Tato informace popisuje základní principy, podle kterých Citfin – Finanční trhy, a.s., IČO: 25079069, se sídlem: Radlická 751/113e, 158 00 Praha 5 – Jinonice, zapsaná v obchodním rejstříku u Městského soudu v Praze, oddíle B, vložce 4313, a Citfin, spořitelní družstvo, IČO: 25783301, se sídlem Radlická 751/113e, 158 00 Praha 5 – Jinonice, zapsané v obchodním rejstříku u Městského soudu v Praze pod spisovou značkou DR, vložka 4607 (dále jen „Citfin“), zpracovávají osobní údaje fyzických osob, kteří jsou klienty Citfin či kteří jsou disponenty klientů (právnických osob) Citfin (dále též jako „klient“ či „subjekt“) a informace o právech subjektů souvisejících se zpracováváním jejich osobních údajů v rámci Citfin.
Tento dokument bude pravidelně aktualizován.
1. Úvodní informace
Citfin – Finanční trhy, a.s., a Citfin, spořitelní družstvo, jsou pro účely zpracování osobních údajů společnými správci, jenž společně stanovili účely a prostředky zpracování. Společní správci mezi sebou transparentním ujednáním vymezili své podíly na odpovědnosti za plnění povinností tak, že pokud jde o výkon práv subjektu údajů, resp. pokud jde o poskytování povinných oznámení o zpracování osobních údajů, bude odpovědnost naplňovat ten správce, u kterého je subjekt klientem, v případě že je klientem u obou správců, tak ten správce, na kterého se subjekt se svou žádostí obrátí. Oba společní správci mají určeno jedno společné kontaktní místo pro subjekty údajů, tak jak je uvedeno níže.
Pro účely zpracování osobních údajů mohou oba společní správci shromážděné osobní údaje sdílet a zpracovávat. Při shromažďování osobních údajů ani později si subjekt nemůže vybírat, který správce může jeho osobní údaje zpracovávat a který nikoliv.
Citfin zpracovává osobní údaje subjektu v rámci všech svých činností při poskytování služeb obchodníka s cennými papíry, platební instituce a spořitelního družstva, a při poskytování pravidelných informací subjektům prostřednictvím webové komunikace.
Citfin ode dne 25. 5. 2018 zpracovává osobní údaje subjektů v souladu s Nařízením Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „Nařízení“).
Citfin jmenoval pověřence osobních údajů („DPO“), který dohlíží na dodržování ochrany osobních údajů v rámci Citfin. DPO dostupný skrze gdprpoverenec@citfin.cz.
2. Jaké kategorie údajů zpracováváme
Zpracováváme pouze takové údaje, abychom mohli Klientům poskytovat naše služby, abychom dodržovali naše zákonné povinnosti a chránili své oprávněné zájmy.
Citfin shromažďuje, zpracovává a uchovává zejména následující kategorie osobních údajů Klientů:
- identifikační osobní údaje – zejména jméno, příjmení, datum narození, rodné číslo, adresa bydliště, číslo průkazu totožnosti (pas, občanský průkaz), fotografie z průkazu totožnosti, státní příslušnost, národnost, zemi narození, vyobrazení podpisu Klienta, pokud je podnikatelem také IČ a adresa sídla;
- biometrické údaje – údaje, které jsou zpracovávány za účelem jedinečné identifikace fyzické osoby např. údaje odvozené ze záznamu podoby identifikované osoby, a to za účelem ověření shody její podoby s údaji získanými z fotografií na poskytnutých kopiích dokladů;
- kontaktní osobní údaje – zejména telefonní číslo, email, doručovací adresu, přístupové údaje umožňující komunikaci mezi Citfin a Klientem elektronicky, jakými jsou přihlašovací jména, hesla, PIN a další zabezpečovací prvky, které slouží k bezpečné autentizaci Klienta;
- údaje o produktech a službách poskytovaných Klientovi – údaje subjektu vztahující se k řešené agendě, číslo účtu, číslo smlouvy, údaj o využívání produktů/služeb nebo preferovaný jazyk, geolokační údaje, transakční údaje, doporučení a nabídky;
- údaje ze vzájemné komunikace – údaje z používání webových stránek a aplikací Citfin, dále pak informace o vzájemném kontaktu prostřednictvím jakéhokoli kontaktního místa (po jakou dobu, na jaké téma a jakým komunikačním kanálem), včetně řešení stížností a servisních požadavků;
- údaje při nahrávání telefonních hovorů – ukládání údajů na nosiče dat, jejich zpřístupňování, používání, předávání a uchovávání;
- jiné údaje – např. kamerové záznamy.
