Vaše osobní údaje jsou u nás v bezpečí

Vážení klienti, jako banka víme, jak důležité je dbát na bezpečnost informací. K vašim údajům se chováme zodpovědně a nakládáme s nimi v souladu s nařízením GDPR neboli Obecné nařízení o ochraně osobních údajů, které má za cíl co nejvíce zvýšit ochranu osobních údajů fyzických osob. Najdete zde přehled o tom, jak osobní údaje zpracováváme a také vždy aktuální znění dokumentů, které se zpracování osobních údajů týkají.

Pokud vás zajímají další podrobnosti, můžete kontaktovat našeho pověřence pro ochranu osobních údajů, který se vám rád bude věnovat. Kontaktní adresa: [email protected]

Informace o zpracování osobních údajů

Správcem osobních údajů Klientů je Banka CREDITAS a.s., IČO: 63492555, se sídlem Sokolovská 675/9, Karlín, 186 00 Praha 8, zapsaná v obchodním rejstříku Městského soudu v Praze, oddíl B, vložka 23903 (dále jen „Banka“). Banka je členem skupiny evropské finanční holdingové osoby CREDITAS B.V. zapsané v „Business Register Netherlands Chamber of Commerce“, Beslotten Vennootschap (srovnatelné s českou s.r.o.), se sídlem De Boelelaan 30, Unit 3.14, 1083HJ Amsterdam, Nizozemsko, EUID: NLNHR.76639371, registrační číslo: 76639371 (dále jen nebo jen „Skupina“).

Banka jmenovala pověřence pro ochranu osobních údajů, který dohlíží na řádné zpracování osobních údajů, na něhož se Klienti mohou kdykoli obrátit prostřednictvím e-mailové adresy [email protected] nebo písemně na korespondenční adrese Banky.

Tento dokument je dostupný na internetových stránkách Banky (www.creditas.cz/osobni-udaje) a na každé pobočce a v sídle Banky. Specifické smluvní dokumenty mohou v závislosti na povaze konkrétní finanční služby blíže specifikovat způsob a rozsah zpracování osobních údajů.

KATEGORIE ZPRACOVÁVÁNÝCH OSOBNÍCH ÚDAJŮ

1.             Adresní a identifikační údaje

Mezi základní adresní a identifikační údaje patří zejména všechna jména a příjmení, rodné číslo, a nebylo-li rodné číslo přiděleno, pak datum narození, místo narození, pohlaví, trvalý nebo jiný pobyt, kontaktní adresy, státní občanství, druh a číslo průkazů totožnosti, stát, popřípadě orgán, který jej vydal, a dobu jeho platnosti, rodinný stav, údaje o zastoupení, podobiznu, e-mailovou adresu, identifikátor datové schránky, telefonní číslo, jiný elektronický identifikátor (např. IP adresa, adresa a podrobnosti profilu na sociálních sítích, AIFO, bezvýznamový identifikátor, RUIAN), podpis, biometrický údaj, a to za účelem uvedeném v souhlasu se zpracováním osobních údajů, u Klienta, který je podnikatelem, také jeho obchodní firmu, odlišující dodatek nebo další označení, místo podnikání, identifikační číslo.

2.             Popisné údaje

Mezi popisné údaje patří zejména údaje o dosaženém vzdělání, údaje o znalostech a zkušenostech v oblasti investic, údaje o majetkových poměrech, investičních cílech a preferencích v oblasti investic, údaje o zaměstnání či předmětu podnikání, údaje potřebné k posouzení bonity, údaje o zdrojích peněžních prostředků, údaje potřebné k zajištění pohledávky, finanční údaje (předpokládané příjmy nebo obraty na účtech), údaje o účelu uzavření smlouvy s Bankou, údaje o politické exponovanosti v souladu s AML zákonem, údaje v rozsahu potřebném pro vyhodnocení, zda Klient spadá pod režim FATCA, údaje v rozsahu potřebném pro vyhodnocení režimu CRS a/nebo daňové rezidenci, údaje o bankovním spojení, údaje potřebné k plnění právních povinností zaměstnavatele, veškeré další údaje obsažené v klientské dokumentaci, která je s Klientem uzavírána, která je Klientovi předána k vyplnění či za účelem splnění informační povinnosti Banky.

