolinky 800 888 009, e-mailem na adrese [email protected], na pobočkách, sdělením prostřednictvím jakékoliv aplikace, kterou jsou poskytované služby Internetového bankovnictví, nebo písemně na korespondenční adrese Banky. Odvoláním souhlasu není dotčena zákonnost zpracování osobních údajů před odvoláním.

  • Zpracování osobních údajů pro marketingové účely

  • Zpracování osobních údajů pro účely podepisování a identifikace Klienta formou dynamického biometrického podpisu

  • Zpracování osobních údajů za účelem uvedeném v souhlasu se zpracováním osobních údajů

4 ZDROJE OSOBNÍCH ÚDAJŮ

Osobní údaje Klientů může Banka pro výše uvedené účely získávat (kromě údajů získaných od Klientů, což čítá i údaje získané se souhlasem či údaje, ke kterým byl Bance zřízen přístup) i z veřejných rejstříků i dalších rejstříků a databází, např. Základní registry, Obchodní rejstřík, Živnostenský rejstřík, Centrální evidence exekucí, Centrální registr dlužníků, Insolvenční rejstřík, OFAC, World-Check, Databáze neplatných dokladů – Ministerstvo vnitra ČR, člen Skupiny

5 DOBA UCHOVÁVÁNÍ OSOBNÍCH ÚDAJŮ

Osobní údaje Banka zpracovává po dobu nezbytnou pro účely, pro které jsou zpracovávány, tedy v závislosti na účelu zpracování zejména:

a) po dobu trvání smluvního vztahu a dále po dobu, která je stanovena v příslušných právních předpisech (zejména v AML zákoně, který stanoví, které osobní údaje je nutné uchovávat po dobu 10 let po ukončení obchodu nebo obchodního vztahu);

b) po dobu stanovenou pro obecné promlčecí lhůty podle platných právních předpisů (tato doba může být prodloužena s ohledem na nezbytnost zpracování pro určení, výkon nebo obhajobu právních nároků);

c) po dobu, pro kterou byl udělen souhlas, případně do odvolání souhlasu, byl-li souhlas odvolán před uplynutím této doby;

d) po dobu, která je nevyhnutelná k určení, výkonu nebo obhajobě právních nároků Banky.

6 PŘÍJEMCI OSOBNÍCH ÚDAJŮ

Osobní údaje Klienta mohou být zpřístupněny:

  • orgánům veřejné moci, např. soudům, orgánům činným v trestním řízení, správcům daně, soudním exekutorům, orgánu dohledu, základním registrům apod., a to buď na vyžádání, nebo z vlastního rozhodnutí Banky (např. v případě, že má podezření na spáchání trestného činu nebo přestupku), avšak vždy pouze v rozsahu a v souladu s obecně závaznými právními předpisy;

  • osobám, které se na základě smlouvy podílejí na předmětu činnosti Banky, které jsou pověřeny k plnění smluvních a zákonných povinností Banky, přičemž tyto jsou vždy zavázány zákonnou nebo smluvní povinností mlčenlivosti min. v rozsahu, v jakém je zavázána Banka (např. auditoři, advokáti, externí daňoví poradci), to vše za výše uvedenými účely zpracování osobních údajů;

  • dalším správcům, kteří se na základě smlouvy podílejí na předmětu činnosti Banky, přičemž jsou vždy zavázáni zákonnou nebo smluvní povinností mlčenlivosti minimálně v rozsahu, v jakém je zavázána Banka, to vše pro výše uvedené účely zpracování osobních údajů;

  • postupníkům v souvislosti s uzavíráním smluv o postoupení pohledávky Banky za Klientem;

  • dalším osobám, pokud k tomu Klient udělil souhlas (například se bude jednat o případ Bankovní identity, která slouží k elektronickému ověření totožnosti Klienta u některých portálů veřejné správy a zapojených subjektů soukromého segmentu, tj. e-shopů, apod).

7 PRÁVA SOUVISEJÍCÍ SE ZPRACOVÁNÍM OSOBNÍCH ÚDAJŮ

Klient může vůči Bance uplatnit:

a) právo na přístup

Požadavek na sdělení informací, které osobní údaje jsou o Klientovi zpracovávány.

b) právo na výmaz

Požadavek na výmaz osobních údajů, pokud nejsou potřebné pro účel, pro který byly zpracovávány, pokud byl odvolán souhlas s jejich zpracováním, byly zpracovány protiprávně, musí být vymazány ke splnění právní povinnosti, nebo byly shromážděny v souvislosti s nabídkou služeb informační společnosti.

c) právo na opravu

Požadavek na opravu nebo doplnění osobních údajů v případě, že osobní údaje, které o Klientovi vedeme, jsou nepřesné či neúplné.

d) právo na omezení zpracování

Požadavek na omezení zpracování, pokud Klient popírá přesnost osobních údajů, nebo považuje jejich zpracování za protiprávní, nebo vznesl námitku proti zpracování, přičemž není zřejmé, zda oprávněný zájem Banky převažuje nad oprávněnými zájmy Klienta. V případech, kdy bylo zpracování omezeno, mohou být osobní údaje zpracovávány pouze se souhlasem, nebo z důvodu určení, výkonu nebo obhajoby právních nároků, z důvodu ochrany práv jiné fyzické nebo právnické osoby nebo z důvodů důležitého veřejného zájmu.

e) právo na přenositelnost osobních údajů

Požadavek na poskytnutí osobních údajů k jejich přenosu k jinému správci. V případě požadavku na převedení účtu k jiné bance, bude správce postupovat v souladu se zákonem č. 370/2017 Sb., o platebním styku.

f) další práva:

i) námitku vůči zpracovávaní osobních údajů, které správce zpracovává na právním základě ochrany oprávněných zájmů, včetně profilování a přímého marketingu;

ii) žádat, aby se na Klienta nevztahovalo automatizované rozhodování;

iii) odvolat již udělený souhlas se zpracováním osobních údajů.

Uvedená práva může Klient uplatnit osobně na kterékoliv pobočce Banky, sdělením prostřednictvím jakékoli kanálu, kterým jsou poskytované služby Internetového bankovnictví, nebo písemně na adrese: Banka CREDITAS a.s., Oddělení provozního Back Office, tř. Svobody 1194/12, 779 00 Olomouc.
Klient se v případě porušení povinností Banky v souvislosti se zpracováním osobních údajů může rovněž obrátit se stížností přímo na Úřad pro ochranu osobních údajů www.uoou.cz.

8 PROFILOVÁNÍ A AUTOMATIZOVANÉ ROZHODOVÁNÍ PŘI ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Banka může využívat v rámci svých procesů automatizované informační systémy a profilování, jejichž cílem je zajistit Klientovi kvalitní služby přizpůsobené na míru jeho potřebám. Uvedené procesy může Banka využívat zejména k vyhodnocení vhodnosti produktů a služeb na základě osobních údajů, z nichž bude Banka schopna odhadnout budoucí potřeby Klientů. Banka nečiní na základě plně automatizovaného rozhodování (včetně profilování), tj. bez zásahu lidského prvku, rozhodnutí, které by mělo pro Klienta právní či obdobné účinky.
Pro účely detekce podvodů ještě ve stádiu přípravy zpracovává Banka informace o způsobu užívání Internetového bankovnictví, jiných produktů a služeb poskytovaných Bankou. Detekce podvodů je založena na mnohoúrovňovém profilování Klientů, použitých zařízení, internetových relací, účtů a plateb. Řešení je založeno na vyhodnocování veškerých interakcí výše zmíněných faktorů proti množině klíčových ukazatelů.