Informace o zpracování a ochraně osobních údajů pro klienty

INFORMACE O ZPRACOVÁNÍ A OCHRANĚ OSOBNÍCH ÚDAJŮ

Účelem tohoto dokumentu je informovat fyzické osoby (fyzické osoby v postavení klienta a ostatní fyzické osoby s klienty spojené (např. disponent, člen statutárního orgánu, zmocněnec, ručitel apod.), (dále společně jen „Klient“) o zpracování jejich osobních údajů, zejména pro jaký účel jsou jejich osobní údaje zpracovávány, komu mohou být osobní údaje zpřístupněny, jaké jsou lhůty pro jejich uchovávání, jaká jsou práva Klienta v souvislosti se zpracováním osobních údajů a dále o existenci profilování a automatizovaného rozhodování.

Správcem osobních údajů Klientů je TRINITY BANK a. s., se sídlem Celetná 969/40, Staré Město, 110 00 Praha 1, IČO: 253 07 835, zapsaná u Městského soudu v Praze, sp. zn. B 24055 (dále jen „TRINITY BANK“ nebo „Banka“).

Banka jmenovala pověřence pro ochranu osobních údajů, který dohlíží na řádné zpracování osobních údajů, na něhož se Klienti mohou kdykoli obrátit prostřednictvím e-mailové adresy DPO@trinitybank.cz nebo písemně na korespondenční adrese Banky.

Banka důsledně dbá na ochranu soukromí Klientů, jejichž osobní údaje zpracovává v souvislosti se svou činností. Osobní údaje Klientů zpracovává plně v souladu s obecně závaznými právními předpisy a činí vše pro to, aby osobní údaje byly dostatečně zabezpečeny a chráněny před zneužitím.

Tento dokument je dostupný na internetových stránkách Banky (www.trinitybank.cz) a na každé pobočce a v sídle Banky. Specifické smluvní dokumenty mohou v závislosti na povaze konkrétní finanční služby blíže specifikovat způsob a rozsah zpracování osobních údajů.

 

KATEGORIE ZPRACOVÁVANÝCH OSOBNÍCH ÚDAJŮ

1. Identifikační údaje (jméno a příjmení, rodné příjmení, adresa trvalého nebo jiného pobytu, rodné číslo, je-li přiděleno, datum narození, místo narození, pohlaví, státní příslušnost, druh a číslo průkazu totožnosti, stát, případně orgán který jej vydal, a dobu jeho platnosti, rodinný stav, podpis, a jde-li o fyzickou osobu, která je podnikatelem, tak i IČO, adresu místa podnikání, předmět podnikání, označení úředního rejstříku nebo jiné úřední evidence, ve které je zapsán, a číslo zápisu do tohoto rejstříku nebo evidence);
2. Autentifikační údaje (údaje přidělené Klientovi nebo dohodnuté s Klientem, na základě kterých je oprávněn provádět transakce vzdáleným způsobem bez osobní přítomnosti prostřednictvím kanálů internetového bankovnictví a mobilní aplikace);
3. Kontaktní údaje (kontaktní telefonní číslo, adresa elektronické pošty, kontaktní adresa nebo identifikátor datové schránky);
4. Údaje na dokumentech a dokladech (včetně dokladů totožnosti a jejich fotokopií);
5. Ekonomické a sociodemografické údaje (údaje potřebné k posouzení schopnosti Klienta splnit si závazky z obchodu nebo k určení přiměřenosti nebo vhodnosti požadovaného produktu, např. údaje o příjmech, majetku, počtu vyživovaných osob, závazcích, zabezpečení obchodu, zaměstnání, o dosaženém vzdělání, o znalostech, zkušenostech, cílech a preferencí v oblasti investic, transakční historie, údaje týkající se režimu FATCA, CRS a PEP, apod.);
6. Údaje o vazbách dotyčné osoby na jiné subjekty (údaje o osobách oprávněných jednat za Klienta, o konečných uživatelích výhod, o zvláštním vztahu k Bance nebo Skupině Banky);
7. Smluvní údaje, transakční údaje (a údaje o produktech a službách) (údaje generované během životního cyklu smlouvy, včetně údajů o neplnění závazků);
8. Fotografie (např. fotografie pořízené během identifikace a/nebo autentifikace na dálku, kopie pořízené z identifikačních dokumentů Klienta s podobenkou);
9. Údaje pro prevenci zneužití platebních prostředků (IP adresa, typ a model zařízení, jazyk, časové pásmo, čas a místo připojení, údaje o používaném prohlížeči, operační systém, informace o aplikacích, verze operačního systému, aktivace zámku telefonu, údaje získané prostřednictvím Cookies, údaje o čase a GPS koordinátory použití platebních prostředků (apod.);
10. Biometrické údaje (tzv. behaviorální charakteristiky Vašeho podpisu ve formě dynamického biometrického podpisu, pokud podepisujete právní úkon elektronickými prostředky na pobočce banky, jakými jsou rychlost, tlak a sklon podpisového pera nebo behaviorální charakteristiky způsobu psaní na klávesnici PC nebo mobilního zařízení);
11. Údaje o využívání našich internetových stránek (cookies, data získaná při instalaci našich aplikací);
12. Kamerové záznamy bez zvukové stopy (zejména z prostor, ve kterých pracovníci uskutečňují styk s Klienty a současně manipulují s peněžní hotovostí, okolí poboček Banky a bankomatů);
13. Zvukové záznamy a záznamy další komunikace (v případě hovorů na kontaktní centrum Banky nebo na linky vybraných pracovníků, interakce prostřednictvím mailové komunikace nebo komunikace jinými kanály);
14. Záznamy tvořící auditní stopu (logy uživatelské aktivity) (osobní údaje sloužící k možnosti zpětné rekonstrukce aktivity Klientů a Pracovníků Banky, např. používání mobilní bankovní aplikace, internetového bankovnictví, aktivita administrátorů (v tomto případě s nimi související osobní údaje, např. identifikace účtu, jméno Pracovníka apod.).