3.             Geolokační údaje

Mezi geolokační údaje patří zejména GPS koordinátory místa, které slouží k určení polohy prostřednictvím mobilního zařízení využívaného k užívání mobilní aplikace nebo prostřednictvím Cookies.

4.             Údaje uvedené v rámci uděleného souhlasu

ÚČELY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Zpracování osobních údajů bez souhlasu Klienta

Osobní údaje, které o Klientech sbíráme, a účely jejich zpracování se mohou lišit, a to v závislosti na povaze poskytované finanční služby. Banka bez souhlasu zpracovává osobní údaje zejména pro následující účely a na základě následujících právních základů:

1.       Plnění smluvních povinností a za účelem jednání směřujícího k uzavření smlouvy
a)           Zpracování osobních údajů pro plnění povinností plynoucích ze smluv uzavřených mezi Bankou a Klientem, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost Klienta;
b)         Poskytnutí osobních údajů ve stanoveném rozsahu je povinné, v případě neposkytnutí osobních údajů může být odepřeno poskytnutí finanční služby.

2.       Plnění zákonných povinností
a)            Zpracování osobních údajů pro plnění právních povinností:
i)               které se na Banku vztahují zejména na základě zákona č. 21/1992 Sb., o bankách, ve znění pozdějších předpisů;

Ve smyslu §37 odst. 2 zákona o bankách má Banka pro účely bankovních obchodů povinnost zjišťovat a zpracovávat údaje o osobách včetně rodného čísla, pokud bylo přiděleno, vyjma citlivých údajů o fyzických osobách, potřebné k tomu, aby bylo možné bankovní obchod uskutečnit bez nepřiměřených právních a věcných rizik pro Banku. Banka je oprávněna i bez souhlasu Klienta v rozsahu údajů zapsaných v základních registrech přistoupit k aktualizaci či kontrole těchto dat vždy, pokud je to z pohledu Banky technicky možné.

 ii)         které se na Banku vztahují zejména na základě zákona č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů
z trestné činnosti a financování terorismu, ve znění pozdějších předpisů (dále jen „AML zákon“), přičemž charakter těchto údajů se může měnit v závislosti na typu Klienta, obchodního vztahu, produktu nebo obchodu;

iii)         které se na Banku vztahují zejména na základě zákona č. 250/2017 Sb., o elektronické identifikaci, ve znění pozdějších předpisů;

iv)         které se na Banku vztahují zejména na základě zákona č. 370/2017 Sb., o platebním styku, ve znění pozdějších předpisů;

v)         které se na Banku vztahují v rozsahu potřebném k vyhodnocení, zda Klient spadá pod režim FATCA, a plnění povinností plynoucích z CRS (k tomu blíže viz dokumenty Banky nazvané „Informace k FATCA“ a „Informace k CRS“ dostupné na pobočkách a internetových stránkách Banky: https://www.creditas.cz/dulezite-dokumenty);

vi)         které se na Banku vztahují v souvislosti s poskytováním investičních služeb (například na základě zákona č. 256/2004 Sb., o podnikání na kapitálovém trhu, ve znění pozdějších předpisů);

vii)        které se na Banku vztahují zejména na základě zákona č. 171/2023 Sb., ochraně oznamovatelů, ve znění pozdějších předpisů;

viii)        které se na Banku vztahují dle dalších právních předpisů (například se může jednat o zpracovávání osobních údajů
z registrů a databází evidujících bonitu a schopnost Klienta dostát svým závazkům),

ix)      které se na Banku vztahují na základě právních předpisů evropského či mezinárodního práva, například nařízení Komise v přenesené pravomoci (EU) 2018/389, kterým se doplňuje směrnice Evropského parlamentu a Rady (EU) 2015/2366, pokud jde o regulační technické normy týkající se silného ověření klienta a společných a bezpečnostních otevřených standardů komunikace (toto nařízení Bance ukládá povinnosti týkající se ověření, že Klient je oprávněným uživatelem osobních bezpečnostních údajů a zařízení, když využívá on-line přístup ke svým účtu).

b)         Poskytnutí osobních údajů ve stanoveném rozsahu je povinné, v případě neposkytnutí osobních údajů může být odepřeno poskytnutí finanční služby.