Při uzavírání smluvního vztahu má Citfin povinnost zjišťovat rodné číslo Klienta – fyzické osoby, případně fyzické osoby, která je členem statutárního orgánu právnické osoby, a po stanovenou dobu jej uchovávat tak, aby Citfin mohl poskytovat sjednané služby v souladu s právními předpisy a plnit své závazky vyplývající ze smlouvy.
Nahrávky s osobními údaji mohou být zpřístupněny pověřeným pracovníkům Citfin, dále státním dozorčím orgánům, osobám, kterým je nutné osobní údaje zpřístupnit na základě a v souladu s ustanoveními příslušných právních předpisů, subjektům, kterým je Citfin oprávněn osobní údaje zpřístupnit za účelem ochrany práv a povinností z jednání o uzavření smlouvy nebo z vlastního smluvního vztahu vzešlých a společnostem, které vykonávají činnost pro Citfin na základě outsourcingových nebo jiných smluv o poskytování služeb, při kterých takové společnosti budou vystupovat jako zpracovatelé osobních údajů.
3. Účel zpracování osobních údajů klienta
Osobní údaje Klientů musí být shromažďovány pouze pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný. O účelu zpracování je Klient transparentně informován.
Zpracování osobních údajů bez souhlasu Klienta
- za účelem zpracování Klientské dokumentace v souvislosti se sjednáváním, realizací a vypořádáním obchodů. Bez osobních údajů poskytnutých pro zmíněný účel Citfin nemůže:
- ověřit identitu Klienta při sjednávání smlouvy nebo při sjednávání obchodu;
- připravit smluvní dokumentaci nebo její změnu a projednat ji s oprávněnou osobou;
- plnit požadavky bankovního dohledu na obezřetnost při podnikání na bankovním trhu;
- poskytovat informace a výpisy sjednaných transakcí pouze oprávněným osobám.
Bez poskytnutí těchto údajů nelze tedy smluvní vztah uzavřít nebo v něm pokračovat.
- pořízení a uchovávání kopie osobních dokladů Klientů – Citfin je oprávněn, resp. povinen identifikovat Klienta nebo oprávněnou osobu. Klient bere na vědomí a souhlasí, že Citfin pořídí v rámci identifikace Klienta a oprávněných osob fotokopii předložených dokumentů (např. výpis z obchodního rejstříku, průkaz totožnosti). Pořízení fotokopie dokumentů a jejich uchování umožňuje, resp. nařizuje zákon č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu.
- za účelem umožnění používání produktů a služeb – v případě, že jste si zvolili naše produkty a využíváte naše služby, dochází z naší strany ke zpracování vašich údajů. Především se jedná o vaše identifikační údaje, údaje o produktech a službách a údaje vycházející z Vašeho využívání internetových nebo mobilních aplikací.
- za účelem plnění zákonných povinností Citfin vyplývajících z právních předpisů zejména za účelem:
- provádění identifikace Klienta a dalších povinností dle zákona č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti, zákona č. 370/2017 Sb., o platebním styku, zákona č. 256/2004 Sb., o podnikání na kapitálovém trhu, zákona č. 87/1995 , o spořitelních a úvěrních družstvech, Směrnice Evropského parlamentu a Rady EU 2016/680, Směrnice Evropského parlamentu a Rady EU 2016/679;
- dodržování požadavků zákona č. 21/1992 Sb., o bankách
- plnění smluvních povinností ze smlouvy uzavřené s Klientem;
- uchování a archivování údajů dle zákonných požadavků.
- za účelem ochrany práv a právem chráněných zájmů Citfin:
- za tímto účelem zejména vyhodnocujeme údaje týkající se využívání služeb našimi Klienty, abychom co nejpřesněji nastavili parametry našich produktů a služeb;
- řešení veškeré sporné agendy, zejména pro účely vedení soudních a jiných sporů;
- za účelem řízení našeho vztahu se zákazníky, kdy s Klienty řešíme založení, nastavení, změny, poskytování informací o produktu a službách, řešíme požadavky, přání a stížnosti, Klientů, včetně požadavků a uplatnění práv týkajících se ochrany osobních údajů;
- adresní a identifikační osobní údaje subjektů používáme za účelem přímého marketingu produktů a služeb Citfin. Zpracování pro účely přímého marketingu lze považovat za zpracování prováděné z důvodu oprávněného zájmu Citfin. Klientovi je vždy dána možnost vyjádřit nesouhlas s dalším nabízením produktů a služeb, které je činěno na základě oprávněného zájmu Citfin.
