Informacja o ochronie prywatności użytkowników końcowych otwartej bankowości Visa

W firmie Visa cenimy Twoje zaufanie i szanujemy Twoją prywatność. W niniejszej informacji o ochronie prywatności użytkowników końcowych („Informacja o ochronie prywatności”) wyjaśniono jak Visa lub jej podmioty stowarzyszone¹, w tym Tink A.B. i Tink Financial Services Limited („Visa”, „my” lub „nasze”) gromadzą, wykorzystują i udostępniają Dane Osobowe użytkowników korzystających z naszych Usług Bankowości Otwartej (patrz poniżej) i powiązanych z nią usług, również objętych niniejszą Informacją o ochronie prywatności. Odpowiednim administratorem niniejszej Informacji o ochronie prywatności jest podmiot, na którego regulamin usług otwartej bankowości użytkownik wyraził zgodę.

Więcej informacji na temat gromadzenia, wykorzystywania i udostępniania Danych Osobowych przez firmę Visa znajduje się na witrynie internetowej Visa w Informacji o globalnej polityce prywatności Visa i Centrum prywatności Visa.

¹Podmioty stowarzyszone to firmy mające powiązania w postaci wspólnego właściciela lub podmiotu sprawującego nad nimi kontrole. Zaliczają się do nich m.in. Tink A.B. i Tink Financial Services Limited.

Platforma otwartej bankowości umożliwia naszym klientom biznesowym („Partnerzy”) tworzenie usług, w ramach których wykorzystywane są dane finansowe osób fizycznych („Użytkownicy końcowi” lub „Użytkownik”).

Świadczymy Użytkownikom końcowym i Partnerom usługi z zakresu informacji o koncie, inicjowania płatności i inne usługi związane z bankowością otwartą („Usługi bankowości otwartej”). Umożliwiają one Użytkownikom końcowym udostępnianie swoich danych finansowych Partnerom lub dokonywanie płatności.

Gdy Użytkownik złoży u Partnera zamówienie na usługę, wówczas Partner przekieruje Użytkownika na platformę otwartej bankowości. Tam będziemy mogli zgromadzić dane finansowe Użytkownika lub zainicjować w jego imieniu płatność. Po sfinalizowaniu tej procedury Użytkownik zostanie przekierowany z powrotem na platformę Partnera.

W ramach świadczenia Usług bankowości otwartej realizujemy szereg zadań.

Kiedy świadczmy usługi otwartej bankowości bezpośrednio Użytkownikom końcowym, muszą oni wyrazić zgodę na nasz Regulamin świadczenia usług dla Użytkowników końcowych. W takim przypadku niniejsza Informacja o ochronie prywatności odnosi się do sposobów gromadzenia, wykorzystywania i udostępniania tych Danych Osobowych Użytkowników Końcowych, które przetwarzamy w związku ze świadczeniem usług bankowości otwartej.

Zgodnie z odpowiednimi postanowieniami regulaminu świadczenia usług możemy przydzielać Partnerom funkcję pośredników. W przypadku pytań o działania poszczególnych Partnerów, prosimy odnieść się do odpowiednich informacji o ochronie prywatności. W niektórych okolicznościach pełnimy funkcję administratora wraz z danym Partnerem. Oznacza to, że zarówno my, jak i dany Partner, mamy określone obowiązki, wynikające z przepisów o ochronie prywatności danych osobowych. W takich przypadkach uzgodniliśmy z określonym Partnerem, że to ten Partner ponosi odpowiedzialność za udzielenie Użytkownikowi informacji na temat przetwarzania przez nas jego Danych Osobowych, a także umożliwienia mu wyegzekwowania swoich praw, wynikających z obowiązujących przepisów o ochronie prywatności danych osobowych.