3.      Určení, výkon nebo obhajoba právních nároků Banky

a)         Zpracování osobních údajů pro určení, výkon nebo obhajobu právních nároků v rozsahu nezbytném pro účely oprávněných zájmů Banky či třetích osob.

4.      Prevence podvodů a protiprávního jednání a ochrana života, zdraví a majetku Klienta

a)      Zpracování osobních údajů pro účely prevence podvodů a protiprávního jednání a ochrany života, zdraví a majetku Klienta, a to v rozsahu nezbytném s ohledem na oprávněné zájmy Banky a plnění právních povinností.

b)         Zpracování osobních údajů pro účely fyzické, elektronické a ekonomické identifikace Klienta.

5.     Zasílání marketingových sdělení pro účely přímého marketingu (bez souhlasu)

a)         Bez souhlasu Klienta může Banka osobní údaje v přiměřené míře zpracovávat pro účely přímého marketingu, pokud je zpracování osobních údajů nezbytné pro účely oprávněných zájmů Banky.

b)          Za tímto účelem budou zpracovávány jen kontaktní a identifikační údaje Klienta pro doručení takového marketingového sdělení.

c)          Klient má právo vznést proti zpracování osobních údajů pro tento účel kdykoli námitku, a to komunikačními prostředky uvedenými dále v tomto dokumentu.

6.     Pořizování záznamů telefonických hovorů, uchovávaní e-mailové či obdobné komunikace

a)       Pořizování záznamů telefonických hovorů, uchovávaní e-mailové či obdobné komunikace, jejíž předmětem je kromě plnění Smlouvy či povinností Bance uložených právními předpisy i zodpovězení obecných dotazů.

b)          Poskytnutí osobních údajů v požadovaném rozsahu může být povinné, v případě jejich neposkytnutí může být odepřeno poskytnutí finanční služby.

7.     Pořizování záznamů podobizny

a)           Bez souhlasu Klienta může Banka pořizovat záznamy podobizny Klienta kamerovým systémem.

b)           Bez souhlasu Klienta může Banka pořizovat záznamy podobizny Klienta z jiných zdrojů, např. z kopie dokladu totožnosti.

8.    Používání aplikace CREDITAS Banking Mobile pouze v omezeném rozsahu funkcí dostupných pro uživatele, kteří nevyužívají finanční služby Banky

8.1         Používání aplikace CREDITAS Banking Mobile (v omezeném rozsahu funkcí)

a)           Zpracování osobních údajů pro tento účel provádíme z důvodu užívání aplikace.

b)         Poskytnutí osobních údajů ve stanoveném rozsahu je povinné, v případě jejich neposkytnutí může být odepřen přístup do aplikace CREDITAS Banking Mobile.

8.2         Určení, výkon nebo obhajoba právních nároků Banky

a)             Zpracování osobních údajů pro určení, výkon nebo obhajobu právních nároků v rozsahu nezbytném pro účely oprávněných zájmů Banky.

8.3         Prevence podvodů a protiprávního jednání

a)             Zpracování osobních údajů pro účely prevence podvodů a protiprávního jednání v rozsahu nezbytném s ohledem na oprávněné zájmy Banky.

Zpracování osobních údajů se souhlasem Klienta

Mimo zpracování osobních údajů, které Banka provádí jako svou zákonnou povinnost, plnění smlouvy či oprávněný zájem, může Banka zpracovávat osobní údaje Klientů na základě uděleného souhlasu.

Souhlas je zcela dobrovolný a může být kdykoli odvolán, a to i v jeho jednotlivých částech, například prostřednictvím bezplatné infolinky 800 888 009, e-mailem na adrese [email protected], na pobočkách, sdělením prostřednictvím jakékoliv aplikace, kterou jsou poskytované služby Internetového bankovnictví, nebo písemně na korespondenční adrese Banky. Odvoláním souhlasu není dotčena zákonnost zpracování osobních údajů před odvoláním.

ZDROJE OSOBNÍCH ÚDAJŮ

Osobní údaje Klientů může Banka pro výše uvedené účely získávat (kromě údajů získaných od Klientů, což čítá i údaje získané se souhlasem či údaje, ke kterým byl Bance zřízen přístup) i z veřejných rejstříků i dalších rejstříků a databází, např. Základní registry, Obchodní rejstřík, Živnostenský rejstřík, Centrální evidence exekucí, Centrální registr dlužníků, Insolvenční rejstřík, OFAC, Databáze neplatných dokladů – Ministerstvo vnitra ČR, člen Skupiny.

