Zásady ochrany osobních údajů
Ochrana osobních údajů pro služby Bank iD
A. KDO JE SPRÁVCEM VAŠICH OSOBNÍCH ÚDAJŮ?
Při využití služeb společnosti Bankovní identita, a.s., IČO: 095 13 817, se sídlem Smrčkova 2485/4, Libeň, 180 00 Praha 8 (dále jen „Bank iD“ nebo „my“) zpracovává vaše osobní údaje
- Vaše banka, která potvrzuje Vaši totožnost nebo úkon, který chcete provést,
- poskytovatel online služby, pro kterou bankovní identitou prokazujete svou totožnost nebo činíte jiný úkon, a
- Bank iD jako poskytovatel identifikačních služeb podle zákona o bankách přenáší Vaše osobní údaje od Vaší banky k Vámi zvolenému poskytovateli online služby.
Tyto zásady popisují zpracování osobních údajů, které jako správce provádí Bank iD. Pro informace o tom, jak Vaše osobní údaje zpracovává Vaše banka nebo poskytovatel online služby prosím navštivte webové stránky těchto subjektů a seznamte se s jejich zásadami zpracování osobních údajů v příslušné sekci.
B. JAKÉ OSOBNÍ ÚDAJE ZPRACOVÁVÁME?
V rámci služeb Bank iD zpracováváme především údaje, k jejichž předání jste udělili pokyn v prostředí své banky. Může se jednat o následující kategorie údajů:
- identifikační údaje, zejména Vaše jméno, příjmení, titul, datum a místo narození, země pobytu, číslo průkazu totožnosti nebo unikátní ID Vaší bankovní identity;
- kontaktní údaje, zejména Vaše adresa, telefon nebo e-mail;
- platební údaje, zejména číslo Vašeho bankovního účtu;
- údaje o podepsaných dokumentech a prohlášeních, zejména obsah dokumentů nebo prohlášení, které podepisujete pomocí služby Bank iD SIGN, jejich jedinečný matematický otisk (hash), název a počet stran v případě dokumentů.
Dále zpracováváme údaje o tom, kdo nám Vaše údaje předává a komu je máme dále předat, tedy údaje o Vaší bance a poskytovateli online služby. Nikdy však nemáme bez Vašeho pokynu přístup k údajům z prostředí Vaší banky, ani údajům z online služby, pro kterou bankovní identitou prokazujete svou totožnost nebo činíte jiný úkon. Naopak Vaší bance nepředáváme obsah dokumentů, který podepíšete pomocí služby Bank iD SIGN sloužící pro vytváření elektronických podpisů – dokumenty máme k dispozici pouze my a Vámi vybraný poskytovatel online sužby. Vaší bance předáme pouze údaje o dokumentech jako jsou jejich názvy, počet stran a jedinečný matematický otisk (hash).
C. PROČ OSOBNÍ ÚDAJE ZPRACOVÁVÁME A CO NÁS K TOMU OPRAVŇUJE?
Při poskytování služeb Bank iD vystupujeme jako poskytovatel identifikačních služeb podle § 38aa odst. 2 zákona č. 21/1992 Sb., o bankách. To znamená, že na základě Vámi uděleného pokynu obdržíme od banky osobní údaje, které následně předáme Vámi vybranému poskytovateli online služby a/nebo je uložíme do Vámi stažené mobilní aplikace (v případě služby Bank iD Plus). Při tom zpracováváme výše uvedené osobní údaje na základě našich oprávněných zájmů za účelem poskytování identifikačních služeb nebo za účelem ověření Vašeho věku v souvislosti s využíváním služby Bank iD Plus na základě plnění smlouvy s Vámi.
Při poskytování služby Bank iD SIGN, sloužící pro vytváření elektronických podpisů, obdržíme od Vámi vybraného poskytovatele online služby dokumenty nebo prohlášení. Vybrané údaje o těchto dokumentech nebo prohlášení předáme Vaší bance, abyste v prostředí banky mohli udělit pokyn k připojení elektronického podpisu k těmto dokumentům nebo prohlášení. Na základě Vámi uděleného pokynu obdržíme osobní údaje od banky a použijeme je pro připojení Vašeho elektronického podpisu k dokumentům nebo prohlášením. Následně podepsané dokumenty nebo prohlášení s údaji od Vaší banky předáme Vámi vybranému poskytovateli online služby. Všechny tyto kroky provádíme za účelem poskytování identifikačních služeb na základě plnění smlouvy s Vámi.
Záznamy o poskytnutí našich služeb archivujeme na základě našeho oprávněného zájmu z důvodu ochrany právních nároků. V případě jiných služeb než služby Bank iD SIGN, sloužící pro vytváření elektronických podpisů, a Bank iD Plus, sloužící k ověření Vašeho věku, tyto údaje archivujeme výlučně v pseudonymizované podobě.
Proti zpracování na základě oprávněného zájmu máte právo kdykoli podat námitku, které je blíže popsáno v kapitole „Právo vznést námitku proti zpracování“.
D. JAK DLOUHO BUDEME VAŠE OSOBNÍ ÚDAJE ZPRACOVÁVAT?
Vaše osobní údaje zpracováváme v plném rozsahu pouze po dobu, která je nezbytná pro jejich předání poskytovateli online služby, pro kterou bankovní identitou prokazujete svou totožnost nebo činíte jiný úkon. Následně Vaše osobní údaje archivujeme v pseudonymizované podobě po dobu trvání promlčecí doby nároků vyplývajících nebo souvisejících s poskytnutím služby (maximálně 15 let od poskytnutí služby). V případě zahájení soudního, správního nebo jiného řízení zpracováváme Vaše osobní údaje v nezbytném rozsahu po celou dobu trvání takových řízení.
V případě služby Bank iD SIGN, sloužící pro vytváření elektronických podpisů, si Vaše osobní údaje potřebujeme uchovat bez jejich pseudonymizace, abychom byli schopni později prokázat, kdo připojil elektronických podpis k určitému dokumentu podepsanému pomocí této služby. Proto Vaše osobní údaje zpracováváme po dobu, která je nezbytná pro jejich předání poskytovateli online služby, jenž nám předal dokumenty nebo prohlášení k připojení Vašeho elektronického podpisu. Vaše identifikační údaje a vybrané údaje o podepsaných dokumentech a prohlášeních (nikoli však obsah dokumentů), archivujeme po dobu trvání promlčecí doby nároků vyplývajících nebo souvisejících s poskytnutím služby (maximálně 15 let od poskytnutí služby). V případě zahájení soudního, správního nebo jiného řízení zpracováváme tyto osobní údaje v nezbytném rozsahu po celou dobu trvání takových řízení.
V případě služby Bank iD Plus, sloužící k ověření Vašeho věku, si Vaše osobní údaje potřebujeme uchovat bez pseudonymizace, abychom byli schopni později prokázat, kdo se prostřednictvím služby Bank iD Plus ověřil. Vaše osobní údaje uchováváme po dobu 12 měsíců od ověření, abychom mohli v případě kontroly ze strany státních orgánů, prokázat, že k ověření Vašeho věku skutečně došlo. V případě, že v souvislosti s Vaším ověřením dojde k zahájení soudního, správního nebo jiného řízení zpracováváme Vaše osobni údaje v nezbytném rozsahu po celou dobu trvání takových řízení.
E. Z JAKÝCH ZDROJŮ OSOBNÍ ÚDAJE ZÍSKÁVÁME?
Osobní údaje získáváme přímo od Vaší banky, a to výhradně na základě Vašeho pokynu, kterým zároveň určujete, jakému příjemci máme osobní údaje předat.
F. KDO VAŠE OSOBNÍ ÚDAJE ZPRACOVÁVÁ A KOMU JE PŘEDÁVÁME?
Všechny zmíněné osobní údaje zpracováváme my jako správce. To znamená, že my stanovujeme shora vymezené účely, pro které vaše osobní údaje shromažďujeme, určujeme prostředky zpracování a odpovídáme za jeho řádné provedení.
Při poskytování služeb Bank iD předáváme na základě Vašeho pokynu Vaše osobní údaje poskytovateli online služby, kterého jste pro tento účel potvrdili v rozhraní banky.
Do zpracování osobních údajů dále zapojujeme zpracovatele, kteří prostřednictvím vhodných technických a organizačních opatření zajišťují ochranu osobních údajů a současně jsou vázáni povinností mlčenlivosti. Mezi takové zpracovatele patří:
- poskytovatelé technické infrastruktury, jako je společnost T-Mobile Czech Republic a.s., IČO: 64949681;
- poskytovatelé IT platforem a software, jako je společnost Atlassian Pty Ltd., 350 Bush Street, Floor 13, San Francisco, CA 94104 a Microsoft Corporation, Redmond, Washington 98052 USA;
- poskytovatelé internetových aplikaci pro některé naše produkty, jako je společnost Digital Solutions, s.r.o., IČO: 25998706.
V některých případech můžeme být povinni zpracovávané osobní údaje předat orgánům státní správy, soudům, orgánům činným v trestním řízení, orgánům dohledu v případě, že nás o to požádají.
G. JAKÁ MÁTE PRÁVA PŘI ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ?
Stejně jako my máme svá práva a povinnosti při zpracování Vašich osobních údajů, máte také Vy při zpracování Vašich osobních údajů určitá práva. Jejich přehled naleznete níže.
S ohledem na zajištění bezpečnosti Vašich osobních údajů nelze v naší databázi obsahující tyto údaje vyhledávat bez znalosti identifikátoru, který vám pro účely služeb Bank iD přidělila banka, již jste si při využití služeb Bank iD zvolili. Za účelem výkonu Vašich práv (s výjimkou práva podat stížnost) nám proto musíte poskytnout příslušný identifikátor, který Vám sdělí Vaše banka. Pokud používáte více různých bank, Vaši žádost vyřídíme ve vztahu k údajům, které bude možné podle tohoto identifikátoru vyhledat, tj. údajům, které jsme získali, když jste při použití služeb Bank iD zvolili banku, jež Vám identifikátor poskytla. Pokud chcete mít jistotu, že žádost ve vztahu ke Všem vašim osobním údajům, poskytněte nám prosím identifikátory od všech bank, které jste pro služby Bank iD v minulosti zvolili.