 

ÚČELY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Zpracování osobních údajů bez souhlasu Klienta

Osobní údaje, které o Klientech sbíráme, a účely jejich zpracování se mohou lišit, a to v závislosti na povaze poskytované finanční služby. Banka bez souhlasu zpracovává osobní údaje zejména pro následující účely a na základě následujících právních základů:

 

1. Plnění smluvních povinností a za účelem jednání směřujícího k uzavření smlouvy

a)       Zpracování osobních údajů pro plnění povinností plynoucích ze smluv uzavřených mezi Bankou a Klientem, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost Klienta;

b)       Poskytnutí osobních údajů ve stanoveném rozsahu je povinné, v případě neposkytnutí osobních údajů nemůže dojít k uzavření smlouvy, a tedy k poskytnutí finanční služby.

Naplnění účelu plnění smluvních povinností je zpravidla spojené s potřebou vykonat veliké množství zpracovatelských činností a operací jakými jsou například:

• identifikace Klienta před vykonáním obchodu nebo jiného smluvního vztahu;
• příprava smluvního vztahu na žádost Klienta a uzavírání a vykonávání obchodů mezi Bankou a jejími Klienty a samotný výkon obchodů nebo služeb;
• realizace tuzemského a zahraničního platebního styku;
• výroba, správa a personalizace platebních karet;
• kontrola zúčtování platebních transakcí;
• zasílání servisních zpráv;
• kontrola smluvních vztahů a z nich plynoucí povinnosti mezi Klientem, smluvním partnerem a Bankou;
• poštovní, elektronická, telefonická či osobní komunikace s Klientem Banky, která se týká konkrétního smluvního vztahu či obchodu;
• poskytování služeb internetového bankovnictví;
• vyřizování reklamací a stížností;
• poskytování zákaznické a technické podpory.

Pro účely plnění smluvních povinností a za účelem jednání směřujícího k uzavření smlouvy můžeme zejména zpracovávat identifikační údaje, biometrické údaje, autentifikační údaje, kontaktní údaje, údaje na dokumentech a dokladech, údaje o vazbách na jiné subjekty, smluvní údaje, transakční údaje, zvukové záznamy a záznamy další komunikace.

