Informace o zpracování osobních údajů Ve společnosti Direct finance Europe, a.s. (dále jen Direct finance nebo my ) si vážíme všech svých klientů. Proto si klademe za cíl chránit vaše soukromí. Chceme, abyste si byli jisti, že s vašimi údaji zacházíme s maximální péčí a v souladu se všemi povinnostmi vyplývajícími z platných právních předpisů Evropské unie a České republiky. Pokud byste měli jakékoli dotazy týkající se zpracování osobních údajů, rádi vám vše vysvětlíme. Můžete se na nás obrátit na klientskou linku 290 290 290, e-mail info@directfinance.cz nebo adresu Direct finance Europe, a.s., U průhonu 1589/13a, 170 00 Praha 7. Správce osobních údajů: Direct finance Europe, a.s. IČO: 28145780 Sídlo: U průhonu 1589/13a, Holešovice, 170 00 Praha 7 Web: www.directfinance.cz Kontakt na pověřence pro ochranu osobních údajů: DPO@directfinance.cz Další správce pro poskytování platebních služeb a vydávání elektronických peněz: Wirecard Card Solutions Limited, se sídlem Grainger Chambers, 3-5 Hood Street, Newcastle upon Tyne, NE1 6JQ, zapsaná v anglickém obchodním rejstříku pod č. 07875693 (dále jen Wirecard ). Komunikaci týkající se zpracování osobních údajů zajišťuje Direct finance prostřednictvím kontaktů uvedených výše. V tomto dokumentu vám chceme poskytnout přehledné a srozumitelné informace o tom: jaké údaje o vás zpracováváme a proč, jakým způsobem údaje zpracováváme a jak je chráníme, odkud údaje získáváme a jak dlouho je uchováváme, komu údaje můžeme předat, jaká jsou vaše práva týkající se zpracování osobních údajů. 1. Účel zpracování informací Při poskytování našich služeb zpracováváme údaje pro různé účely. V některých případech vyplývá potřeba zpracovávat osobní údaje přímo ze smlouvy, zákona nebo legitimních důvodů. Některé typy zpracování můžeme provádět pouze na základě vašeho svobodného souhlasu. 1.1 Zpracování na základě smlouvy Jedná se zejména o samotné sjednání a poskytování našich služeb, pro které musíme zpracovávat údaje týkající se osob, které budou služby využívat, provozní informace a údaje o finančních transakcí, které provádíte. Do této kategorie zpracování spadá i nutná výměna údajů mezi provozovateli a poskytovateli platebních služeb, a to v rozsahu nezbytném pro zajištění přístupu ke službě, k provedení platební transakce, k vzájemnému zúčtování platebních transakcí a k zabránění zneužívání služeb elektronických komunikací, včetně platebních transakcí. Z těchto důvodů se zpracovávají následující kategorie osobních údajů: Identifikační údaje sloužící k jednoznačné a nezaměnitelné identifikaci subjektu údajů (např. jméno, příjmení, titul, příp. rodné číslo, datum narození, adresa trvalého pobytu, IČO, DIČ, pohlaví, místo narození), Kontaktní údaje (např. kontaktní adresa, číslo telefonu, číslo faxu, e-mailová adresa a jiné obdobné informace), Zapsaná v obchodním rejstříku vedeném Městským soudem v Praze oddíl B, vložka 18762 1
Veškeré transakční a uživatelské údaje související s užíváním Direct karet a využíváním Direct aplikace Informace o finančních převodech mezi vaším firemním účtem, bankovním účtem Wirecard a odpovídajícími záznamy na Direct sběrném účtu, jednotlivými Direct karetními účty, včetně zůstatků Poskytnutí osobních údajů pro sjednání a uzavření smlouvy je zcela dobrovolné, avšak je podmínkou pro poskytnutí služby Direct finance a služby Wirecard. Bez těchto údajů nelze Rámcovou smlouvu uzavřít ani služby objednat a poskytovat. Po uzavření smlouvy musíme výše uvedené údaje zpracovávat, abychom plnili naše závazky podle sjednaných podmínek, a to minimálně po dobu trvání našeho smluvního vztahu. 