G.1 Právo na přístup
Zjednodušeně řečeno máte právo vědět, jaké údaje o Vás zpracováváme, za jakým účelem, po jakou dobu, kde Vaše osobní údaje získáváme, komu je předáváme, kdo je mimo nás zpracovává a jaká máte další práva související se zpracováním Vašich osobních údajů. To vše jste se dozvěděli v těchto Informacích o zpracování osobních údajů. Pokud si však nejste jisti, které osobní údaje o Vás zpracováváme, můžete nás požádat o potvrzení, zda osobní údaje, které se Vás týkají, jsou či nejsou z naší strany zpracovávány, a pokud tomu tak je, máte právo získat přístup k těmto osobním údajům. V rámci práva na přístup nás můžete požádat o kopii zpracovávaných osobních údajů, přičemž první kopii Vám poskytneme bezplatně a další kopie s poplatkem kryjícím administrativní náklady s vyřízením takové žádosti související.
G.2 Právo na opravu
Pokud zjistíte, že osobní údaje, které o Vás zpracováváme, jsou nepřesné nebo neúplné, máte právo na to, abychom je bez zbytečného odkladu opravili, popřípadě doplnili.
G.3 Právo na výmaz
V některých případech máte právo, abychom Vaše osobní údaje vymazali. Vaše osobní údaje bez zbytečného odkladu vymažeme, pokud je splněn některý z následujících důvodů:
- Vaše osobní údaje již nepotřebujeme pro účely, pro které jsme je zpracovávali,
- využijete svého práva vznést námitku proti zpracování (viz níže kapitola „Právo vznést námitku proti zpracování“) a my shledáme, že již žádné takové oprávněné zájmy, které by toto zpracování opravňovaly, nemáme, nebo
- ukáže se, že námi prováděné zpracování osobních údajů přestalo být v souladu s obecně závaznými předpisy.
Toto právo se nicméně neuplatní v případě, že zpracování Vašich osobních údajů je i nadále nezbytné pro:
- splnění naší právní povinnosti,
- účely archivace, vědeckého či historického výzkumu či pro statistické účely, nebo
- určení, výkon nebo obhajobu našich právních nároků.
G.4 Právo na omezení zpracování
V některých případech můžete kromě práva na výmaz využít právo na omezení zpracování osobních údajů. Toto právo Vám umožňuje v určitých případech požadovat, aby došlo k označení Vašich osobních údajů a tyto údaje nebyly předmětem žádných dalších operací zpracování – v tomto případě však nikoliv navždy (jako v případě práva na výmaz), ale po omezenou dobu. Zpracování osobních údajů musíme omezit když:
- popíráte přesnost osobních údajů, než se dohodneme, jaké údaje jsou správné,
- Vaše osobní údaje zpracováváme bez dostatečného právního základu (např. nad rámec toho, co zpracovávat musíme), ale vy budete před výmazem takových údajů upřednostňovat pouze jejich omezení (např. pokud očekáváte, že byste nám v budoucnu takové údaje stejně poskytl),
- Vaše osobní údaje již nepotřebujeme pro shora uvedený účel zpracování, ale Vy je požadujete pro určení, výkon nebo obhajobu svých právních nároků, nebo
- vznesete námitku proti zpracování. Právo na námitku je podrobněji popsáno níže v kapitole „Právo vznést námitku proti zpracování“. Po dobu, po kterou šetříme, je-li Vaše námitka oprávněná, jsme povinni zpracování Vašich osobních údajů omezit.
G.5 Právo vznést námitku proti zpracování
Máte právo vznést námitku proti zpracování osobních údajů, k němuž dochází na základě našeho oprávněného zájmu. Vzhledem k tomu, že nejde o marketingové aktivity, přestaneme Vaše osobní údaje zpracovávat, pokud nebudeme mít závažné oprávněné důvody pro to, abychom v takovém zpracování pokračovali.
G.6 Právo podat stížnost
Uplatněním práv výše uvedeným způsobem není nijak dotčeno Vaše právo podat stížnost u Úřadu pro ochranu osobních údajů, a to způsobem uvedeným níže v následující kapitole. Toto právo můžete uplatnit zejména v případě, že se domníváte, že Vaše osobní údaje zpracováváme neoprávněně nebo v rozporu s obecně závaznými právními předpisy.
Stížnost proti námi prováděnému zpracování osobních údajů můžete podat u Úřadu pro ochranu osobních údajů, který sídlí na adrese Pplk. Sochora 27, 170 00 Praha 7.
H. JAK U NÁS MŮŽETE UPLATNIT JEDNOTLIVÁ PRÁVA?
Ve všech záležitostech souvisejících se zpracováním vašich osobních údajů, ať již jde o dotaz, uplatnění práva, podání stížnosti či cokoliv jiného, se můžete obracet na našeho pověřence pro ochranu osobních údajů, dostupného na e-mailové adrese: dpo@bankid.cz. Obrátit se na nás můžete také korespondenčně na doručovací adrese: Bankovní identita a.s., Smrčkova 2485/4, 180 00 Praha 8.
Vaši žádost vyřídíme bez zbytečného odkladu, maximálně však do jednoho měsíce. Ve výjimečných případech, zejména z důvodu složitosti Vašeho požadavku, jsme oprávněni tuto lhůtu prodloužit o další dva měsíce. O takovém případném prodloužení a jeho zdůvodnění vás samozřejmě budeme informovat.
Ochrana osobních údajů pro webovou stránku Bankid.cz
My ve společnosti Bankovní identita, a.s., IČO: 095 13 817, se sídlem Smrčkova 2485/4, Libeň, 180 00 Praha 8, zapsané v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 25672 („Bank iD“, „my“ nebo „nás/nám”), považujeme ochranu osobních údajů za nedílnou součást našich závazků vůči uživatelům webových stránek Bank iD („Web“).
V tomto dokumentu najdete informace o osobních údajích, které zpracováváme v souvislosti se vztahem mezi vámi a námi při používání Webu. Cílem těchto zásad ochrany osobních údajů je informovat vás o zpracování osobních údajů, včetně jeho právních důvodů, účelů zpracování osobních údajů, předávání osobních údajů jiným subjektům a vašich práv v souvislosti se zpracováním vašich osobních údajů.
A. SPRÁVCE ÚDAJŮ
Správcem údajů je společnost Bankovní identita, a.s., IČO: 095 13 817, se sídlem Smrčkova 2485/4, Libeň, 180 00 Praha 8, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 25672.
B. ZPRACOVÁVANÉ OSOBNÍ ÚDAJE
Pro účely uvedené v části C níže zpracováváme údaje o vašem chování na webových stránkách (jaký obsah Webu využíváte, odkazy, na které klikáte, způsob procházení Webu a posunování obrazovky a také údaje o zařízení, z nějž Web navštěvujete, např. IP adresa a zní odvozená poloha, identifikace zařízení, jeho technické parametry, např. operační systém, jeho verze, rozlišení obrazovky, prohlížeč a jeho verze, a také údaje získané pomocí souborů cookies a podobných technologií pro identifikaci zařízení).
C. ÚČELY A PRÁVNÍ DŮVODY ZPRACOVÁNÍ ÚDAJŮ A DOBY UCHOVÁVÁNÍ
Vaše osobní údaje zpracováváme za účelem zajištění správného fungování Webu a všech jeho funkcí na základě našeho oprávněného zájmu na zajištění kvality našich služeb poskytovaných prostřednictvím Webu a odpovídajícího zabezpečení Webu. Osobní údaje uchováváme pro tento účel v nezbytném rozsahu nejdéle po dobu trvání vaší interakce na Webu, tj. do doby zavření okna webového prohlížeče.
D. POUŽÍVÁNÍ COOKIES
Pokud Web navštívíte, uložíme ve vašem zařízení a následně z něj budeme číst malé soubory označované jako cookies. Cookies jsou malé soubory písmen a číslic, které ukládáme ve vašem internetovém prohlížeči nebo je ukládáme do vašeho zařízení. Některé cookies nám umožňují spojit vaše aktivity při prohlížení Webu od okamžiku, kdy okno otevřete, až do jeho zavření. Když okno webového prohlížeče zavřete, cookies se automaticky smažou.
Pro zjednodušení budeme v tomto dokumentu všechny technologie, pomocí nichž dochází ke zpracování osobních údajů, označovat jako cookies. Některé cookies ukládáme přímo na vašem zařízení, jiné, které ve vašem zařízení ukládá Web, pak jen čteme. Pro zjednodušení budeme tento proces označovat pouze jako ukládání.
Některé cookies na vašem zařízení ukládá přímo Web. Tyto cookies nám pomáhají:
- identifikovat vás, když si Web prohlížíte a když jej opakovaně navštívíte, abychom mohli uložit tu verzi Webu, již máme zobrazit, pokud Web v daný okamžik nabízí více alternativ;
- zajistit bezpečnost, například za účelem zkontrolování, zda někdo, kdo se za vás vydává, nezneužil vaše připojení k Webu;
- zaznamenat, prošetřit a odstranit závady a nefungující součásti Webu;
- nabídnout vám příslušnou jazykovou mutaci Webu.
Tyto soubory cookies a další soubory jsou nezbytné, aby byl Web funkční. Pokud je ve svých prohlížečích zablokujete, Web nemusí fungovat správně a je možné, že vám nebudeme schopni poskytnout naše produkty a služby.
E. KDO VAŠE OSOBNÍ ÚDAJE ZPRACOVÁVÁ A SKÝM JE SDÍLÍME?
Jako správce údajů zpracováváme všechny výše uvedené osobní údaje.
To znamená, že stanovujeme výše uvedené účely, pro které vaše osobní údaje shromažďujeme, stanovujeme prostředky zpracování a odpovídáme za jeho řádné provedení.