 

1. Plnění zákonných povinností

a)       Zpracování osobních údajů pro plnění právních povinností:

i         které se na Banku vztahují zejména na základě zákona č. 21/1992 Sb., o bankách, ve znění pozdějších předpisů;

ii        které se na Banku vztahují zejména na základě zákona č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu, ve znění pozdějších předpisů (dále jen „AML zákon“), přičemž charakter těchto údajů se může měnit v závislosti na typu Klienta, obchodního vztahu, produktu nebo obchodu;

iii       které se na Banku vztahují zejména na základě zákona č. 250/2017 Sb., o elektronické identifikaci, ve znění pozdějších předpisů;

iv       které se na Banku vztahují zejména na základě zákona č. 370/2017 Sb., o platebním styku, ve znění pozdějších předpisů;

v        které se na Banku vztahují v rozsahu potřebném k vyhodnocení, zda Klient spadá pod režim FATCA, a plnění povinností plynoucích z CRS;

vi       které se na Banku vztahují v souvislosti s poskytováním investičních služeb (například na základě zákona č. 256/2004 Sb., o podnikání na kapitálovém trhu, ve znění pozdějších předpisů);

vii      které se na Banku vztahují zejména na základě zákona č. 171/2023 Sb., ochraně oznamovatelů, ve znění pozdějších předpisů;

viii     které se na Banku vztahují dle dalších právních předpisů (například se může jednat o zpracovávání osobních údajů z registrů a databází evidujících bonitu a schopnost Klienta dostát svým závazkům).

 

b)       Poskytnutí osobních údajů ve stanoveném rozsahu je povinné, v případě neposkytnutí osobních údajů nemůže dojít k uzavření smlouvy, a tedy k poskytnutí finanční služby.

Výše uvedené právní předpisy stanovují množinu souvisejících účelů a činností, pro které se osobní údaje zpracovávají, zejména:

• zjišťování, prověření a kontrola osobních údajů sloužících k identifikaci Klientů a osob s nimi spojených;
• posouzení rizik spojených se zamýšleným obchodem mezi Klientem a Bankou;
• plnění povinností v oblasti ochrany proti legalizaci příjmů z trestné činnosti a ochrany před financováním terorismu;
• uzavírání a vykonávání obchodů s Klienty;
• ochrana Banky;
• zdokumentování činnosti Banky;
• výkon dohledu nad Bankou a nad její činností;
• plnění povinnosti uložených Bance právním řádem.

 

Pro účely plnění zákonných povinností můžeme zejména zpracovávat identifikační údaje, autentifikační údaje, kontaktní údaje, údaje na dokumentech a dokladech, ekonomické a sociodemografické údaje, údaje o vazbách na jiné subjekty, smluvní údaje, transakční údaje, fotografie, údaje pro prevenci zneužití platebních prostředků, zvukové záznamy a záznamy další komunikace a záznamy tvořící auditní stopu.

 

1. Určení, výkon nebo obhajoba právních nároků Banky

Zpracování osobních údajů pro určení, výkon nebo obhajobu právních nároků v rozsahu nezbytném pro účely oprávněných zájmů Banky. Na všechny zpracování osobních údajů prováděné v oprávněném zájmu Banky má Banka vypracovány tzv. balanční testy, které poměřují přínos zpracování pro Banku a míru zásahu zpracování do soukromí subjektů údajů. Zpracování osobních údajů pro účely oprávněných zájmů Banky je zahájeno pouze pokud nemá na Klienty jako subjekty údajů žádný negativní dopad.

Pro účely určení, výkon nebo obhajobu právních nároků Banky můžeme zejména zpracovávat identifikační údaje, autentifikační údaje, kontaktní údaje, údaje na dokumentech a dokladech, ekonomické a sociodemografické údaje, údaje o vazbách na jiné subjekty, smluvní údaje, transakční údaje, fotografie, údaje pro prevenci zneužití platebních prostředků, kamerové záznamy bez zvukové stopy zvukové záznamy a záznamy další komunikace a záznamy tvořící auditní stopu.

 

Zpracování osobních údajů se souhlasem Klienta

Mimo zpracování osobních údajů, které Banka provádí jako svou zákonnou povinnost, plnění smlouvy a oprávněný zájem, může Banka zpracovávat osobní údaje Klientů na základě uděleného souhlasu.