1.2 Zpracování na základě oprávněných zájmů Provádíme zpracování potřebné pro ochranu našich a vašich práv a zájmů a rovněž práv třetích osob, které se na poskytování služeb podílejí nebo mají jiný legitimní zájem. Jde zejména o dalšího správce Wirecard. Do této kategorie zpracování spadají zejména následující operace: zajištění funkčnosti a bezpečnosti Direct aplikace a platebních služeb; zlepšování a vývoj nových produktů a služeb na základě studia použití našich služeb klienty nebo chování klientů při jejich používání; segmentace klientů (podle obratů na Direct kartách, podle druhu a počtu Direct karet, podle využívaných služeb v Direct aplikaci, vyhodnocování platebních transakcí, zůstatků na Direct sběrných účtech či jednotlivých Direct karetních účtech, klasifikace transakcí dle MCC kodů a další analytické činnosti; pokud to je to možné, používáme k těmto operacím agregované anonymní údaje); sledování kvality služeb a spokojenosti klientů, tvorba obchodních doporučení a optimalizace poskytovaných služeb a produktů, identifikace obchodního potenciálu podle preferencí klientů; přímý marketing zahrnující nabídku našich produktů nebo služeb či služeb a produktů přímo souvisejících; prevence a odhalování trestné nebo protiprávní činnosti; v Direct aplikaci využíváme nástroje třetích stran jako jsou cookies a nástroje společnosti Google, za pomoci kterých získáváme informace vedoucí k dalšímu zlepšování aplikace a vaší zákaznické zkušenosti. určení, obhajoba a vymáhání práv vyplývajících z Rámcové smlouvy a dalších smluvních ujednání; ochrana majetku a osob; interní funkce nezbytné pro naši činnost, a to i na úrovni skupiny podniků, do které patříme (audit, controlling, provoz IT, administrativa, evidence dokladů pro účetnictví a daně atp.); Z důvodu ochrany zájmů nahráváme i naše vzájemné telefonní hovory, abychom vždy přesně věděli, o čem jsme spolu mluvili. Hovory můžeme také nahrávat, zpracovávat a následně vyhodnocovat tak, abychom co nejlépe vyhověli vašim požadavkům, přáním a potřebám. Můžeme se s vámi také spojit a ověřit si, zda jste byli s našimi službami spokojeni. Z důvodu ochrany našich a vašich práv a zájmů budeme zpracovávat zejména identifikační, provozní a transakční údaje. Můžeme také různé údaje spojovat s dalšími informacemi anebo vytvářet údaje nové, které z daných informací vyplývají nebo s nimi souvisejí. To je důležité hlavně pro určení práv a povinností vyplývajících ze smlouvy, ochranu našich či vašich zájmů nebo dodržování našich právních povinností (např. zabezpečení služeb, prevence a odhalování protiprávní činnosti, obhajoba práv). Proti zpracování založenému na oprávněných zájmech je možné podat námitku, kterou přezkoumáme, a zhodnotíme, zda dané zpracování splňuje požadavky předpisů. Více o svých právech naleznete dále v tomto dokumentu. 1.3 Zpracování na základě zákona a právních povinností S platebními službami je spojena řada povinností, které musíme podle právních předpisů plnit. Jde zejména o zákony upravující opatření proti legalizaci výnosů z trestné činnosti a financování terorismu (dále AML zákon). Tato opatření (zejména identifikaci a kontrolu klientů a transakcí) provádíme ve spolupráci s Wirecard. Dle AML zákona je Wirecard povinnou osobou a společnost Direct finance ji při tomto zpracování údajů zastupuje. Pro ověření nezbytných informací podle AML zákona můžeme využít i mezinárodních nebo národních sankčních rejstříků. Dále se na nás vztahují obecné právní povinnosti, např.: povinnosti podle předpisů upravujících platební styk, platební služby a vydávání elektronických peněz uchování a archivace údajů dle zákonných požadavků (účetní a daňové předpisy, archivnictví aj.) Zapsaná v obchodním rejstříku vedeném Městským soudem v Praze oddíl B, vložka 18762 2
administrativní povinnosti (např. při zpracování informací v daňové, účetní nebo jiné administrativní oblasti) povinnost součinnosti s orgány veřejné moci při výkonu jejich pravomocí podle předpisů Zpracováváme zejména následující osobní údaje: Identifikační údaje sloužící k jednoznačné a nezaměnitelné identifikaci subjektu údajů (např. jméno, příjmení, titul, příp. rodné číslo, datum narození, adresa trvalého pobytu, IČO, DIČ, pohlaví, místo narození, číslo a druh dokladu totožnosti), Kontaktní údaje (např. kontaktní adresa, číslo telefonu, číslo faxu, e-mailová adresa a jiné obdobné informace), Údaje o dokladech (druh a číslo předloženého dokladu, platnost a datum vydání předloženého dokladu, kým byl doklad vydán) Informace o tom, zda jste či nejste politicky exponovaná osoba Transakční a uživatelské údaje související s užíváním Direct karet a využíváním Direct aplikace Informace o finančních převodech a transakcích V případě, že nám tyto osobní údaje nesdělíte, nemůžeme s vámi bohužel dle zákonných požadavků příslušnou Rámcovou smlouvu uzavřít nebo vám vydat k užívání Direct kartu. 