Obecně platí, že vaše osobní údaje nesdílíme s jinými správci údajů. Výjimkou jsou případy, kdy jsme tyto údaje povinni sdílet ze zákona (zejména pokud jde o orgány sociálního zabezpečení, finanční úřady, soudy a policii při výkonu jejich zákonných pravomocí).
Můžeme využívat zpracovatele údajů jako poskytovatele informačních technologií, kteří nám pomáhají s provozem naší infrastruktury a systémů nebo pro nás zajišťují analytické či podobné cíle.
F. PŘEDÁNÍ VAŠICH OSOBNÍCH ÚDAJŮ MIMO ČLENSKÉ STÁTY EVROPSKÉHO HOSPODÁŘSKÉHO PROSTORU
Vaše osobní údaje můžeme předat také do třetích zemí mimo Evropský hospodářský prostor, které nezajišťují odpovídající úroveň ochrany osobních údajů. Veškeré takové předávání budeme uskutečňovat pouze v případě, že se příslušný zpracovatel zaváže dodržovat standardní smluvní doložky vydané Evropskou komisí a dostupné na adrese https://eur-lex.europa.eu/legal-content/CS/TXT/PDF/?uri=CELEX:32001D0497&from=CS.
G. JAKÁ JSOU VAŠE PRÁVA V SOUVISLOSTI SE ZPRACOVÁNÍM OSOBNÍCH ÚDAJŮ?
Stejně jako my máme při zpracování vašich osobních údajů svá práva a povinnosti, i vy máte určitá práva související se zpracováním vašich osobních údajů. Mezi tato práva patří:
G.1 Právo na přístup k osobním údajům
Máte právo vědět, jaké údaje o vás zpracováváme, pro jaké účely, jak dlouho, kde jsme vaše osobní údaje získali, s kým je sdílíme, kdo kromě nás je zpracovává a jaká další práva v souvislostí se zpracováním vašich osobních údajů máte. To vše již bylo v těchto zásadách ochrany osobních údajů vysvětleno. Pokud si však nejste jistí, jaké osobní údaje o vás zpracováváme, můžete nás požádat o potvrzení, zda zpracováváme osobní údaje týkající se vaší osoby, a pokud ano, máte právo na přístup k těmto osobním údajům. Na základě práva na přístup k osobním údajům si můžete vyžádat kopii zpracovávaných osobních údajů, přičemž první kopie se poskytuje zdarma a další kopie jsou zpoplatněny.
G.2 Právo na opravu
Pokud zjistíte, že námi zpracovávané osobní údaje, které se vás týkají, jsou nepřesné nebo neúplné, máte právo na jejich opravu nebo doplnění bez zbytečného prodlení.
G.3 Právo na výmaz
V některých případech máte právo na výmaz vašich osobních údajů. Vaše osobní údaje bez zbytečného prodlení vymažeme, pokud je dán některý z níže uvedených důvodů:
- vaše osobní údaje již nepotřebujeme pro účely, pro které jsme je zpracovali,
- uplatníte právo vznést námitku proti zpracování (viz část „Právo vznést námitku proti zpracování“ níže) týkající se osobních údajů, které zpracováváme na základě našich oprávněných zájmů, a my zjistíme, že tyto oprávněné zájmy, jež by toto zpracování odůvodňovaly, již nemáme, nebo
- naše zpracování osobních údajů podle všeho přestalo být v souladu s obecně závaznými právními předpisy.
Toto právo nelze uplatnit, pokud je zpracování vašich osobních údajů stále nezbytné pro:
- splnění našich právních povinností,
- účely archivace, vědeckého či historického výzkumu či pro statistické účely, nebo
- pro určení, výkon nebo obhajobu právních nároků.
G.4 Právo na omezení zpracování
V některých případech můžete kromě práva na výmaz uplatnit právo na omezení zpracování osobních údajů. Toto právo vám v určitých případech umožňuje požadovat, aby vaše osobní údaje byly označeny a nebyly nijak dále zpracovávány – v tomto případě však nikoli napořád (jako je tomu v případě práva na výmaz), ale pouze po omezenou dobu. Zpracování osobních údajů musíme omezit, když:
- popíráte přesnost osobních údajů, a to dokud se nedohodneme na správných údajích,
- vaše osobní údaje zpracováváme bez dostatečných právních důvodů (například nad rámec toho, co jsme povinni zpracovávat), nicméně byste před výmazem těchto údajů dali přednost spíše jejich omezení (například pokud předpokládáte, ženám v budoucnu tyto údaje stejně poskytnete),
- vaše osobní údaje již nepotřebujeme pro výše uvedené účely zpracování, ale vy zpracování požadujete kvůli určení, výkonu nebo obhajobě vašich právních nároků, nebo
- vznesete námitku proti zpracování. Právo vznést námitku je podrobněji popsáno v části nazvané „Právo vznést námitku proti zpracování“. Pokud je váš nárok oprávněný, jsme povinni zpracování vašich osobních údajů omezit po dobu, po kterou vaše údaje uchováváme.
G.5 Právo vznést námitku proti zpracování
Máte právo vznést námitku proti zpracování osobních údajů, které probíhá na základě našich oprávněných zájmů. Pokud vznesete námitku, nebudeme vaše osobní údaje nadále zpracovávat, ledaže pro další zpracování budeme mít závažné oprávněné důvody.
G.6 Právo podat stížnost
Uplatněním vašich výše uvedených práv není nijak dotčeno vaše právo podat stížnost u Úřadu pro ochranu osobních údajů, a to způsobem popsaným níže v další kapitole. Toto právo můžete uplatnit zejména tehdy, pokud jste přesvědčeni, že vaše osobní údaje zpracováváme neoprávněně nebo v rozporu s obecně závaznými právními předpisy.
H.JAK MŮŽETE SVÁ INDIVIDUÁLNÍ PRÁVA UPLATNIT?
Ve všech věcech souvisejících se zpracováním vašich osobních údajů, ať již jde o dotaz, uplatnění práv, podání stížnosti nebo cokoli jiného, nás můžete kontaktovat na následujících adresách:
- Pověřenec pro ochranu osobních údajů: dpo@bankid.cz.
- Poštovní adresa: Bankovní identita, a.s., IČ: 095 13 817, se sídlem Smrčkova 2485/4, Libeň, 180 00 Praha 8.
Vaši žádost vyřídíme bez zbytečného prodlení, avšak nejpozději do jednoho měsíce. Ve výjimečných případech, zejména vzhledem ke složitosti vaší žádosti, jsme oprávněni tuto lhůtu prodloužit o další dva měsíce. O každém takovém prodloužení a jeho důvodu vás samozřejmě budeme informovat.
Stížnost proti našemu zpracování osobních údajů můžete podat u Úřadu pro ochranu osobních údajů se sídlem na adrese Pplk. Sochora 27, 170 00 Praha 7.
Ochrana osobních údajů pro dodavatele a odběratele
My ve společnosti Bankovní identita, a.s., IČO: 095 13 817, se sídlem Smrčkova 2485/4, Libeň, 180 00 Praha 8, zapsané v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 25672 („Bank iD“ nebo „my“), považujeme ochranu osobních údajů za nedílnou součást našich závazků vůči našim obchodním partnerům a jejich zástupcům.
V tomto dokumentu najdete informace o osobních údajích, které zpracováváme ve vztahu k našim obchodním partnerům, zejména dodavatelům, zástupcům našich obchodních partnerů v rámci jednání o spolupráci, plnění a správy uzavřených smluv a souvisejících činností a dalším osobám poptávajícím informace o našich službách. Cílem těchto zásad ochrany osobních údajů je informovat vás o zpracování osobních údajů, včetně jeho právních důvodů, účelů zpracování osobních údajů, předávání osobních údajů jiným subjektům a vašich práv v souvislosti se zpracováním vašich osobních údajů.
A. Jaké osobní údaje zpracováváme?
Vaše osobní údaje můžeme zpracovávat, pokud jste jako fyzická osoba naším obchodním partnerem, jeho zástupcem, kontaktní osobou (zaměstnancem či spolupracující osobou) nebo jeho skutečným majitelem.
Může se jednat o následující kategorie údajů:
- identifikační údaje, zejména jméno, příjmení, titul, pracovní pozice (pracovní zařazení);
- kontaktní údaje, zejména adresa, telefon nebo e-mail;
- údaje uvedené v zápiscích z jednání (historie a podrobnosti o Vašich obchodních kontaktech s námi);
- číslo Vašeho bankovního účtu (v případě, že jde o číslo bankovního účtu fyzické osoby),
- údaje o jednání a plnění smluv s námi (pokud je stranou jednání či smlouvy fyzická osoba).
Pro účely uvedené níže neshromažďujeme ani nezpracováváme žádné zvláštní kategorie osobních údajů, jak jsou definovány v právních předpisech v oblasti ochrany osobních údajů.
B. Proč osobní údaje zpracováváme a co nás k tomu opravňuje?
Vaše osobní údaje zpracováváme bez Vašeho souhlasu za účelem přípravy smluvní dokumentace a plnění smlouvy mezi Bank iD a obchodním partnerem vč. související komunikace. Pokud jste zástupcem, kontaktní osobou nebo skutečným majitelem obchodního partnera, právním důvodem tohoto zpracování je oprávněný zájem Bank iD na uzavření a plnění smluv s obchodními partnery. Pro tento účel zpracováváme Vaše osobní údaje po dobu trvání smluvního vztahu mezi Bank iD a obchodním partnerem.
Vaše osobní údaje můžeme dále zpracovávat pro plnění našich právních povinností, zejména v oblasti účetnictví, daňové evidence, archivace a podle zákona č. 21/1992 Sb., o bankách, ve znění pozdějších předpisů. Pro tento účel zpracováváme Vaše osobní údaje po dobu trvání smluvního vztahu mezi Bank iD a obchodním partnerem a dále 10 let od jeho skončení.