Na základě souhlasu se zpracováním a sdílením údajů ve skupině Banky v rámci marketingových činností zasíláme obchodní sdělení týkající se produktů a služeb Banky a členů naší skupiny, případně i našich obchodních partnerů, pokud nám to dovolíte, a to různými formami, včetně využití listinné korespondence, telefonu, SMS, e-mailu, internetu, klientských portálů, mobilních aplikací a sociálních sítí.

Zpracováním za účelem marketingu rozumíme poznání preferencí a nabídky produktů pro konkrétního adresáta. Pro tento účel využíváme seskupování a hodnocení základních údajů, údajů o produktech a službách a profilových údajů, včetně profilování, a to i automatickými prostředky. Na základě výsledků analýz umíme nalézt nejvhodnější produkty. Tyto činnosti mají napomoci tomu, abychom neobtěžovali s nerelevantními nabídkami, ale naopak oslovovali klienty s nabídkami, které jsou pro ně co možná nejzajímavější. V rámci marketingových činností zpracováváme také osobní údaje při konkrétních akcích, za účelem získání odměny, a to například za zřízení či používání konkrétního produktu či služby.

Souhlas je zcela dobrovolný a může být kdykoli odvolán, a to i v jeho jednotlivých částech, například prostřednictvím bezplatné infolinky 800 678 678, e-mailem na adrese DPO@trinitybank.cz, osobně na pobočkách, sdělením prostřednictvím jakékoliv aplikace, kterou jsou poskytované služby Internetového bankovnictví, nebo písemně na korespondenční adrese Banky. Odvoláním souhlasu není dotčena zákonnost zpracování osobních údajů provedeného před odvoláním.

 

ZDROJE OSOBNÍCH ÚDAJŮ

Osobní údaje Klientů může Banka pro výše uvedené účely získávat (kromě údajů získaných od Klientů, což čítá i údaje získané se souhlasem či údaje, ke kterým byl Bance zřízen přístup) i z veřejných rejstříků i dalších rejstříků a databází, např. Základní registry, Obchodní rejstřík, Živnostenský rejstřík, Centrální evidence exekucí, Centrální registr dlužníků, Insolvenční rejstřík, OFAC, Databáze neplatných dokladů – Ministerstvo vnitra ČR, Bankovní identita.

 

DOBA UCHOVÁVÁNÍ OSOBNÍCH ÚDAJŮ

Osobní údaje Banka zpracovává po dobu nezbytnou pro účely, pro které jsou zpracovávány, tedy v závislosti na účelu zpracování zejména:

a)                po dobu trvání smluvního vztahu a dále po dobu, která je stanovena v příslušných právních předpisech (zejména v AML zákoně, který stanoví, které osobní údaje je nutné uchovávat po dobu 10 let po ukončení obchodu nebo obchodního vztahu);

b)                po dobu stanovenou pro obecné promlčecí lhůty podle platných právních předpisů (tato doba může být prodloužena s ohledem na nezbytnost zpracování pro určení, výkon nebo obhajobu právních nároků);

c)                 po dobu, pro kterou byl udělen souhlas, případně do odvolání souhlasu, byl-li souhlas odvolán před uplynutím této doby;

d)                po dobu, která je nevyhnutelná k určení, výkonu nebo obhajobě právních nároků Banky;

e)                po dobu 30 dnů v případě kamerového záznamu bez zvukové stopy.

PŘÍJEMCI OSOBNÍCH ÚDAJŮ

Osobní údaje mohou být zpřístupněny nebo poskytnuty následujícím kategoriím příjemců, avšak za předpokladu dodržení všech povinností vyžadovaných právním řádem:

a)                orgánům veřejné moci, např. soudům, orgánům činným v trestním řízení, správcům daně, soudním exekutorům, orgánu dohledu, základním registrům, dalším poskytovatelům platebních služeb apod., a to buď za účelem plnění právní povinnosti, na vyžádání, nebo z vlastního rozhodnutí Banky (např. v případě, že má podezření na spáchání trestného činu nebo přestupku), avšak vždy pouze v rozsahu a v souladu s obecně závaznými právními předpisy;