1.4 Zpracování s vaším souhlasem V některých případech může být pro zpracování osobních údajů nezbytný váš souhlas. Souhlas pro taková zpracování udělujete v elektronické formě (zaškrtnutím příslušných políček). Pokud je souhlas se zpracováním osobních údajů poskytnut elektronicky, záznam o jeho poskytnutí provedených v našich systémech slouží jako rozhodující doklad o poskytnutí souhlasu. Marketingové využití údajů, nabízení obchodu a služeb nad rámec přímého marketingu Rádi bychom vás čas od času oslovili telefonicky, e-mailem, sms, prostřednictvím obchodníka nebo Direct aplikace s novinkami o činnosti, nových produktech, službách a exkluzivních nabídkách společností, které jsou s námi propojené ve skupině VIGO (zejména Direct pojišťovna, a.s.) nebo se kterými obchodně spolupracujeme (dále jen nabídky). Tento souhlas zahrnuje předání osobních údajů nezbytných pro vytvoření nabídky Direct pojišťovně, a.s. Nikomu jinému vaše osobní údaje pro marketingové účely nepředáváme. Aktuální seznam členů skupiny VIGO a obchodních partnerů, jejichž nabídky vám můžeme posílat, naleznete na www.directfinance.cz/osobni-udaje. Nabídky se mohou týkat produktů a služeb finančního sektoru, platebních služeb, pojišťovnictví, ochrany zdraví nebo majetku a dalších podobných nebo souvisejících oblastí. Marketingové zpracování zahrnuje profilování, které vyhodnocuje údaje o vás a vašich sjednaných produktech a slouží k tomu, abychom vás oslovili jen s takovými nabídkami, které dávají smysl a mohou vás zajímat. Osobními údaji, které budeme na základě vašeho souhlasu pro tento účel zpracovávat a předávat, jsou jméno, příjmení a kontaktní údaje (adresa, telefon, e-mail) a dále informace o využívání služeb včetně související segmentace a typizace klienta. Vaše osobní údaje budou začleněny do databáze klientů, kterou si pro účely naší činnosti vedeme. Udělení Vašeho souhlasu pro účely informování o činnosti, a nabídkách produktů a služeb společnosti Direct finance i dalších firem ve skupině VIGO je dobrovolné a nemá vliv na uzavření Rámcové smlouvy ani poskytování Služeb. Souhlas je platný do jeho odvolání. Jak můžete svůj souhlas odvolat? Udělený souhlas můžete kdykoliv odvolat, např. e-mailem, který máte u nás evidovaný, na info@directfinance.cz, nebo telefonátem na naši Klientskou linku 290 290 290. V souvislosti s odvoláním souhlasu vás požádáme o prokázání totožnosti a zeptáme se vás, pro který typ zpracování svůj souhlas se zpracováním osobních údajů odvoláváte. Udělený souhlas můžete odvolat také přímo v Direct aplikaci ve svém uživatelském profilu. 1.5 Zpracování údajů uživatelů Direct aplikace, držitelů Direct karet a dalších osob Služby Direct finance a Wirecard jsou primárně určeny pro obchodní společnosti a správu jejich firemních výdajů. Držiteli Direct karet a uživateli Direct aplikace nicméně jsou zpravidla zaměstnanci nebo jiné osoby určené klientem. Z povahy věci tedy dochází ke zpracování údajů týkajících se i těchto osob a jejich nakládání s Direct kartou nebo využívání Direct aplikace. Zapsaná v obchodním rejstříku vedeném Městským soudem v Praze oddíl B, vložka 18762 3