Gdy firma Visa działa w imieniu Partnerów, wówczas gromadzone, wykorzystywane i udostępniane są przez nią wyłącznie te Dane Osobowe, do których przetwarzania upoważniają ją zapisy umów zawartych z Partnerami. W takim przypadku, zamiast niniejszej Informacji o ochronie prywatności, zastosowanie ma informacja o ochronie prywatności przekazana przez Partnera, z którym Użytkownik nawiązał relację. Niniejsza Informacja o ochronie prywatności nie obejmuje przetwarzania Danych Osobowych Użytkownika przez inne podmioty, w tym Partnerów, witryny internetowe i inne aplikacje. Ponadto niniejsza Informacja o ochronie prywatności nie obejmuje Danych Osobowych gromadzonych przez nas za pośrednictwem naszej witryny internetowej lub w ramach interakcji Użytkownika z naszymi witrynami internetowymi. Prosimy przeczytać informacje o ochronie prywatności opublikowane na naszych witrynach internetowych lub przekazane w inny sposób podczas bezpośredniej interakcji z nami.

W niniejszej Informacji o ochronie prywatności termin „Dane osobowe” oznacza dane, które (samodzielnie lub wraz z innymi danymi) można powiązać z daną osobą fizyczną lub w uzasadniony sposób mogłyby zostać z nią powiązane. Termin ten może mieć także inne znaczenie w różnych przepisach dotyczących ochrony prywatności. Gromadzone przez nas dane osobowe różnią się w zależności od naszych relacji i interakcji z Państwem.

W zależności od naszych relacji i interakcji z Użytkownikiem, kategorie gromadzonych przez nas Danych osobowych mogą obejmować:

• Dane kontaktowe — obejmują one takie dane Użytkownika, jak imię i nazwisko, sposób tytułowania, datę urodzenia, nazwę użytkownika, adres pocztowy, adres e-mail, numer telefonu i numer telefonu komórkowego.
• Dane o tożsamości — obejmują one wydane przez organy rządowe dokumenty tożsamości, w tym numer ubezpieczenia społecznego, prawo jazdy, paszport itp.
• Dane o transakcjach -- informacje te obejmują:
  
  • dane o transakcjach Użytkownika, w tym zakupach, opisie, walucie, dacie, godzinie, lokalizacji, kwocie transakcji, źródle, miejscu docelowym, przelewie oraz sprzedawcy. W niektórych przypadkach mogą one obejmować również dane o poszczególnych produktach, dane rozliczeniowe i wysyłkowe; a także
  • dane o zainicjowanych płatnościach, w tym opis płatności, kwotę, walutę, datę, źródło, cel i zarejestrowanych beneficjentów.
• Informacje o koncie -- dane te obejmują numer konta bankowego, tytuł i rodzaj konta bankowego (np. pożyczkowe, hipoteczne, oszczędnościowe, inwestycyjne, emerytalne, karta kredytowa, rachunek bieżący), saldo konta, limit kredytowy, dopuszczalny debet, obroty na koncie, zlecenia stałe, zaplanowane przelewy, nazwę banku i lokalizację jego oddziału.
• Dane uwierzytelniające Użytkownika końcowego -- informacje te obejmują dane wykorzystywane przez Użytkownika do logowania się do banku, tj. nazwę użytkownika, hasło, kod PIN, numer ubezpieczenia społecznego, adres e-mail, numer telefonu, datę urodzenia i unikalny token uwierzytelniający, służący do rozpoznania Użytkownika jako właściciela konta.
• Dane wnioskowane i pochodne -- niektóre dane są skutkiem naszej analizy relacji Użytkownika i jego danych transakcyjnych. Przykładowo, możemy szacować skłonności, cechy lub wyniki w celach marketingowych (w dozwolonych obszarach), bezpieczeństwa lub zapobiegania oszustwom.
• Dane sieciowe i techniczne -- informacje te obejmują sposób użytkowania naszych Usług bankowości otwartej oraz interakcji Użytkownika z witrynami internetowymi lub aplikacjami służącymi do użytkowania Usług bankowości otwartej, tj. adres IP, identyfikator użytkownika, nazwa banku, rynek / region, lokalizacja, identyfikatory urządzenia, ustawienia, cechy Użytkownika, zapisy z dziennika aktywności i inne dane zgromadzone przy użyciu plików cookie i podobnych technologii.
• Dane pomocy technicznej -- dane z rozmów z centrum obsługi klienta.
• Dane zgodności — obejmują one rejestry, które przechowujemy w celu zademonstrowania działalności zgodnej z obowiązującymi przepisami, np. przeprowadzane kontrole związane z przeciwdziałaniem praniu brudnych pieniędzy, rejestry związane z preferencjami konsumenckimi oraz rejestry związane z wnioskami o wyegzekwowanie praw podmiotów danych.