b)                osobám, které se na základě smlouvy podílejí na předmětu činnosti Banky, které jsou pověřeny k plnění smluvních a zákonných povinností Banky, přičemž tyto jsou vždy zavázány zákonnou nebo smluvní povinností mlčenlivosti min. v rozsahu, v jakém je zavázána Banka (např. auditoři, advokáti, externí daňoví poradci), to vše za výše uvedenými účely zpracování osobních údajů;

c)                 dalším správcům, kteří se na základě smlouvy podílejí na předmětu činnosti Banky, přičemž jsou vždy zavázáni zákonnou nebo smluvní povinností mlčenlivosti minimálně v rozsahu, v jakém je zavázána Banka, to vše pro výše uvedené účely zpracování osobních údajů;

d)                při sdílení tzv. AML identifikace členům skupiny Banky, tedy společnostem SAB o.c.p., a.s. registrovaná u Městského soudu Bratislava III, vložka 3722/B, se sídlem Gajova 2513/4 Bratislava - mestská časť Staré Mesto 811 09, IČ: 35 960 990, jednající prostřednictvím SAB o.c.p., a.s. - odštěpný závod, registrovaná u Městského soudu v Praze, oddíl A, vložka 79269, se sídlem Na příkopě 969/33, Staré Město, 110 00 Praha 1, IČO: 084 52 962, dále společnosti SAB Finance a.s., registrovanou u Městského soudu v Praze, oddíl B, vložka 16383, se sídlem Na příkopě 969/33, Staré Město, 110 00 Praha 1, IČO: 247 17 44 a dále společnosti TRINITY Banking Group a.s., registrovanou u Městského soudu v Praze, oddíl B, vložka 20342, se sídlem Na příkopě 969/33, Staré Město, 110 00 Praha 1, IČO: 036 71 518, a to za účelem plněním právních povinností dle zákona č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu (AML zákon), a to na základě čl. 6 odst. 1 písm. c) Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údaj) (dále jen „GDPR“), a dále na základě oprávněného zájmu těchto spřízněných společností ve smyslu čl. 6 odst. 1 písm. f) GDPR disponovat řádnou identifikací klientů ve smyslu AML zákona;

e)                postupníkům v souvislosti s uzavíráním smluv o postoupení pohledávky Banky za Klientem;

f)                 dalším osobám, pokud k tomu Klient udělil souhlas (například se bude jednat o případ Bankovní identity, která slouží k elektronickému ověření totožnosti Klienta u některých portálů veřejné správy a zapojených subjektů;

g)                 dalším členům skupiny Banky (seznam členů skupiny Banky viz výše v bodě d)), pokud k tomu Klient udělil souhlas. V rámci skupiny Banky si předáváme osobní údaje, které používáme především za účelem vnitřní správy a reportingu Dále může předávání údajů usnadnit například i uzavírání smlouvy a řešení záležitostí týkajících se produktů Klientů napříč celou skupinou. Údaje také předáváme z důvodu dodržování naší povinnosti jednat obezřetně a za účelem kontroly a prevence podvodného jednání.

 

V rámci BRKI („Bankovní registr klientských informací“) jsou zpracovávány informace, které si banky vzájemně poskytují o smluvních (úvěrových) vztazích mezi nimi a jejich klienty a které jednotlivě nebo ve svém souhrnu vypovídají o bonitě, úvěruschopnosti a důvěryhodnosti klientů bank.

Tyto údaje mohou být rovněž poskytnuty uživatelům Nebankovního registru klientských informací („NRKI“), který provozuje společnost CNCB – Czech Non-Banking Credit Bureau, a. s., v rámci vzájemného informování uživatelů BRKI a NRKI o bonitě, důvěryhodnosti a platební morálce, resp. úvěruschopnosti klientů, a umožnění (a to i opakovaného) posuzování bonity, důvěryhodnosti a platební morálky, resp. úvěruschopnosti, v souvislosti se smluvními vztahy mezi Vámi a uživateli NRKI.