S údaji o těchto osobách je nakládáno jako s údaji, jež se vztahují ke klientovi, kterého zaměstnanci nebo jiné určené osoby zastupují a jehož jménem jednají. 2. Zdroje získávání informací Informace získáváme přímo od vás při uzavírání Rámcové smlouvy nebo při poskytování a realizaci služby. Dále z veřejných zdrojů, rejstříků, seznamů a evidencí (např. obchodní a živnostenský rejstřík, ARES apod.). Zdrojem osobních údajů je taktéž Direct aplikace a využívání Direct karet. 3. Jak zpracováváme a chráníme vaše osobní údaje? Zpracování vašich osobních údajů probíhá automaticky i manuálně. Vaše osobní údaje maximálně chráníme kontrolními, technickými a bezpečnostními mechanismy před neoprávněným přístupem nebo přenosem i před možným zneužitím. Direct finance využívá infrastrukturu O2 Cloud dodavatele O2 Czech Republic a.s. O2 Cloud splňuje certifikát systému managementu bezpečnosti informací ISO 27001 a je pravidelně prověřován bezpečnostními audity. 4. Vaše práva týkající se zpracování osobních údajů Ve vztahu ke zpracování vašich osobních údajů můžete využít následující práva: Právo na informace: Máte právo obdržet informace před zpracováním i během zpracování na vaši žádost. Na žádost vám sdělíme, zda vaše osobní údaje zpracováváme, a dále, pokud o to požádáte, informace o účelech, kategoriích údajů, příjemcích (kategoriích), době uchování (kritériích), vašich právech včetně možnosti se obrátit na dozorový úřad, zdrojích údajů (pokud nepocházejí od vás), automatizovaném individuálním rozhodování a předávání do třetí země nebo mezinárodní organizace (vhodných zárukách). Právo na přístup: Kromě informací o zpracování máte právo na kopii údajů, které jsou o vás zpracovávány. Právo na opravu: Správce by měl zpracovávat přesné údaje, při zjištění nesprávnosti údajů máte právo na opravu. Právo na výmaz ( být zapomenut ): Máte právo na vymazání svých údajů, ale jen tehdy pokud netrvá jiný právem uznaný důvod pro zpracování, který správce může použít (včetně ochrany svých oprávněných zájmů a práv). Portabilita: Máte právo obdržet zpracovávané údaje, které se zpracovávají na základě souhlasu nebo na základě uzavření nebo plnění smlouvy a které jste sami poskytli nebo které přímo vyplývají z vaší činnosti, ve strojově čitelném formátu. Platí jen pro automatizovaně zpracovávané údaje. Právo vznést námitku: Platí pro případy zpracování z důvodu veřejného zájmu, který správce zastává, nebo jeho vlastního oprávněného zájmu, včetně přímého marketingu. Máte právo vznést proti takovém zpracování námitku a správce má povinnost takové zpracování posoudit z hlediska splnění všech pravidel podle předpisů. V případě přímého marketingu takové zpracování po vznesení námitky vždy zastaví. Právo na odvolání souhlasu: V případě zpracování založeného na vašem souhlasu můžete souhlas kdykoli odvolat, a to na info@directfinance.cz, telefonátem na naši Klientskou linku 290 290 290 nebo přímo v Direct aplikaci. Právo na omezení: Máte právo na omezení zpracování svých údajů, pokud i) popíráte přesnost údajů, a to do doby, než správce přesnost ověří; ii) údaje nejsou potřeba pro účely zpracování, avšak požadujete jejich zpracování pro určení, výkon nebo obhajobu právních nároků; iii) jste vznesli námitku proti zpracování, dokud nebude ověřeno, zda oprávněné důvody správce převažují nad vašimi oprávněnými zájmy; iv) zpracování údajů bylo protiprávní a požadujete namísto výmazu údajů jen omezení jejich zpracování. Automatizované individuální rozhodování: V případě, kdy dochází k automatizovanému individuálnímu rozhodování, které pro vás má podstatné důsledky (např. by vedlo k neuzavření smlouvy, změně podmínek sjednané služby apod.) máte právo nechat takové rozhodnutí přezkoumat, vyjádřit se k němu a případně ho napadnout. Právo obrátit se na dohled, soud: Můžete se obrátit na dohledový úřad (Úřad na ochranu osobních údajů, www.uoou.cz) nebo soud. Zapsaná v obchodním rejstříku vedeném Městským soudem v Praze oddíl B, vložka 18762 4