Zpracování osobních údajů se souhlasem Klienta
Zpracování osobních údajů, které nespadá pod výše uvedené účely, může být prováděno jen se souhlasem Klienta. Poskytnutí takového souhlasu je zcela na rozhodnutí Klienta. V rámci Citfin se jedná o následující zpracování:
- zpracování a uchování biometrických údajů – za účelem jedinečné identifikace fyzické osoby. Jedná se o údaje odvozené ze záznamu podoby Klienta, a to za účelem ověření shody Klientovi podoby s údaji získanými z fotografií na poskytnutých kopiích dokladů;
- zpracování údajů Klienta pro účely marketingu nad rámec zpracování pro účely marketingu prováděného z důvodu oprávněného zájmu Citfin, zejména nabízení určitých individuálních produktů a služeb na žádost Klienta nebo šíření informací a nabídek produktů a služeb, se kterými Klient vyjádřil souhlas.4. Způsob zpracování a uchování osobních údajů a doba jejich uložení u Citfin.
4. Způsob zpracování a uchování osobních údajů a doba jejich uložení u Citfin
Citfin údaje uchovává pouze po nezbytně nutnou dobu v souladu s právními předpisy a archivuje je 10 let následujících po konci kalendářního roku, ve kterém došlo k ukončení smluvního vztahu s Citfin. Citfin má nastavena přísná vnitřní pravidla archivace, která zajišťují, že údaje Klientů nedrží déle, než je oprávněn.
Údaje, které jsou zpracovávány se souhlasem Klienta, Citfin uchovává po dobu, po kterou je mu souhlas platně udělen. Pro vyloučení pochybností, samotný souhlas a změnu či odvolání souhlasu Citfin uchovává z titulu svých oprávněných zájmů po celou dobu platnosti souhlasu a 10 let poté, co zanikl.
Citfin zpracovává osobní údaje Klienta manuálně či automatizovaným způsobem a zabezpečeně je uchovává v listinné či elektronické podobě. V návaznosti na účel zpracování jsou osobní údaje Klienta vedeny v Klientském informačním systému Citfin.
Citfin při zpracování osobních údajů neuplatňuje ani automatizované rozhodování s využitím výhradně automatických prostředků (aplikace, software, algoritmy apod.), ani profilování, při kterém dochází k automatizovanému zpracování údajů za účelem zhodnocení určitých osobních aspektů subjektu (např. ekonomická situace, chování, preference nebo sledování polohy).
5. Příjemci osobních údajů klienta
Osobní údaje Klienta jsou zásadně spravovány uvnitř Citfin. Citfin může získané osobní údaje Klienta, včetně zvláštních kategorií údajů, předat třetí osobě jen na základě zákonného titulu, zejména pro splnění úkolu vyplývajícího z právního předpisu. O jednotlivých příjemcích svých osobních údajů je Klient transparentně informován.
Osobní údaje Klienta může Citfin dále poskytnout jiným společnostem, které angažuje proto, aby mu pomohly s jeho aktivitami, např. společnostem, které pro Citfin vykonávají činnost jako zpracovatel osobních údajů. Mezi tyto společnosti patří poskytovatelé IT služeb, poskytovatelé archivačních služeb, subjekty vymáhající pohledávky, advokáti, marketingové agentury. Přístup těchto subjektů a zpracování osobních údajů Klientů třetí stranou bude vždy prováděno na základě smlouvy o zpracování osobních údajů a za podmínek stanovených příslušnými právními předpisy.
Se souhlasem Klienta mohou být jeho osobní údaje předány i dalším subjektům.
Osobní údaje se zpracovávají v České republice, Vaše osobní údaje nepředáváme ani do třetí země ani žádné mezinárodní organizaci.