Możemy gromadzić dotyczące Państwa dane osobowe z różnych źródeł, w zależności od naszych relacji i interakcji z Państwem.

Możemy gromadzić Dane osobowe:

• od użytkownika – (podczas przetwarzania danych osób fizycznych, które figurują w transakcjach Użytkownika, np. odbiorców lub nadawców płatności, otrzymujemy od Użytkownika również dane osobowe osób trzecich, a rzeczone dane nie wpływają do nas bezpośrednio, lecz za pośrednictwem transakcji takich osób z Użytkownikiem);
• od Partnerów -- w zależności od świadczonych Użytkownikowi Usług bankowości otwartej, możemy gromadzić jego Dane Osobowe od Partnerów;
• od banku Użytkownika — usługi otwartej bankowości mogą wymagać od nas gromadzenia danych osobowych Użytkownika od jego banku. Gdy wymagają tego obowiązujące przepisy prawa, będziemy gromadzić tego rodzaju dane za zgodą Użytkownika;
• z komputera lub urządzeń Użytkownika -- możemy gromadzić Dane Osobowe w momencie korzystania przez Użytkownika z naszych Usług bankowości otwartej na jego urządzeniu;
• od naszych Podmiotów Stowarzyszonych; oraz
• z innych źródeł -- gdy Użytkownik korzysta z naszych Usług bankowości otwartej, możemy otrzymywać na jego temat identyfikatory lub dane handlowe od osób trzecich, w tym od naszych usługodawców, serwisów weryfikacji tożsamości i ogólnodostępnych źródeł.

Przechowujemy dane osobowe Użytkownika przez okres wymagany do realizacji wymienionych poniżej celów, a także przez dodatkowy okres, jeśli jest to wymagane lub dozwolone przez przepisy prawa. Okres przechowywania danych osobowych Użytkownika zależy od celów ich gromadzenia, sposobów ich wykorzystywania oraz wymogów obowiązującego prawa. Gdy dane osobowe przestaną być potrzebne, są one w bezpieczny sposób usuwane lub (tam, gdzie zezwala na to prawo) poddawane anonimizacji. Użytkownik może złożyć do nas wniosek o usunięcie jego Danych Osobowych. W tym celu konieczne jest odwiedzenie naszej witryny internetowej i wejście na nasz Portal praw w dziedzinie ochrony prywatności. Jeśli nie istnieje podstawa prawna do przechowywania Danych Osobowych Użytkownika, zostaną one usunięte zgodnie z obowiązującym prawem.

Uwaga : Dlaczego gromadzimy Dane Osobowe i w jaki sposób je wykorzystujemy (przypadki, w których wymagane jest udostępnianie Danych Osobowych na potrzeby świadczenia naszych Usług bankowości otwartej, oznaczone są symbolem *)

Uwaga: Dlaczego gromadzimy dane osobowe i w jaki sposób je wykorzystujemy (przypadki, w których wymagane jest udostępnienie Danych Osobowych na potrzeby świadczenia przez nas Usług bankowości otwartej, oznaczone są symbolem *)

Dane osobowe Użytkownika są udostępniane przede wszystkim Partnerowi, z którego usług partnerskich korzysta Użytkownik, a ponadto Partner ten jest podmiotem, któremu możemy przekazać dane osobowe z polecenia Użytkownika.

Ponadto dane Użytkownika mogą zostać udostępnione:

• nasze podmioty stowarzyszone;
• Bankowi Użytkownika w sytuacji wnioskowania o świadczenie przez nas Usług bankowości otwartej. Udostępnione nam dane logowania są ujawniane wyłącznie bankowi Użytkownika. Dzieje się to tylko wtedy, gdy świadczone są odpowiednie usługi.
• Partnerom, bankom (lub ich upoważnionym podmiotom przetwarzającym), podmiotom gromadzącym dane, podmiotom przetwarzającym płatność i innym osobom trzecim podlegającym odpowiednim ograniczeniom z zakresu poufności i użytkowania, na potrzeby świadczenia Użytkownikowi usług bankowości otwartej, zarządzającym ryzykiem oszustwa, świadczącym i opracowującym nasze usługi bankowości otwartej, a także wspomagającym cele wymienione w powyższej tabeli;
• Organom regulacyjnym i innym organom ścigania (np. policji lub HMRC), w celu wywiązania się z naszych zobowiązań prawnych lub w ramach dochodzeń;
• Sądom, innym stronom sporu i naszym doradcom zawodowym; oraz
• Naszym usługodawcom, m.in. świadczeniodawcom oprogramowania i magazynów do przechowywania danych, którzy przetwarzają Dane Osobowe Użytkownika w naszym imieniu i w ścisłej zgodzie z naszymi wytycznymi.