DOBA UCHOVÁVÁNÍ OSOBNÍCH ÚDAJŮ

Osobní údaje Banka zpracovává po dobu nezbytnou pro účely, pro které jsou zpracovávány, tedy v závislosti na účelu zpracování zejména:

a)            po dobu trvání smluvního vztahu a dále po dobu, která je stanovena v příslušných právních předpisech (zejména v AML zákoně, který stanoví, které osobní údaje je nutné uchovávat po dobu 10 let po ukončení obchodu nebo obchodního vztahu);

b)            po dobu stanovenou pro obecné promlčecí lhůty podle platných právních předpisů (tato doba může být prodloužena s ohledem na nezbytnost zpracování pro určení, výkon nebo obhajobu právních nároků);

c)             po dobu, pro kterou byl udělen souhlas, případně do odvolání souhlasu, byl-li souhlas odvolán před uplynutím této doby;

d)             po dobu, která je nevyhnutelná k určení, výkonu nebo obhajobě právních nároků Banky.

PŘÍJEMCI OSOBNÍCH ÚDAJŮ

Osobní údaje mohou být zpřístupněny nebo poskytnuty následujícím kategoriím příjemců, avšak za předpokladu dodržení všech povinností vyžadovaných právním řádem:

a)         orgánům veřejné moci, např. soudům, orgánům činným v trestním řízení, správcům daně, soudním exekutorům, orgánu dohledu, základním registrům apod., a to buď za účelem plnění právní povinnosti, na vyžádání, nebo z vlastního rozhodnutí Banky (např. v případě, že má podezření na spáchání trestného činu nebo přestupku), avšak vždy pouze v rozsahu a v souladu s obecně závaznými právními předpisy;

b)             osobám, které se na základě smlouvy podílejí na předmětu činnosti Banky, které jsou pověřeny k plnění smluvních
a zákonných povinností Banky, přičemž tyto jsou vždy zavázány zákonnou nebo smluvní povinností mlčenlivosti min. v rozsahu, v jakém je zavázána Banka (např. auditoři, advokáti, externí daňoví poradci), to vše za výše uvedenými účely zpracování osobních údajů;

c)         dalším správcům, kteří se na základě smlouvy podílejí na předmětu činnosti Banky, přičemž jsou vždy zavázáni zákonnou nebo smluvní povinností mlčenlivosti minimálně v rozsahu, v jakém je zavázána Banka, to vše pro výše uvedené účely zpracování osobních údajů;

d)             postupníkům v souvislosti s uzavíráním smluv o postoupení pohledávky Banky za Klientem;

e)             dalším osobám, pokud k tomu Klient udělil souhlas (například se bude jednat o případ Bankovní identity, která slouží k elektronickému ověření totožnosti Klienta u některých portálů veřejné správy a zapojených subjektů soukromého segmentu, tj. e-shopů, apod).

PRÁVA SOUVISEJÍCÍ SE ZPRACOVÁNÍM OSOBNÍCH ÚDAJŮ

Klient může vůči Bance uplatnit:

a)             právo na přístup

Požadavek na sdělení informací, které osobní údaje jsou o Klientovi zpracovávány.

b)             právo na výmaz

Požadavek na výmaz osobních údajů, pokud nejsou potřebné pro účel, pro který byly zpracovávány, pokud byl odvolán souhlas s jejich zpracováním, byly zpracovány protiprávně, musí být vymazány ke splnění právní povinnosti, nebo byly shromážděny v souvislosti s nabídkou služeb informační společnosti.

c)             právo na opravu

Požadavek na opravu nebo doplnění osobních údajů v případě, že osobní údaje, které o Klientovi vedeme, jsou nepřesné či neúplné.

d)             právo na omezení zpracování

Požadavek na omezení zpracování, pokud Klient popírá přesnost osobních údajů, nebo považuje jejich zpracování za protiprávní, nebo vznesl námitku proti zpracování, přičemž není zřejmé, zda oprávněný zájem Banky převažuje nad oprávněnými zájmy Klienta. V případech, kdy bylo zpracování omezeno, mohou být osobní údaje zpracovávány pouze se souhlasem, nebo z důvodu určení, výkonu nebo obhajoby právních nároků, z důvodu ochrany práv jiné fyzické nebo právnické osoby nebo z důvodů důležitého veřejného zájmu.