Vaše osobní údaje můžeme na základě našeho oprávněného zájmu rovněž zpracovávat pro následující účely:
- sjednání, evidence a správa smluvních vztahů s obchodními partnery, kde je naším oprávněným zájmem správa smluvních vztahů;
- analýza a prevence rizik vč. předcházení podvodům, interních šetření a řešení incidentů, kde je naším oprávněným zájmem předcházení vzniku újmy na naší straně;
- vyhledávání dodavatelů a obchodních partnerů, PR a posilování značky vč. obchodní komunikace, získávání zpětné vazby a pořádání akcí, kde je naším oprávněným zájmem rozvoj vztahů s obchodními partnery;
- zodpovězení dotazů o našich službách a fungování bankovní identity, kde je naším oprávněným zájmem poskytování informací o našich službách a systému bankovní identity;
- ochranu našich právních nároků; kde je naším oprávněným zájmem řádný výkon našich práva a obrana před právními nároky;
Pro tento účel zpracováváme Vaše osobní údaje po dobu vyhledávání obchodního partnera a případně po dobu trvání smluvního vztahu mezi Bank iD a obchodním partnerem a dále 10 let od jeho skončení.
C. Z jakých zdrojů osobní údaje získáváme?
Osobní údaje získáváme z dokumentů nebo informací, které jste nám vy nebo obchodní partner poskytli a dále z obecně dostupných informačních zdrojů (např. www.justice.cz, atd.).
D. Kdo vaše osobní údaje zpracovává a komu je předáváme?
Všechny zmíněné osobní údaje zpracováváme my jako správce. To znamená, že my stanovujeme shora vymezené účely, pro které Vaše osobní údaje shromažďujeme, určujeme prostředky zpracování a odpovídáme za jeho řádné provedení.
Do zpracování osobních údajů dále zapojujeme zpracovatele, kteří prostřednictvím vhodných technických a organizačních opatření zajišťují ochranu osobních údajů a současně jsou vázáni povinností mlčenlivosti. Mezi takové zpracovatele patří:
- poskytovatelé technické infrastruktury:
- společnost T-Mobile Czech Republic a.s., IČO: 64949681;
- poskytovatelé IT platforem a softwaru:
- společnost Atlassian Pty Ltd., 350 Bush Street, Floor 13, San Francisco, CA 94104
- Microsoft Corporation, One Microsoft Way, Redmond, WA 98052, USA.
- Digital Solutions, s.r.o., IČO: 25998706.
Přístupová práva těchto osob jsou přísně omezena v rozsahu nezbytném pro technické, IT a administrativní služby a podporu.
V některých případech můžeme být povinni zpracovávané osobní údaje předat orgánům státní správy, soudům, orgánům činným v trestním řízení, orgánům dohledu v případě, že nás o to požádají.
E. Jaká máte práva při zpracování osobních údajů?
Stejně jako my máme svá práva a povinnosti při zpracování Vašich osobních údajů, máte také Vy při zpracování Vašich osobních údajů určitá práva. Mezi tato práva patří:
E.1 Právo na přístup
Zjednodušeně řečeno máte právo vědět, jaké údaje o Vás zpracováváme, za jakým účelem, po jakou dobu, kde Vaše osobní údaje získáváme, komu je předáváme, kdo je mimo nás zpracovává a jaká máte další práva související se zpracováním Vašich osobních údajů. To vše jste se dozvěděli v těchto Informacích o zpracování osobních údajů. Pokud si však nejste jisti, které osobní údaje o Vás zpracováváme, můžete nás požádat o potvrzení, zda osobní údaje, které se Vás týkají, jsou či nejsou z naší strany zpracovávány, a pokud tomu tak je, máte právo získat přístup k těmto osobním údajům. V rámci práva na přístup nás můžete požádat o kopii zpracovávaných osobních údajů, přičemž první kopii Vám poskytneme bezplatně a další kopie s poplatkem kryjícím administrativní náklady s vyřízením takové žádosti související. Více informací, jakým způsobem můžete uplatnit toto své právo naleznete v sekci týkající se osobních údajů.
E.2 Právo na opravu
Pokud zjistíte, že osobní údaje, které o Vás zpracováváme, jsou nepřesné nebo neúplné, máte právo na to, abychom je bez zbytečného odkladu opravili, popřípadě doplnili.
E.3 Právo na výmaz
V některých případech máte právo, abychom Vaše osobní údaje vymazali. Vaše osobní údaje bez zbytečného odkladu vymažeme, pokud je splněn některý z následujících důvodů:
- Vaše osobní údaje již nepotřebujeme pro účely, pro které jsme je zpracovávali,
- využijete svého práva vznést námitku proti zpracování (viz níže kapitola „Právo vznést námitku proti zpracování“) a my shledáme, že již žádné takové oprávněné zájmy, které by toto zpracování opravňovaly, nemáme, nebo
- ukáže se, že námi prováděné zpracování osobních údajů přestalo být v souladu s obecně závaznými předpisy.
Toto právo se nicméně neuplatní v případě, že zpracování Vašich osobních údajů je i nadále nezbytné pro:
- splnění naší právní povinnosti,
- účely archivace, vědeckého či historického výzkumu či pro statistické účely, nebo
- určení, výkon nebo obhajobu našich právních nároků.
E.4 Právo na omezení zpracování
V některých případech můžete kromě práva na výmaz využít právo na omezení zpracování osobních údajů. Toto právo vám umožňuje v určitých případech požadovat, aby došlo k označení vašich osobních údajů a tyto údaje nebyly předmětem žádných dalších operací zpracování – v tomto případě však nikoliv navždy (jako v případě práva na výmaz), ale po omezenou dobu. Zpracování osobních údajů musíme omezit když:
- popíráte přesnost osobních údajů, než se dohodneme, jaké údaje jsou správné,
- vaše osobní údaje zpracováváme bez dostatečného právního základu (např. nad rámec toho, co zpracovávat musíme), ale vy budete před výmazem takových údajů upřednostňovat pouze jejich omezení (např. pokud očekáváte, že byste nám v budoucnu takové údaje stejně poskytl),
- vaše osobní údaje již nepotřebujeme pro shora uvedený účel zpracování, ale vy je požadujete pro určení, výkon nebo obhajobu svých právních nároků, nebo
- vznesete námitku proti zpracování. Právo na námitku je podrobněji popsáno níže v kapitole „Právo vznést námitku proti zpracování“. Po dobu, po kterou šetříme, je-li Vaše námitka oprávněná, jsme povinni zpracování Vašich osobních údajů omezit.
E.5 Právo vznést námitku proti zpracování
Máte právo vznést námitku proti zpracování osobních údajů, k němuž dochází na základě našeho oprávněného zájmu. Vzhledem k tomu, že nejde o marketingové aktivity, přestaneme Vaše osobní údaje zpracovávat, pokud nebudeme mít závažné oprávněné důvody pro to, abychom v takovém zpracování pokračovali.
E.6 Právo podat stížnost
Uplatněním práv výše uvedeným způsobem není nijak dotčeno Vaše právo podat stížnost u Úřadu pro ochranu osobních údajů, a to způsobem uvedeným níže v následující kapitole. Toto právo můžete uplatnit zejména v případě, že se domníváte, že Vaše osobní údaje zpracováváme neoprávněně nebo v rozporu s obecně závaznými právními předpisy.
Stížnost proti námi prováděnému zpracování osobních údajů můžete podat u Úřadu pro ochranu osobních údajů, který sídlí na adrese Pplk. Sochora 27, 170 00 Praha 7.
F. Jak u nás můžete uplatnit jednotlivá práva?
Ve všech záležitostech souvisejících se zpracováním Vašich osobních údajů, ať již jde o dotaz, uplatnění práva, podání stížnosti či cokoliv jiného, se můžete obracet na našeho Pověřence pro ochranu osobních údajů, dostupného na e-mailové adrese: dpo@bankid.cz. Obrátit se na nás můžete také korespondenčně na doručovací adrese: Bankovní identita a.s., Smrčkova 2485/4, 180 00 Praha 8, případně prostřednictvím datové schránky: x6zjn6e.
Vaši žádost vyřídíme bez zbytečného odkladu, maximálně však do jednoho měsíce. Ve výjimečných případech, zejména z důvodu složitosti Vašeho požadavku, jsme oprávněni tuto lhůtu prodloužit o další dva měsíce. O takovém případném prodloužení a jeho zdůvodnění vás samozřejmě budeme informovat.
Zásady ochrany osobních údajů pro webové formuláře
My ve společnosti Bankovní identita, a.s., IČO: 095 13 817, se sídlem Smrčkova 2485/4, Libeň, 180 00 Praha 8, zapsané v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 25672 („Bank iD“, „my“ nebo „nás/nám”), považujeme ochranu osobních údajů za nedílnou součást našich závazků vůči uživatelům webových stránek Bank iD („Web“) a na něm umístěných registračních či jiných formulářů.
V tomto dokumentu najdete informace o osobních údajích, které zpracováváme v souvislosti s Vaší registrací k odběru našich newsletterů, k účasti na námi organizovaných webinářích či v souvislosti se zasláním Vašeho dotazu. Cílem těchto zásad ochrany osobních údajů je informovat Vás o zpracování osobních údajů, včetně jeho právních důvodů, účelů zpracování osobních údajů, předávání osobních údajů jiným subjektům a vašich právech v souvislosti se zpracováním vašich osobních údajů.
A. SPRÁVCE ÚDAJŮ
Správcem údajů je společnost Bankovní identita, a.s., IČO: 095 13 817, se sídlem Smrčkova 2485/4, Libeň, 180 00 Praha 8, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 25672.
B. ZPRACOVÁVANÉ OSOBNÍ ÚDAJE
Pro účely uvedené v části C níže zpracováváme údaje, které jste nám poskytli prostřednictvím registračních či jiných formulářů umístěných na našem Webu. Jedná se především o Vaše jméno a příjmení, emailovou adresu, název pracovní pozice a název organizace, v níž pracujete.