Jak můžete svá práva uplatnit? Kontaktujte naše Centrum péče o klienty, a to e-mailem na info@directfinance.cz nebo telefonicky 290 290 290. V případě aktualizace osobních údajů uvedených na dokladu totožnosti kontaktujte vašeho AML Zmocněnce, který údaje zaznamená do Direct aplikace. 5. Kdy můžeme předat vaše údaje do zahraničí? Vaše osobní údaje mohou být předávány ke zpracování v rámci EU a Evropského hospodářského prostoru (např. společnostem skupiny VIGO, poskytovatelům IT technologií). V souladu s právními předpisy můžeme osobní údaje předávat i do dalších zemí mimo EU/EHP, to ale jen v případě zajištění odpovídajícího zabezpečení a doložení záruk, že s nimi bude nakládáno v souladu s právními předpisy. Osobní údaje nezbytné pro poskytování platební služby předáváme zejména poskytovatelům služeb souvisejících s platebními službami vydavatelům platebních karet, provozovatelům platebních a zúčtovacích systémů, poskytovatelům zabezpečení platební brány, finanční instituci zajišťující vedení účtů a provedení transakcí. Naši partneři se nacházejí konkrétně v Německu, Velké Británii a Izraeli. Izrael je zemí, která podle rozhodnutí Evropské komise zaručuje odpovídající ochranu osobních údajů. Další příjemce osobních údajů naleznete dále v tomto dokumentu. 6. Příjemci údajů Ne všechny činnosti v rámci služby Direct finance a služby Wirecard si zajišťujeme sami, využíváme i třetích stran. Tyto subjekty například poskytují doplňkové služby k produktům a službám společnosti Direct finance či Wirecard nebo se podílejí na poskytování našich služeb. Kategorie příjemců: Poskytovatelé služeb souvisejících s platebními službami vydavatelé platebních karet, provozovatelé platebních a zúčtovacích systémů, poskytovatelé zabezpečení platební brány, finanční instituce zajišťující vedení účtů a provedení transakcí Poskytovatelé servisních a asistenčních služeb (např. blokace karet apod.) IT poskytovatelé cloudové služby pro ukládání dat, vývojáři a správci mobilních a webových aplikací, poskytovatelé doplňkových nástrojů pro administrativu, analýzy dat, komunikaci a provoz Poskytovatelé doplňkových služeb, které nabízíme např. pojištění prostřednictvím Direct pojišťovny, a.s. V případě, kdy by se u nás něco měnilo a převáděli jsme naši obchodní nebo jinou činnost jako celek nebo i její část na jinou osobu, pak by součástí takového převodu byly i osobní údaje, které se této činnosti týkají. Stejně by to bylo i v případě, že bychom byli v souladu s právními předpisy nuceni takové změny udělat. 7. Doba uchování osobních údajů Doba uchování a archivace osobních údajů je závislá na několika faktorech, které se uplatní podle konkrétní situace, ve které jsou osobní údaje zpracovávány. Nejčastěji se osobní údaje zpracovávají po dobu trvání a plnění smluvních nebo i mimosmluvních závazků (pro zjednodušení dále jen smlouva). Po skončení Rámcové smlouvy se osobní údaje dále zpracovávají z důvodu ochrany našich nebo vašich práv a zájmů (příp. zájmů třetích osob), a to po dobu nezbytně nutnou k jejich zajištění nebo výkonu. Tato doba je primárně určená podle (objektivních) promlčecích lhůt stanovených zákonem (občanský zákoník) nebo smlouvou. Lhůty se mohou lišit podle druhu závazku nebo práva, kterého se údaje týkají. V případě některých dokumentů jsme povinni údaje, které jsou v nich obsažené, uchovávat ve lhůtách stanovených podle obecně závazných právních předpisů (zejm. v oblasti účetnictví, daní, pracovněprávní nebo archivnictví podle zvláštního zákona). Naše činnost rovněž podléhá speciální sektorové regulaci, která nám ukládá uchovávat dokumenty týkající se poskytování platebních služeb minimálně po dobu 5 let a dokumenty týkající se identifikace osob pro účely boje proti praní špinavých peněz a financování terorismu po dobu až 10 let. Direct finance má nastavené lhůty pro uchování dokumentů a údajů ve svých interních předpisech. Zapsaná v obchodním rejstříku vedeném Městským soudem v Praze oddíl B, vložka 18762 5
Pokud jsou některé údaje potřebné z více důvodů, uplatňujeme dobu uchování pro účel, který zanikne jako poslední. V případě udělení souhlasu probíhá zpracování do odvolání souhlasu, není-li přímo u souhlasu uvedeno jinak. Souhlas můžete kdykoli odvolat a tím zpracování ukončit. 8. Co když se něco změní? Aktuální znění tohoto dokumentu naleznete vždy na webu společnosti: www.directfinance.cz/osobni-udaje. Pokud by došlo k zásadní změně zpracování osobních údajů, budeme vás o tom informovat zejména prostřednictvím Direct aplikace. Zapsaná v obchodním rejstříku vedeném Městským soudem v Praze oddíl B, vložka 18762 6