Możemy również ujawnić Dane Osobowe innym osobom trzecim za zgodą Użytkownika lub w przypadkach dozwolonych prawnie, np. podczas sprzedaży lub przenoszenia aktywów biznesowych, egzekwowania zawartych umów, ochrony naszego mienia albo praw, mienia czy bezpieczeństwa innych, lub na potrzeby audytów, przestrzegania przepisów lub utrzymania ładu korporacyjnego.

„Profilowanie” to sytuacja, w której Dane Osobowe są przetwarzane automatycznie na potrzeby oszacowania określonych aspektów związanych z daną osobą fizyczną, np. jej sytuacja ekonomiczna lub preferencje osobiste.

„Zautomatyzowane podejmowanie decyzji” to sytuacja, w której decyzje w związku z daną osobą fizyczną podejmowane są w sposób zautomatyzowany i bez udziału czynnika ludzkiego, np. odmowa takiej osobie korzystania z usługi.

Możemy stosować metody zautomatyzowanego podejmowania decyzji, m.in. profilowania, w ramach przetwarzania Danych Osobowych Użytkownika związanych ze świadczeniem usług bankowości otwartej, na potrzeby zapobiegania oszustwom. W wyniku takiego przetwarzania opartego na naszych uzasadnionych interesach i zautomatyzowanych decyzjach (m.in. profilowaniu), może zapaść decyzja o nieudzieleniu Użytkownikowi dostępu do usług bankowości otwartej, albo w związku z określonym wnioskiem Użytkownika o korzystanie z usług bankowości otwartej, albo w związku z wnioskiem Użytkownika o korzystanie z usług bankowości otwartej przez ustalony czas, w zależności od treści oceny z zakresu zapobiegania oszustwom. Przykładowo możemy oszacować kwoty i wolumeny transakcji Użytkownika na podstawie wybranego konta u Partnera, a także powodzenia zainicjowanych przez Użytkownika płatności. Nie podejmujemy zautomatyzowanych decyzji na temat Użytkownika, jeśli mogą one mieć na niego znaczący wpływ, chyba że (1) taka decyzja jest niezbędnym elementem wywiązania się z umowy zawartej z Użytkownikiem, (2) Użytkownik wyraził na to zgodę lub (3) zobowiązuje nas do tego prawo. W Wielkiej Brytanii możemy podejmować zautomatyzowane decyzje, tylko jeśli zezwala na to prawo (np. w przypadkach, w których nie przetwarzano danych z kategorii specjalnych, lub w których zastosowanie mają inne zabezpieczenia przewidziane w brytyjskich przepisach o ochronie prywatności).

Z prawnego punktu widzenia Użytkownikowi przysługuje szereg praw. Zgodnie z odpowiednimi przepisami Użytkownik może złożyć do nas wniosek na dane kontaktowe wskazane w poniższej sekcji „Kontakt z nami”.

Rzeczone prawa mogą obejmować:

• Wnioskowanie o dostęp do Danych Osobowych (ogólnie określane jako wnioskowanie podmiotu danych o dostęp do informacji)
  Takie działanie umożliwia Użytkownikowi otrzymanie kopii przechowywanych Danych Osobowych na jego temat oraz sprawdzenie, czy są one przetwarzane zgodnie z prawem.
• Wnioskowanie o korektę nieprawidłowych lub niepełnych Danych Osobowych
• Wnioskowanie o usunięcie lub zaprzestanie przetwarzania Danych Osobowych
  Takie działanie umożliwia Użytkownikowi zwrócenie się do nas z prośbą o usunięcie Danych Osobowych, jeśli nie mamy racjonalnego uzasadnienia do dalszego ich przetwarzania, Użytkownik wycofał swoją zgodę, skorzystał ze swojego prawa do sprzeciwienia się przetwarzaniu danych i nie ma żadnych podstaw prawnych do ich dalszego przetwarzania, Dane Osobowe były przetwarzane niezgodnie z prawem lub jesteśmy prawnie zobowiązani do ich usunięcia. Nie dotyczy to np. sytuacji, w której musimy przetworzyć dane, w celu ustalenia, zrealizowania lub obrony roszczenia.
• Wnioskowanie o ograniczenie przetwarzania
  W przypadkach zakwestionowania dokładności Danych Osobowych Użytkownika (w okresie umożliwiającym nam potwierdzenie dokładności takich Danych Osobowych), ich przetwarzanie jest niezgodne z prawem, Użytkownik sprzeciwia się wykorzystaniu danych i prosi o ograniczenie tego procederu, w przypadkach, w których Użytkownik sprzeciwił się przetwarzaniu swoich Danych Osobowych i oczekuje na rozpatrzenie przez nas, czy mamy uzasadnione podstawy prawne do kontynuowania tego procederu; lub w przypadkach, w których nie potrzebujemy już Danych Osobowych, lecz Użytkownik potrzebuje ich na potrzeby dochodzenia swoich praw, można wnioskować o ograniczenie przetwarzania takich Danych Osobowych. Oznacza to, że Dane Osobowe będą przetwarzane wyłącznie za zgodą Użytkownika (z wyłączeniem przechowywania) w celu ustalenia, egzekwowania lub obrony roszczeń prawnych, ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na istotny interes publiczny. W przypadkach, w których przetwarzanie jest ograniczone, Użytkownik zostanie o tym poinformowany, zanim ograniczenie zostanie zniesione.
• Wycofanie zgody (w ograniczonych przypadkach, w których zgoda Użytkownika była konieczna)
  Użytkownik ma prawo do wycofania zgody w dowolnym momencie. Nie będzie to miało wpływu na zgodność z prawem procedury przetwarzania, odbywającej się przed wycofaniem zgody. Wycofanie zgody dotyczy wyłącznie przyszłego przetwarzania;
• Sprzeciw wobec przetwarzania Danych Osobowych
  Z przyczyn związanych ze szczególną sytuacją Użytkownika, może on wyrazić sprzeciw przetwarzaniu danych, opierającemu się na naszych uzasadnionych interesach lub na uzasadnionych interesach osoby trzeciej. W takim przypadku zaprzestaniemy przetwarzania Danych Osobowych Użytkownika, chyba że zaistnieją uzasadnione podstawy prawne do przetwarzania, będące nadrzędnymi wobec interesów, praw i swobód Użytkownika, lub będą konieczne do ustalenia, egzekwowania lub obrony roszczeń prawnych.
• Wymóg przenoszenia danych
  W przypadkach, w których zautomatyzowane przetwarzanie Danych Osobowych Użytkownika odbywa się na podstawie zgody lub realizacji postanowień umowy z Użytkownikiem, Użytkownik ma również prawo do przenoszenia swoich danych. Oznacza to, że Użytkownik może uzyskać kopię swoich Danych Osobowych w powszechnie używanym formacie elektronicznym, co umożliwi zarządzanie nimi i przekazanie ich innemu administratorowi danych.
• Złożenie skargi
  Jeśli Użytkownik ma wątpliwości co do naszych sposobów przetwarzania jego Danych Osobowych, ma prawo złożyć skargę. Zachęcamy jednak do uprzedniego kontaktu z nami, abyśmy mogli bezpośrednio rozwiązać dany problem. Prosimy o kontakt za pomocą podanych poniżej danych kontaktowych. Użytkownik może również mieć prawo do złożenia skargi u lokalnego organu ds. ochrony danych. Wszelkie skargi traktujemy poważnie i odpowiemy na nie jak najszybciej.

Użytkownik zasadniczo nie musi wnosić opłaty za uzyskanie dostępu do swoich Danych Osobowych (ani za skorzystanie ze swoich innych praw). Jednakże, jeśli zezwala na to prawo, możemy pobrać uzasadnioną opłatę za ewidentnie bezpodstawny lub ponadnormatywny wniosek o dostęp do danych. Może zajść potrzeba zweryfikowania tożsamości Użytkownika, zanim będziemy mogli odpowiedzieć na jego wniosek.