C. ÚČELY A PRÁVNÍ DŮVODY ZPRACOVÁNÍ ÚDAJŮ A DOBY UCHOVÁVÁNÍ
Vámi poskytnuté údaje zpracováváme za vaší registrace k námi pořádanému webináři a s tím souvisejícími úkony (zaslání online pozvánky atd.) a účelem odeslání pravidelných e-mailů / informací.
Poskytnutá e-mailová adresa může být (s Vaším souhlasem) použita k zasílání informací týkajících se bankovní identity jakožto elektronického prostředku pro ověřování, jakož i všeho, co se týká elektronického podpisu a jeho užití, dále k občasnému zaslání novinek a aktualit ze společnosti a souvisejících informací o produktech či službách (newslettery) a v neposlední řadě též zasílání informací o konání dalších webinářů a podobných vzdělávacích akcí na aktuální témata atd.
Poznámka k newsletterům: Pokud byste se kdykoli v budoucnu rozhodli odhlásit z přijímání newsletteru, v dolní části každého e-mailu naleznete podrobné pokyny k odhlášení.
D. KDO VAŠE OSOBNÍ ÚDAJE ZPRACOVÁVÁ A SKÝM JE SDÍLÍME?
Jako správce údajů zpracováváme všechny výše uvedené osobní údaje. To znamená, že stanovujeme výše uvedené účely, pro které Vaše osobní údaje shromažďujeme, stanovujeme prostředky zpracování a odpovídáme za jeho řádné provedení.
Obecně platí, že Vaše osobní údaje nesdílíme s jinými správci údajů. Výjimkou jsou případy, kdy jsme tyto údaje povinni sdílet ze zákona (zejména pokud jde o orgány sociálního zabezpečení, finanční úřady, soudy a policii při výkonu jejich zákonných pravomocí).
Můžeme využívat zpracovatele údajů jako poskytovatele informačních technologií, kteří nám pomáhají s provozem naší infrastruktury a systémů nebo pro nás zajišťují analytické či podobné cíle.
E. PŘEDÁNÍ VAŠICH OSOBNÍCH ÚDAJŮ MIMO ČLENSKÉ STÁTY EVROPSKÉHO HOSPODÁŘSKÉHO PROSTORU
Vaše osobní údaje můžeme předat také do třetích zemí mimo Evropský hospodářský prostor, které nezajišťují odpovídající úroveň ochrany osobních údajů. Veškeré takové předávání budeme uskutečňovat pouze v případě, že se příslušný zpracovatel zaváže dodržovat standardní smluvní doložky vydané Evropskou komisí a dostupné na adrese https://eur-lex.europa.eu/legal-content/CS/TXT/PDF/?uri=CELEX:32001D0497&from=CS.
F. JAKÁ JSOU VAŠE PRÁVA V SOUVISLOSTI SE ZPRACOVÁNÍM OSOBNÍCH ÚDAJŮ?
Stejně jako my máme při zpracování Vašich osobních údajů svá práva a povinnosti, i Vy máte určitá práva související se zpracováním vašich osobních údajů. Mezi tato práva patří:
F.1 Právo na přístup k osobním údajům
Máte právo vědět, jaké údaje o Vás zpracováváme, pro jaké účely, jak dlouho, kde jsme Vaše osobní údaje získali, s kým je sdílíme, kdo kromě nás je zpracovává a jaká další práva v souvislosti se zpracováním Vašich osobních údajů máte. To vše již bylo v těchto zásadách ochrany osobních údajů vysvětleno. Pokud si však nejste jistí, jaké osobní údaje o Vás zpracováváme, můžete nás požádat o potvrzení, zda zpracováváme osobní údaje týkající se Vaší osoby, a pokud ano, máte právo na přístup k těmto osobním údajům. Na základě práva na přístup k osobním údajům si můžete vyžádat kopii zpracovávaných osobních údajů, přičemž první kopie se poskytuje zdarma a další kopie jsou zpoplatněny.
F.2 Právo na opravu
Pokud zjistíte, že námi zpracovávané osobní údaje, které se Vás týkají, jsou nepřesné nebo neúplné, máte právo na jejich opravu nebo doplnění bez zbytečného prodlení.
F.3 Právo na výmaz
V některých případech máte právo na výmaz Vašich osobních údajů. Vaše osobní údaje bez zbytečného prodlení vymažeme, pokud je dán některý z níže uvedených důvodů:
- Vaše osobní údaje již nepotřebujeme pro účely, pro které jsme je zpracovali,
- uplatníte právo vznést námitku proti zpracování (viz část „Právo vznést námitku proti zpracování“ níže) týkající se osobních údajů, které zpracováváme na základě našich oprávněných zájmů, a my zjistíme, že tyto oprávněné zájmy, jež by toto zpracování odůvodňovaly, již nemáme, nebo
- naše zpracování osobních údajů podle všeho přestalo být v souladu s obecně závaznými právními předpisy.
Toto právo nelze uplatnit, pokud je zpracování Vašich osobních údajů stále nezbytné pro:
- splnění našich právních povinností,
- účely archivace, vědeckého či historického výzkumu či pro statistické účely, nebo
- pro určení, výkon nebo obhajobu právních nároků.
F.4 Právo na omezení zpracování
V některých případech můžete kromě práva na výmaz uplatnit právo na omezení zpracování osobních údajů. Toto právo Vám v určitých případech umožňuje požadovat, aby Vaše osobní údaje byly označeny a nebyly nijak dále zpracovávány –v tomto případě však nikoli napořád (jako je tomu v případě práva na výmaz), ale pouze po omezenou dobu. Zpracování osobních údajů musíme omezit, když:
- popíráte přesnost osobních údajů, a to dokud se nedohodneme na správných údajích,
- Vaše osobní údaje zpracováváme bez dostatečných právních důvodů (například nad rámec toho, co jsme povinni zpracovávat), nicméně byste před výmazem těchto údajů dali přednost spíše jejich omezení (například pokud předpokládáte, že nám v budoucnu tyto údaje stejně poskytnete),
- Vaše osobní údaje již nepotřebujeme pro výše uvedené účely zpracování, ale Vy zpracování požadujete kvůli určení, výkonu nebo obhajobě Vašich právních nároků, nebo
- vznesete námitku proti zpracování. Právo vznést námitku je podrobněji popsáno v části nazvané „Právo vznést námitku proti zpracování“. Pokud je Váš nárok oprávněný, jsme povinni zpracování Vašich osobních údajů omezit po dobu, po kterou vaše údaje uchováváme.
F.5 Právo vznést námitku proti zpracování
Máte právo vznést námitku proti zpracování osobních údajů, které probíhá na základě našich oprávněných zájmů. Pokud vznesete námitku, nebudeme Vaše osobní údaje nadále zpracovávat, ledaže pro další zpracování budeme mít závažné oprávněné důvody.
F.6 Právo podat stížnost
Uplatněním Vašich výše uvedených práv není nijak dotčeno Vaše právo podat stížnost u Úřadu pro ochranu osobních údajů, a to způsobem popsaným níže v další kapitole. Toto právo můžete uplatnit zejména tehdy, pokud jste přesvědčeni, že Vaše osobní údaje zpracováváme neoprávněně nebo v rozporu s obecně závaznými právními předpisy.
G. JAK MŮŽETE SVÁ INDIVIDUÁLNÍ PRÁVA UPLATNIT?
Ve všech věcech souvisejících se zpracováním Vašich osobních údajů, ať již jde o dotaz, uplatnění práv, podání stížnosti nebo cokoli jiného, nás můžete kontaktovat na následujících adresách:
- Pověřenec pro ochranu osobních údajů: dpo@bankid.cz.
- Poštovní adresa: Bankovní identita, a.s., IČ: 095 13 817, se sídlem Smrčkova 2485/4, Libeň, 180 00 Praha 8.
Vaši žádost vyřídíme bez zbytečného prodlení, avšak nejpozději do jednoho měsíce. Ve výjimečných případech, zejména vzhledem k složitosti Vaší žádosti, jsme oprávněni tuto lhůtu prodloužit o další dva měsíce. O každém takovém prodloužení a jeho důvodu Vás samozřejmě budeme informovat.
Stížnost proti našemu zpracování osobních údajů můžete podat u Úřadu pro ochranu osobních údajů se sídlem na adrese Pplk. Sochora 27, 170 00 Praha 7.
English version
Privacy policy for Bank iD services
A. WHO IS THE CONTROLLER OF YOUR PERSONAL DATA?
When you use the services of Bankovní identita, a.s., ID No.: 095 13 817, with registered office at Smrčkova 2485/4, Libeň, 180 00 Prague 8 (hereinafter referred to as "Bank iD" or "we"), your personal data are processed by
- your bank, which confirms your identity or the action you want to take,
- the provider of the online service for which you are using your banking identity to prove your identity or perform another act; and
- Bank iD, as a provider of identification services under the Banking Act, transfers your personal data from your bank to your chosen provider of the online service.
This Privacy Policy describes the processing of personal data carried out by Bank iD as the controller. For information on how your personal data is processed by your bank or provider of the online service, please visit their websites and read their personal data processing policies in the relevant section.
B. WHAT PERSONAL DATA DO WE PROCESS?
Within the Bank iD services, we primarily process data that you have instructed us to transmit in your bank's environment. This may include the following categories of data:
- identification data, in particular your name, surname, title, date and place of birth, country of residence, identity card number or unique ID of your bank identity;
- contact details, in particular your address, telephone number or e-mail;
- payment details, in particular your bank account number;
- details of the documents and declarations you sign, in particular the content of the documents or declarations you sign using Bank iD SIGN, their unique mathematical hash, title and number of pages in the case of documents.
We also process data about who transfers your data to us and to whom we have to transfer it further, i.e. data about your bank and provider of the online service. However, we never have access to data from your bank's environment without your instruction, nor to data from the online service for which you use your bank identity to prove your identity or perform other actions. Conversely, we do not provide your bank with the contents of documents that you sign using the Bank iD SIGN service for creating electronic signatures - only we and your chosen provider of the online service have access to the documents. We will only provide your bank with information about the documents such as their titles, number of pages and a unique mathematical fingerprint (hash).