Pokud Klient využije identifikaci osoby online v rámci webového rozhraní pro onboarding Klienta, budou vybrané osobní údaje zpracovány se souhlasem Klienta společností:
- Bankovní identita a.s., IČ: 09513817, se sídlem Smrčkova 2485/4, 180 00 Praha 8 – Libeň;
- Onfido Limited, IČ: 07479524, se sídlem 14-18 Finsbury Square, 3rd Floor, London, England, EC2A 1 AH
a předány Citfin.
6. Zdroje osobních údajů
Citfin získává osobní údaje Klientů zejména:
- od samotných Klientů, a to přímo při uzavírání smluv o poskytování produktů a služeb anebo nepřímo při využívání poskytovaných produktů a služeb;
- v rámci zpřístupňování informací Klientům o produktech a službách, např. prostřednictvím webových stránek Citfin nebo prostřednictvím mobilních aplikací;
- z veřejně dostupných zdrojů (veřejné rejstříky či seznamy);
- od potencionálních zájemců o služby Citfin;
- z vlastní činnosti Citfin.
7. Práva Klientů jako subjektů osobních údajů
Citfin při shromažďování, zpracovávání a uchovávání osobních údajů dbá v plném rozsahu ochrany práv Klientů údajů tak, jak vyplývají z příslušných ustanovení právních předpisů. V souvislosti se zpracováním osobních údajů náleží Klientům, jakožto subjektům údajů, níže specifikovaná práva, která mohou dle vlastního uvážení využít:
- Právo přístupu k osobním údajům– Klient může požadovat bezplatnou informaci o zpracovávání svých osobních údajů. Citfin je oprávněn v případech, jsou-li žádosti podané Klientem zjevně nedůvodné nebo nepřiměřené, zejména protože se opakují, požadovat za poskytnutí informace o zpracovávaných osobních údajů Klienta přiměřenou úhradu, nepřevyšující náklady nezbytné na poskytnutí informace. Ze stejných důvodů lze i odmítnout žádosti vyhovět.
- Právo na přenositelnost (t Klient může získat osobní údaje, které se jej týkají a jež poskytl, vestrukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci).
- Klient, jako subjekt osobních údajů, který zjistí nebo se domnívá, že Citfin jako správce nebo jiná osoba, která pro Citfin zpracovává osobní údaje, provádí zpracování jeho osobních údajů v rozporu s ochranou jeho soukromého a osobního života nebo vrozporu s příslušnými právními předpisy, může požádat o vysvětlení nebo požadovat, aby Citfin nebo zpracovatel:
- bez zbytečného odkladu opravili a/nebo doplnili nepřesné osobní údaje, které se jej týkají;
- provedli výmaz jeho osobních údajů (zejména tehdy nejsou-li osobní údaje již potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány nebo byl-li odvolán souhlas se zpracováním či vznesena námitka proti zpracování a neexistují žádné převažující oprávněné důvody pro další zpracování);
- omezili zpracování jeho osobních údajů (zejména tehdy jeli popírána přesnost osobních údajů nebo zpracování je protiprávní a subjekt odmítne výmaz osobních údajů a žádá místo toho omezení jejich použití nebo osobní údaje již nejsou potřebné pro účely zpracování, ale subjekt je požaduje pro určení, výkon nebo obhajobu svých právních nároků).
- V případě zpracování prováděném na základě souhlasu, má Klient jako subjekt údajů právo udělený souhlas kdykoli zčásti nebo zcela odvolat s účinky do budoucna. Bez odpovídajícího souhlasu nebude Citfin dané zpracování dále provádět. Souhlas je možné odvolat na níže uvedené emailové nebo poštovní kontaktní adrese. Odvoláním souhlasu není dotčena zákonnost zpracování založená na souhlasu uděleném před jeho odvoláním.
- Klientovi, jako subjektu údajů dále náleží právo podat stížnost proti zpracování osobních údajů u Úřadu pro ochranu osobních údajů, Sochora 27, PSČ 170 00, Praha 7, www.uoou.cz
V souvislosti s výkonem svých práv a v případě jakýchkoli otázek či informací ohledně nakládání s osobními údaji, jsou Klienti oprávněni kontaktovat Citfin na telefonní lince Call centra Citfin + 420 234 092 333, případně prostřednictvím emailu info@citfin.cz, případně se obrátit na DPO skrze gdprpoverenec@citfin.cz.
V Praze dne 1. června 2023
Zabezpečená komunikace s klienty Citfin
Postup pro otevření příchozího souboru 7-ZIP-manual | 345 KB | Stáhnout |