e)            právo na přenositelnost osobních údajů

Požadavek na poskytnutí osobních údajů k jejich přenosu k jinému správci. V případě požadavku na převedení účtu k jiné bance, bude správce postupovat v souladu se zákonem č. 370/2017 Sb., o platebním styku.

f)             další práva:

i)         námitku vůči zpracovávaní osobních údajů, které správce zpracovává na právním základě ochrany oprávněných zájmů, včetně profilování a přímého marketingu;

ii)             žádat, aby se na Klienta nevztahovalo automatizované rozhodování;

iii)            odvolat již udělený souhlas se zpracováním osobních údajů.

Uvedená práva může Klient uplatnit osobně na kterékoliv pobočce Banky, sdělením prostřednictvím jakékoli kanálu, kterým jsou poskytované služby Internetového bankovnictví, nebo písemně na adrese: Banka CREDITAS a.s., Oddělení provozního Back Office, tř. Svobody 1194/12, 779 00 Olomouc.

Klient se v případě porušení povinností Banky v souvislosti se zpracováním osobních údajů může rovněž obrátit se stížností přímo na Úřad pro ochranu osobních údajů (www.uoou.cz).

PREVENCE ZNEUŽITÍ PLATEBNÍCH PROSTŘEDKŮ A OCHRANA PŘED MALWAREM

Na základě požadavku vyplývajícího z nařízení Komise 2018/389*, Banka zavedla mechanismy ke sledování transakcí, které umožňují odhalit podvodná jednání směřovaná vůči Klientům, včetně napadení zařízení Klienta malwarem.

Při užívání platebních prostředků, zejména platebních karet, Banka může zpracovávat osobních údaje jako místo a čas jejich použití. V případech, kdy nastane situace, že platební karta je použita způsobem, který se může jevit jako nestandardní, může být takováto transakce vyhodnocena za rizikovou spolu s následnou blokací platební karty, a to s cílem předcházení podvodům a potenciálním škodám.

V rámci prevence zneužití platebních prostředků a ochrany před malwarem zajišťuje Banka nepřetržitou ochranu bankovní aplikace před neautorizovaným přístupem a monitoruje známky nestandardního chování, sekvence rizikových úkonů či napadení malwarem. Za tímto účelem zpracovává Banka i údaje o Klientově zařízení (zejm. IP adresa, typ a model zařízení, jazyk, časové pásmo, operační systém, informace o aplikacích, verze operačního systému, aktivace zámku telefonu, geolokační údaje) a údaje o Klientově obvyklém způsobu užívání tohoto zařízení. Následně Banka zpracovává i další informace získané v rámci prošetřování konkrétních podezření na podvod nebo při vyřizování uplatněné reklamace.

PROFILOVÁNÍ A AUTOMATIZOVANÉ ROZHODOVÁNÍ PŘI ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Banka může využívat v rámci svých procesů automatizované informační systémy a profilování, jejichž cílem je zajistit Klientovi kvalitní služby přizpůsobené na míru jeho potřebám. Uvedené procesy může Banka využívat zejména k vyhodnocení vhodnosti produktů a služeb na základě osobních údajů, z nichž bude Banka schopna odhadnout budoucí potřeby Klientů. Banka nečiní na základě plně automatizovaného rozhodování (včetně profilování), tj. bez zásahu lidského prvku, rozhodnutí, které by mělo pro Klienta právní či obdobné účinky.

Pro účely detekce a prevence podvodů Banka využívá mnohoúrovňového profilování Klientů, použitých zařízení, internetových relací, účtů a plateb (blíže viz výše). Řešení je založeno na vyhodnocování veškerých interakcí výše zmíněných faktorů proti množině klíčových ukazatelů, které jsou vždy v závěrečné fázi vyhodnoceny pracovníky. Výsledek vyhodnocení může vést i k zablokování platebních prostředků Klienta.


*Nařízení Komise v přenesené pravomoci (EU) 2018/389, kterým se doplňuje směrnice Evropského parlamentu a Rady (EU) 2015/2366, pokud jde o regulační technické normy týkající se silného ověření klienta a společných a bezpečnostních otevřených standardů komunikace