C. WHY DO WE PROCESS PERSONAL DATA AND WHAT ENTITLES US TO DO SO?
When providing Bank iD services, we act as a provider of identification services pursuant to Section 38aa(2) of Act No. 21/1992 Coll., on Banks. This means that we receive personal data from the bank on the basis of your instructions, which we then transfer to the provider of the online service of your choice and/or store in the mobile application you have downloaded (in the case of the Bank iD Plus service). In doing so, we process the aforementioned personal data on the basis of our legitimate interests for the purpose of providing identification services or for the purpose of verifying your age in connection with the use of the Bank iD Plus service based on the performance of the contract with you.
When we provide the Bank iD SIGN service, which is used to create electronic signatures, we will receive documents or declarations from your chosen online service provider. We will transfer selected details of these documents or declarations to your bank so that you can instruct the bank environment to attach an electronic signature to these documents or declarations. Based on your instruction, we will receive personal data from the bank and use it to attach your electronic signature to the documents or declarations. We will then forward the signed documents or declarations with the data from your bank to the provider of the online service of your choice. We perform all these steps in order to provide identification services based on the performance of our contract with you.
We archive records of the provision of our services on the basis of our legitimate interest to protect legal claims. In the case of services other than Bank iD SIGN, which is used to create electronic signatures, and Bank iD Plus, which is used to verify your age, we store this data exclusively in pseudonymised form.
You have the right to object to processing on the basis of legitimate interest at any time, which is described in more detail in the section "Right to object to processing".
D. HOW LONG WILL WE PROCESS YOUR PERSONAL DATA?
We process your personal data in full only for the time necessary to transfer it to the provider of the online service for which you use your banking identity to prove your identity or perform another act. We then store your personal data in pseudonymised form for the duration of the limitation period for claims arising from or related to the provision of the service (maximum 15 years from the provision of the service). In the event that judicial, administrative or other proceedings are initiated, we process your personal data to the extent necessary for the duration of such proceedings.
In the case of Bank iD SIGN, a service used to create electronic signatures, we need to retain your personal data without pseudonymising it so that we are able to prove later who has affixed an electronic signature to a document signed using this service. Therefore, we process your personal data for the time necessary to transfer it to the provider of the online service who has forwarded the documents or declarations to us for attaching your electronic signature. We store your identification data and selected data about the signed documents and declarations (but not the content of the documents) for the duration of the limitation period for claims arising from or related to the provision of the service (maximum 15 years from the provision of the service). In the event that judicial, administrative or other proceedings are initiated, we process such personal data to the extent necessary for the duration of such proceedings.
In the case of the Bank iD Plus service used to verify your age, we need to keep your personal data without pseudonymisation so that we can later prove who has verified themselves through the Bank iD Plus service. We keep your personal data for 12 months after verification so that we can prove that your age verification has actually taken place in the event of an inspection by state authorities. In the event that legal, administrative or other proceedings are initiated in connection with your verification, we process your personal data to the extent necessary for the duration of such proceedings.
E. FROM WHAT SOURCES DO WE OBTAIN PERSONAL DATA?
We obtain personal data directly from your bank, solely on the basis of your instruction, which also specifies to which recipient we should transfer the personal data.
F. WHO PROCESSES YOUR PERSONAL DATA AND TO WHOM DO WE TRANSFER IT?
All of the above-mentioned personal data are processed by us as the controller. This means that we determine the above defined purposes for which we collect your personal data, determine the means of processing and are responsible for its proper implementation.
When providing Bank iD services, we transfer your personal data to the provider of the online service you have confirmed for this purpose in the bank's interface, based on your instructions.
In addition, we involve processors in the processing of personal data who ensure the protection of personal data through appropriate technical and organisational measures and are also bound by confidentiality obligations. Such processors include:
- providers of technical infrastructure, such as T-Mobile Czech Republic a.s., ID No.: 64949681;
- IT platform and software providers such as Atlassian Pty Ltd, 350 Bush Street, Floor 13, San Francisco, CA 94104 and Microsoft Corporation, Redmond, Washington 98052 USA;
- Providers of web applications for some of our products, such as Digital Solutions, s.r.o., ID No.: 25998706.
In some cases, we may be obliged to transfer processed personal data to state authorities, courts, law enforcement authorities, supervisory authorities if they ask us to do so.
G. WHAT RIGHTS DO YOU HAVE WHEN PROCESSING PERSONAL DATA?
Just as we have rights and obligations when processing your personal data, you also have certain rights when processing your personal data. You can find an overview of these below.
In order to ensure the security of your personal data, our database containing such data cannot be searched without knowing the identifier assigned to you for the purposes of the Bank iD services by the bank you have chosen when using the Bank iD services. Therefore, in order to exercise your rights (with the exception of the right to file a complaint), you must provide us with the relevant identifier provided by your bank. If you use more than one bank, we will process your request in relation to the data that can be retrieved from this identifier, i.e. the data that we obtained when you selected the bank that provided you with the identifier when using the Bank iD services. If you want to make sure that the request covers all of your personal data, please provide us with the identifiers from all the banks you have chosen for Bank iD services in the past.
G.1 Right of access
Simply put, you have the right to know what data we process about you, for what purpose, for how long, where we obtain your personal data, to whom we transfer it, who processes it outside of us and what other rights you have in relation to the processing of your personal data. You can find out all of this in this Privacy Policy. However, if you are unsure which personal data we process about you, you can ask us to confirm whether or not personal data relating to you is being processed by us and, if so, you have the right to access that personal data. As part of your right of access, you may ask us for a copy of the personal data we are processing, and we will provide you with the first copy free of charge and subsequent copies with a fee covering the administrative costs involved in processing such a request.
G.2 Right to rectification
If you find that the personal data we process about you is inaccurate or incomplete, you have the right to have it corrected or completed without undue delay.
G.3 Right to erasure
In some cases, you have the right to have your personal data erased. We will erase your personal data without undue delay, if any of the following grounds apply:
- we no longer need your personal data for the purposes for which we processed it,
- you exercise your right to object to processing (see the "Right to object to processing" below) and we find that we no longer have any such legitimate interests that would justify the processing, or
- it appears that the processing of personal data carried out by us is no longer in accordance with generally binding regulations.
However, this right does not apply if the processing of your personal data is still necessary for:
- to fulfilling our legal obligations,
- the purpose of archiving, scientific or historical research or statistical purposes, or
- the establishment, exercise or defence our legal claims.
G.4 Right to restriction of processing
In some cases, in addition to the right to erasure, you can exercise the right to restrict the processing of personal data. This right allows you in certain cases to request that your personal data be marked and not further processed in any way – but in this case not permanently (as is the case with the right to erasure), but only for a limited period of time. We must restrict the processing of personal data when:
- you contest the accuracy of the personal data before we agree what data is correct,
- we process your personal data without a sufficient legal basis (for example, beyond what we are obliged to process), however you would prefer merely restricting such data over the erasure of such data (for example, if you expect in any event to provide us such data in the future),
- we no longer need your personal data for the abovementioned purposes of processing, but you require it to establish, exercise or defend your legal claims, or
- you object to processing. The right to object is described in more detail in the section "Right to object to processing" below. We are obliged to restrict the processing of your personal data for the period of time that we are investigating whether your objection is justified.
G.5 Right to object to processing
You have the right to object to the processing of your personal data based on our legitimate interest. As these are not marketing activities, we will stop processing your personal data unless we have compelling legitimate grounds for continuing such processing.
G.6 Right to file a complaint
Exercising your rights in the above manner does not affect your right to file a complaint with the Office for Personal Data Protection in the manner set out in the following section. You may exercise this right, in particular if you believe that we process your personal data in an unauthorized manner or in violation of generally binding legal regulations.
You may file a complaint against our processing of personal data with the Office for Personal Data Protection, which is located at Pplk. Sochora 27, 170 00 Prague 7.
H. HOW CAN YOU EXERCISE INDIVIDUAL RIGHTS WITH US?
For all matters related to the processing of your personal data, whether it is a query, exercising a right, filling a complaint or anything else, you can contact our Data Protection Officer, available at: dpo@bankid.cz. You can also contact us by correspondence at the following address: Bankovní identita a.s., Smrčkova 2485/4, 180 00 Prague 8.
We will deal with your request without undue delay, but within one month at most. In exceptional cases, especially due to the complexity of your request, we are entitled to extend this period by another two months. We will, of course, inform you of any such extension and the reason for it.
Privacy policy for the Bankid.cz website
We, at Bankovní identita, a.s., ID No.: 095 13 817, with registered office at Smrčkova 2485/4, Libeň, 180 00 Prague 8, registered in the Commercial Register maintained by the Municipal Court in Prague, Section B, Insert 25672 ("Bank iD", "we" or "us"), consider the protection of personal data to be an integral part of our obligations to users of the Bank iD website ("Website").
In this document you will find information about the personal data we process in connection with the relationship between you and us when you use the Website. The aim of this Privacy Policy is to inform you about the processing of personal data, including its legal basis, the purposes of processing personal data, the transfer of personal data to others and your rights in relation to the processing of your personal data.
A. DATA CONTROLLER
The data controller is Bankovní identita, a.s., ID No.: 095 13 817, with registered office at Smrčkova 2485/4, Libeň, 180 00 Prague 8, registered in the Commercial Register maintained by the Municipal Court in Prague, Section B, Insert 25672.
B. PERSONAL DATA PROCESSED
For the purposes set out in section C below, we process data about your behaviour on the Website (what content you use on the Website, the links you click on, how you browse the Website and scroll the screen, and also data about the device from which you visit the Website, such as the IP address and its derived location, the identification of the device, its technical parameters, such as the operating system, its version, screen resolution, browser and its version, as well as data obtained by using cookies and similar technologies to identify the device).