Możemy przekazywać Dane Osobowe Użytkownika między różnymi krajów, w tym państwami o innych przepisach z zakresu ochrony prywatności i danych niż kraj pochodzenia Użytkownika. W każdej sytuacji będziemy jednak chronić danych Użytkownika i przekazywać je zgodnie z wszelkimi obowiązującymi wymogami prawnymi w zakresie transgranicznego przekazywania Danych Osobowych. Gdy Dane Osobowe są przekazywane z Europy do Stanów Zjednoczonych, kontrolujemy poziom ochrony zapewniany im przez odbiorcę, sprawdzając, czy przynależy do EU-U.S. Data Privacy Framework, Swiss-U.S. Data Privacy Framework lub UK-U.S. Data Bridge. Jeśli dana organizacja nie spełni tych warunków lub jeśli Dane Osobowe będą przekazywane do innego miejsca poza EOG, Wielką Brytanię lub Szwajcarię, dopilnujemy, że zostaną zastosowane inne odpowiednie środki bezpieczeństwa, np. wiążące reguły korporacyjne, standardowe klauzule umowne UE zatwierdzone przez Komisję Europejską, brytyjskie lub szwajcarskie Uzupełnienie standardowych klauzul umownych UE, brytyjska Międzynarodowa Umowa o Przekazywaniu Danych lub inne dozwolone prawnie środki, w celu zapewnienia poziomu ochrony danych gwarantowanego w EOG, Wielkiej Brytanii lub Szwajcarii. Użytkownik może otrzymać kopię takich środków bezpieczeństwa, korzystając z podanych poniżej danych kontaktowych.

Poważnie traktujemy bezpieczeństwo Danych Osobowych Użytkowników. W celu ochrony danych osobowych przed nieautoryzowanym dostępem lub utratą wykorzystujemy zabezpieczenia fizyczne, techniczne, organizacyjne i administracyjne. Na przykład stosujemy szyfrowanie oraz inne narzędzia, aby chronić informacje wrażliwe. W przypadkach, w których angażujemy osoby trzecie do przetwarzania Danych Osobowych w naszym imieniu, wykonują one swoją pracę na podstawie pisemnych instrukcji i mają prawny obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, aby zapewnić bezpieczeństwo Danych Osobowych, zgodnie z obowiązującymi przepisami o ochronie danych.

Okazjonalnie będziemy wprowadzać zmiany w niniejszej Informacji o ochronie prywatności. Przykładowo możemy wprowadzać zmiany w niniejszej Informacji o ochronie prywatności, aby pozostawała ona aktualna, spełniała wymogi prawne lub w wyniku zmian, wprowadzanych w sposobie naszego prowadzenia działalności. Wszelkie wprowadzane zmiany lub aktualizacje będą publikowane na naszej witrynie internetowej, aby wpływ naszych działań w zakresie przetwarzania danych były widoczny dla Użytkowników, zanim podejmą decyzję o kontynuowaniu naszej wspólnej relacji. Użytkowników, których dane kontaktowe są przechowywane przez nas w plikach, będziemy informować z wyprzedzeniem o istotnych zmianach. Prosimy o regularne odwiedzanie naszej witryny internetowej, aby być na bieżąco z najnowszą wersją niniejszego dokumentu.

W przypadku chęci skorzystania ze swoich praw z zakresu ochrony prywatności, prosimy o odwiedzenie Portalu praw w dziedzinie ochrony prywatności.

W przypadku chęci skontaktowania się z inspektorem ochrony danych, prosimy o wysłanie wiadomości e-mail na adres [email protected].

W celu uzyskania pomocy w innej sprawie lub skorzystania ze swoich praw Użytkownika końcowego, zachęcamy do skorzystania z poniższych danych kontaktowych (prosimy nie podawać w wiadomościach e-mail informacji wrażliwych, np. numeru konta):

Dla Użytkowników z Europy:

• E-mail: [email protected]
  Adres pocztowy:
  Tink AB
  Vasagatan 11
  111 20 Sztokholm, Szwecja
  
  Dla Użytkowników z Wielkiej Brytanii
• E-mail: [email protected]
  Adres pocztowy:
  Tink Financial Services Limited
  1 Sheldon Square
  Londyn, Wielka Brytania