C. THE PURPOSES AND LEGAL BASIS FOR PROCESSING THE DATA AND THE RETENTION PERIODS
We process your personal data in order to ensure the proper functioning of the Website and all of its functions based on our legitimate interest in ensuring the quality of our services provided through the Website and the appropriate security of the Website. We retain personal data for this purpose to the extent necessary for no longer than the duration of your interaction on the Website, i.e. until the time you close your web browser window.
D. USE OF COOKIES
If you visit the Website, we will store small files called cookies on your device and then read them from your device. Cookies are small files of letters and numbers that we store in your internet browser or store on your device. Some cookies allow us to link your web browsing activities from the moment you open a window until you close it. When you close your web browser window, the cookies are automatically deleted.
For simplicity, we will refer to all technologies that process personal data as cookies in this document. Some cookies are stored directly on your device, while others, which are stored on your device by the Website, are only read by us. For simplicity, we will refer to this process simply as storage.
Some cookies are stored on your device directly by the Website. These cookies help us to:
- to identify you when you view the Website and when you revisit the Website so that we can store the version of the Website that we are supposed to display if the Website offers more than one alternative at any given time;
- to ensure security, for example, to check that someone claiming to be you has not misused your connection to the Website;
- record, investigate and correct defects and malfunctioning components of the Website;
- offer you the appropriate language version of the Website.
These cookies and other files are necessary for the functionality of the Website. If you block them in your browsers, the Website may not function properly, and we may not be able to provide you with our products and services.
E. WHO PROCESSES YOUR PERSONAL DATA AND WITH WHOM DO WE SHARE IT?
As the data controller, we process all of the above personal data.
This means that we set out the above purposes for which we collect your personal data, determine the means of processing and are responsible for its proper implementation.
In general, we do not share your personal data with other data controllers. The exceptions to this are where we are required to share this data by law (in particular with social security authorities, tax authorities, courts and the police in the exercise of their legal powers).
We may use data processors as information technology providers to help us operate our infrastructure and systems or to provide analytics or similar purposes for us.
F. TRANSFER OF YOUR PERSONAL DATA OUTSIDE THE MEMBER STATES OF THE EUROPEAN ECONOMIC AREA
We may also transfer your personal data to third countries outside the European Economic Area that do not provide an adequate level of data protection. We will only make any such transfers if the relevant processor undertakes to comply with the standard contractual clauses issued by the European Commission and available at https://eur-lex.europa.eu/legal-content/CS/TXT/PDF/?uri=CELEX:32001D0497&from=CS.
G. WHAT ARE YOUR RIGHTS IN RELATION TO THE PROCESSING OF PERSONAL DATA?
Just as we have rights and obligations when processing your personal data, you have certain rights in relation to the processing of your personal data. These rights include:
G.1 Right of access to personal data
You have the right to know what data we process about you, for what purposes, for how long, where we obtained your personal data, with whom we share it, who processes it besides us and what other rights you have in relation to the processing of your personal data. All of this has already been explained in this privacy policy. However, if you are not sure what personal data we process about you, you can ask us to confirm whether we process personal data about you and, if so, you have the right to access that personal data. Under the right of access to personal data, you may request a copy of the personal data we process, with the first copy being provided free of charge and further copies subject to a fee.
G.2 Right to rectification
If you find that the personal data we process about you is inaccurate or incomplete, you have the right to have it corrected or completed without undue delay.
G.3 Right to erasure
In some cases, you have the right to have your personal data erased. We will erase your personal data without undue delay, if any of the following grounds apply:
- we no longer need your personal data for the purposes for which we processed it,
- you exercise your right to object to processing (see the "Right to object to processing" section below) and we find that we no longer have any such legitimate interests that would justify such processing, or
- it appears that the processing of personal data carried out by us is no longer in accordance with generally binding regulations.
However, this right does not apply if the processing of your personal data is still necessary for:
- to fulfilling our legal obligations,
- the purpose of archiving, scientific or historical research or statistical purposes, or
- the establishment, exercise or defence our legal claims.
G.4 Right to restriction of processing
In some cases, in addition to the right to erasure, you can exercise the right to restrict the processing of personal data. This right allows you in certain cases to request that your personal data be marked and not further processed in any way - but in this case not permanently (as is the case with the right to erasure), but only for a limited period of time. We must restrict the processing of personal data when:
- you contest the accuracy of the personal data before we agree what data is correct,
- we process your personal data without a sufficient legal basis (for example, beyond what we are obliged to process), however you would prefer merely restricting such data over the erasure of such data (for example, if you expect in any event to provide us such data in the future),
- we no longer need your personal data for the abovementioned purposes of processing, but you require it to establish, exercise or defend your legal claims, or
- you object to processing. The right to object is described in more detail in the section "Right to object to processing" below. We are obliged to restrict the processing of your personal data for the period of time that we are investigating whether your objection is justified.
G.5 Right to object to processing
You have the right to object to the processing of personal data that is carried out on the basis of our legitimate interests. If you object, we will no longer process your personal data unless we have compelling legitimate titles for further processing.
G.6 Right to file a complaint
The exercise of your above rights is without prejudice to your right to file a complaint with the Office for Personal Data Protection in the manner described in the following section. You can exercise this right in particular if you believe that we are processing your personal data unlawfully or in violation of generally binding legal regulations.
H.HOW CAN YOU EXERCISE YOUR INDIVIDUAL RIGHTS?
You can contact us at the following addresses for all matters relating to the processing of your personal data, whether it is to enquire, exercise your rights, make a complaint or otherwise:
- Data Protection Officer: dpo@bankid.cz.
- Postal address: Bankovní identita, a.s., ID No.: 095 13 817, with registered office at Smrčkova 2485/4, Libeň, 180 00 Prague 8.
We will process your request without undue delay, but within one month at the latest. In exceptional cases, in particular due to the complexity of your request, we are entitled to extend this period by a further two months. We will of course inform you of any such extension and the reason for it.
You can lodge a complaint against our processing of personal data with the Office for Personal Data Protection, located at Pplk. Sochora 27, 170 00 Prague 7.
Privacy policy for Bank iD's suppliers and customers
We at Bankovní identita, a.s., ID No.: 095 13 817, with registered office at Smrčkova 2485/4, Libeň, 180 00 Prague 8, registered in the Commercial Register maintained by the Municipal Court in Prague, Section B, Insert 25672 ("Bank iD" or "we"), consider the protection of personal data to be an integral part of our obligations to our business partners and their representatives.
In this document, you can find information about the personal data we process in relation to our business partners, in particular suppliers, representatives of our business partners in the context of cooperation negotiations, performance and administration of concluded contracts and related activities and other persons requesting information about our services. The aim of this Privacy Policy is to inform you about the processing of personal data, including its legal basis, the purposes of processing personal data, the transfer of personal data to others and your rights in relation to the processing of your personal data.
A. What personal data do we process?
We may process your personal data if you as an individual are our business partner, their representative, contact person (employee or collaborator) or their beneficial owner.
This may include the following categories of data:
- identification data, in particular name, surname, title, job title;
- contact details, in particular address, telephone or e-mail;
- the data contained in the minutes of the meetings (history and details of your business contacts with us);
- your bank account number (if it is a natural person's bank account number),
- data on the negotiation and performance of contracts with us (if the party to the negotiation or contract is a natural person).
For the purposes set out below, we do not collect or process any special categories of personal data as defined in data protection legislation.
B. Why do we process personal data and what entitles us to do so?
We process your personal data without your consent for the purpose of preparing contractual documentation and the performance of the contract between Bank iD and the business partner, including related communications. If you are an agent, contact person or beneficial owner of a business partner, the legal basis for this processing is Bank iD's legitimate interest in the conclusion and performance of contracts with business partners. For this purpose, we process your personal data for the duration of the contractual relationship between Bank iD and the business partner.
We may further process your personal data for the performance of our legal obligations, in particular in the field of accounting, tax records, archiving and pursuant to Act No. 21/1992 Coll., on Banks, as amended. For this purpose, we process your personal data for the duration of the contractual relationship between Bank iD and the business partner and for 10 years after its termination.
Based on our legitimate interest, we may also process your personal data for the following purposes:
- negotiation, registration and management of contractual relations with business partners, where our legitimate interest is the management of contractual relations;
- risk analysis and prevention, including fraud prevention, internal investigations and incident resolution, where our legitimate interest is to prevent harm to us;
- sourcing suppliers and business partners, PR and brand enhancement, including business communication, soliciting feedback and organising events where our legitimate interest is in developing relationships with business partners;
- answering queries about our services and the operation of the banking identity where we have a legitimate interest in providing information about our services and the banking identity;
- the protection of our legal claims; where our legitimate interest is the proper exercise of our rights and the defence of legal claims;
For this purpose, we process your personal data for the duration of the search for a business partner and, where applicable, for the duration of the contractual relationship between Bank iD and the business partner and for 10 years after its termination.
C. From what sources do we obtain personal data?
We obtain personal data from documents or information provided by you or a business partner and from generally available information sources (e.g. www.justice.cz, etc.).
D. Who processes your personal data and to whom do we transfer it?
All of the above-mentioned personal data are processed by us as the controller. This means that we determine the above defined purposes for which we collect your personal data, determine the means of processing and are responsible for its proper execution.
In addition, we involve processors in the processing of personal data who ensure the protection of personal data through appropriate technical and organisational measures and are also bound by confidentiality obligations. Such processors include:
- technical infrastructure providers:
- T-Mobile Czech Republic a.s., ID No.: 64949681;
- IT platform and software providers:
- Atlassian Pty Ltd., 350 Bush Street, Floor 13, San Francisco, CA 94104
- Microsoft Corporation, One Microsoft Way, Redmond, WA 98052, USA.
- Digital Solutions, s.r.o., ID: 25998706.
The access rights of these persons are strictly limited to the extent necessary for technical, IT and administrative services and support.
In some cases, we may be obliged to transfer processed personal data to state authorities, courts, law enforcement authorities, supervisory authorities if they ask us to do so.
E. What rights do you have when processing personal data?
Just as we have rights and obligations when processing your personal data, you also have certain rights when processing your personal data. These rights include:
E.1 Right of access
Simply put, you have the right to know what data we process about you, for what purpose, for how long, where we obtain your personal data, to whom we transfer it, who processes it outside of us and what other rights you have in relation to the processing of your personal data. You can find out all of this in this Privacy Policy. However, if you are unsure which personal data we process about you, you can ask us to confirm whether or not personal data relating to you is being processed by us and, if so, you have the right to access that personal data. As part of your right of access, you may ask us for a copy of the personal data we are processing, and we will provide you with the first copy free of charge and subsequent copies with a fee covering the administrative costs involved in processing such a request. For more information on how you can exercise this right, please see the section on personal data.
E.2 Right to rectification
Pokud zjistíte, že osobní údaje, které o Vás zpracováváme, jsou nepřesné nebo neúplné, máte právo na to, abychom je bez zbytečného odkladu opravili, popřípadě doplnili.
E.3 Right to erasure
In some cases, you have the right to have your personal data erased. We will erase your personal data without undue delay, if any of the following grounds apply:
- we no longer need your personal data for the purposes for which we processed it,
- you exercise your right to object to processing (see the "Right to object to processing" section below) and we find that we no longer have any such legitimate interests that would justify such processing, or
- it appears that the processing of personal data carried out by us is no longer in accordance with generally binding regulations.
However, this right does not apply if the processing of your personal data is still necessary for:
- to fulfilling our legal obligations,
- the purpose of archiving, scientific or historical research or statistical purposes, or
- the establishment, exercise or defence our legal claims.
E.4 Right to restriction of processing
In some cases, in addition to the right to erasure, you can exercise the right to restrict the processing of personal data. This right allows you in certain cases to request that your personal data be marked and not further processed in any way – but in this case not permanently (as is the case with the right to erasure), but only for a limited period of time. We must restrict the processing of personal data when:
- you contest the accuracy of the personal data before we agree what data is correct,
- we process your personal data without a sufficient legal basis (for example, beyond what we are obliged to process), however you would prefer merely restricting such data over the erasure of such data (for example, if you expect in any event to provide us such data in the future),
- we no longer need your personal data for the abovementioned purposes of processing, but you require it to establish, exercise or defend your legal claims, or
- you object to processing. The right to object is described in more detail in the section "Right to object to processing" below. We are obliged to restrict the processing of your personal data for the period of time that we are investigating whether your objection is justified.
E.5 Right to object to processing
You have the right to object to the processing of your personal data based on our legitimate interests. As these are not marketing activities, we will stop processing your personal data unless we have compelling legitimate grounds for continuing such processing.
E.6 Right to file a complaint
The exercise of your rights as outlined above, does not in any way affect your right to file a complaint with the Office for Personal Data Protection, in the manner described below in the next section. You may exercise this right, in particular if you believe that we process your personal data in an unauthorized manner or in violation of generally binding legal regulations.
You may file a complaint against our processing of personal data with the Office for Personal Data Protection, which is located at Pplk. Sochora 27, 170 00 Prague 7.
F. How can you exercise individual rights with us?
In all matters relating to the processing of your personal data, whether it be a question, the exercise of rights, filing of a complaint, or anything else, you can contact our Data Protection Officer, available at: dpo@bankid.cz. You can also contact us by correspondence at the following address: Bankovní identita a.s., Smrčkova 2485/4, 180 00 Prague 8, or by data box: x6zjn6e.
We will deal with your request without undue delay, but within one month at most. In exceptional cases, especially due to the complexity of your request, we are entitled to extend this period by another two months. We will, of course, inform you of any such extension and the reason for it.
Privacy policy for web forms and newsletters
We, at Bankovní identita, a.s., ID No.: 095 13 817, with registered office at Smrčkova 2485/4, Libeň, 180 00 Prague 8, registered in the Commercial Register maintained by the Municipal Court in Prague, Section B, Insert 25672 ("Bank iD", "we" or "us"), consider the protection of personal data to be an integral part of our obligations to users of the Bank iD website ("Website") and registration or other forms located thereon.
In this document you will find information about the personal data we process in connection with your registration for our newsletters, participation in webinars organised by us or in connection with sending your enquiry. The aim of this Privacy Policy is to inform you about the processing of personal data, including its legal basis, the purposes of processing personal data, the transfer of personal data to others and your rights in relation to the processing of your personal data.
A. DATA CONTROLLER
The data controller is Bankovní identita, a.s., ID No.: 095 13 817, with registered office at Smrčkova 2485/4, Libeň, 180 00 Prague 8, registered in the Commercial Register maintained by the Municipal Court in Prague, Section B, Insert 25672.
B. PERSONAL DATA PROCESSED
For the purposes set out in section C below, we process the data you provide to us through registration or other forms on our Website. This mainly includes your name, email address, job title and the name of the organisation you work for.
C. THE PURPOSES AND LEGAL BASIS FOR PROCESSING THE DATA AND THE RETENTION PERIODS
We process the data provided by you for your registration for the webinar and related actions (sending an online invitation, etc.) and for the purpose of sending regular emails / information.
The provided e-mail address may be used (with your consent) to send you information regarding your banking identity as an electronic means of authentication, as well as everything related to electronic signatures and their use, as well as to occasionally send you news and updates from the company and related information about products or services (newsletters) and, last but not least, to send you information about further webinars and similar educational events on current topics, etc.
Note on newsletters: If at any time in the future you decide to unsubscribe from receiving our newsletter, you will find detailed unsubscribe instructions at the bottom of each email.
D. WHO PROCESSES YOUR PERSONAL DATA AND WITH WHOM DO WE SHARE IT?
As the data controller, we process all of the above personal data. This means that we determine the above purposes for which we collect your personal data, determine the means of processing and are responsible for its proper implementation.
In general, we do not share your personal data with other data controllers. The exceptions to this are where we are required to share this data by law (in particular with social security authorities, tax authorities, courts and the police in the exercise of their legal powers).
We may use data processors as information technology providers to help us operate our infrastructure and systems or to provide analytics or similar purposes for us.
E. TRANSFER OF YOUR PERSONAL DATA OUTSIDE THE MEMBER STATES OF THE EUROPEAN ECONOMIC AREA
We may also transfer your personal data to third countries outside the European Economic Area that do not provide an adequate level of data protection. We will only make any such transfers if the relevant processor undertakes to comply with the standard contractual clauses issued by the European Commission and available at https://eur-lex.europa.eu/legal-content/CS/TXT/PDF/?uri=CELEX:32001D0497&from=CS.
F. WHAT ARE YOUR RIGHTS IN RELATION TO THE PROCESSING OF PERSONAL DATA?
Just as we have rights and obligations when processing your personal data, you have certain rights in relation to the processing of your personal data. These rights include:
F.1 Right of access to personal data
You have the right to know what data we process about you, for what purposes, for how long, where we obtained your personal data, with whom we share it, who processes it besides us and what other rights you have in relation to the processing of your personal data. All of this has already been explained in this Privacy Policy. However, if you are not sure what personal data we process about you, you can ask us to confirm whether we process personal data about you and, if so, you have the right to access that personal data. Under the right of access to personal data, you can request a copy of the personal data we process, with the first copy being provided free of charge and further copies subject to a fee.
F.2 Right to rectification
If you find that the personal data we process about you is inaccurate or incomplete, you have the right to have it corrected or completed without undue delay.
F.3 Right to erasure
In some cases, you have the right to have your personal data erased. We will erase your personal data without undue delay, if any of the following grounds apply:
- we no longer need your personal data for the purposes for which we processed it,
- you exercise your right to object to processing (see the "Right to object to processing" section below) and we find that we no longer have any such legitimate interests that would justify such processing, or
- it appears that the processing of personal data carried out by us is no longer in accordance with generally binding regulations.
However, this right does not apply if the processing of your personal data is still necessary for:
- to fulfilling our legal obligations,
- the purpose of archiving, scientific or historical research or statistical purposes, or
- the establishment, exercise or defence our legal claims.
F.4 Right to restriction of processing
In some cases, in addition to the right to erasure, you can exercise the right to restrict the processing of personal data. This right allows you in certain cases to request that your personal data be marked and not further processed in any way - but in this case not permanently (as is the case with the right to erasure), but only for a limited period of time. We must restrict the processing of personal data when:
- you contest the accuracy of the personal data before we agree what data is correct,
- we process your personal data without a sufficient legal basis (for example, beyond what we are obliged to process), however you would prefer merely restricting such data over the erasure of such data (for example, if you expect in any event to provide us such data in the future),
- we no longer need your personal data for the abovementioned purposes of processing, but you require it to establish, exercise or defend your legal claims, or
- you object to processing. The right to object is described in more detail in the section "Right to object to processing" below. We are obliged to restrict the processing of your personal data for the period of time that we are investigating whether your objection is justified.
F.5 Right to object to processing
You have the right to object to the processing of personal data that is carried out on the basis of our legitimate interests. If you object, we will no longer process your personal data unless we have compelling legitimate grounds for further processing.
F.6 Right to file a complaint
The exercise of your above rights is without prejudice to your right to file a complaint with the Office for Personal Data Protection in the manner described in the following section. You can exercise this right in particular if you believe that we are processing your personal data unlawfully or in violation of generally binding legal regulations.
G. HOW CAN YOU EXERCISE YOUR INDIVIDUAL RIGHTS?
You can contact us at the following addresses for all matters relating to the processing of your personal data, whether it is to make an enquiry, exercise your rights, file a complaint or otherwise:
- Data Protection Officer: dpo@bankid.cz.
- Postal address: Bankovní identita, a.s., ID No.: 095 13 817, with registered office at Smrčkova 2485/4, Libeň, 180 00 Prague 8.
We will deal with your request without undue delay, but within one month at most. In exceptional cases, especially due to the complexity of your request, we are entitled to extend this period by another two months. We will, of course, inform you of any such extension and the reason for it.
You can file a complaint against our processing of personal data with the Office for Personal Data Protection, located at Pplk. Sochora 27, 170 00 Prague 7.