Právním základem pro zpracování informací (osobních údajů) v rámci vzájemného informování uživatelů BRKI a  NRKI o  bonitě, důvěryhodnosti a  platební morálce, resp. úvěruschopnosti klientů je (a) plnění právních povinností bank a  věřitelských subjektů v  případě, kdy je fyzické osobě poskytován spotřebitelský úvěr, (b) plnění právních povinností bank a  oprávněných zájmů věřitelských subjektů v případě, kdy je fyzické osobě poskytován jiný než spotřebitelský úvěr a (c) souhlas se zpracováním osobních údajů v  případě osob zastupujících klienty či vlastníky klientů a  ve vztahu k  NRKI vždy v případě, kdy je zpracováváno rodné číslo fyzické osoby.

Veškeré informace týkající se BRKI, účasti bank na BRKI, zpracování osobních údajů klientů bank v BRKI, vzájemného informovaní uživatelů BRKI a NRKI, jakož i poučení o všech právech klientů bank v souvislosti s BRKI či vzájemným informováním uživatelů BRKI a NRKI, jsou uvedeny v Informačním Memorandu Bankovního registru klientských informací (včetně základních informací o vzájemné výměně informací s Nebankovním registrem klientských informací).

 

PRÁVA SOUVISEJÍCÍ SE ZPRACOVÁNÍM OSOBNÍCH ÚDAJŮ

Klient může vůči Bance uplatnit:

• Právo na přístup - požadavek na sdělení informací, které osobní údaje jsou o Klientovi zpracovávány.
• Právo na výmaz - požadavek na výmaz osobních údajů, pokud nejsou potřebné pro účel, pro který byly zpracovávány, pokud byl odvolán souhlas s jejich zpracováním, byly zpracovány protiprávně, musí být vymazány ke splnění právní povinnosti.
• Právo na opravu - požadavek na opravu nebo doplnění osobních údajů v případě, že osobní údaje, které o Klientovi vedeme, jsou nepřesné či neúplné.
• Právo na omezení zpracování - požadavek na omezení zpracování, pokud Klient popírá přesnost osobních údajů, nebo považuje jejich zpracování za protiprávní, nebo vznesl námitku proti zpracování, přičemž není zřejmé, zda oprávněný zájem Banky převažuje nad oprávněnými zájmy Klienta. V případech, kdy bylo zpracování omezeno, mohou být osobní údaje zpracovávány pouze se souhlasem, nebo z důvodu určení, výkonu nebo obhajoby právních nároků, z důvodu ochrany práv jiné fyzické nebo právnické osoby nebo z důvodů důležitého veřejného zájmu.
• Právo na přenositelnost osobních údajů - požadavek na poskytnutí osobních údajů k jejich přenosu k jinému správci.
• Další práva:
• námitku vůči zpracovávaní osobních údajů, které Banka zpracovává na právním základě ochrany oprávněných zájmů, včetně profilování a přímého marketingu;
• žádat, aby se na Klienta nevztahovalo automatizované rozhodování;
• odvolat již udělený souhlas se zpracováním osobních údajů.

 

Uvedená práva může Klient uplatnit osobně na kterékoliv pobočce Banky, sdělením prostřednictvím jakékoli kanálu, kterým jsou poskytované služby Internetového bankovnictví, písemně na korespondenční adrese: TRINITY BANK a. s., se sídlem Celetná 969/40, Staré Město, 110 00 Praha 1, IČO: 253 07 835, nebo telefonicky prostřednictvím bezplatné infolinky: 800 678 678.

Banka odpoví na žádost Klienta bez zbytečného odkladu, nejpozději však do jednoho měsíce. V případě potřeby může Banka tuto lhůtu prodloužit o další dva měsíce, o čemž Klienta v případě využití tohoto práva informuje.

Klient se v případě porušení povinností Banky v souvislosti se zpracováním osobních údajů může rovněž obrátit se stížností přímo na Úřad pro ochranu osobních údajů, se sídlem Pplk. Sochora 727/27, 170 00 Praha 7 (www.uoou.cz).

 

PREVENCE ZNEUŽITÍ PLATEBNÍCH PROSTŘEDKŮ A OCHRANA PŘED MALWAREM

Na základě požadavku vyplývajícího z nařízení Komise 2018/3891, Banka zavedla opatření ke sledování transakcí, které umožňují odhalit podvodná jednání směřovaná vůči Klientům, včetně napadení zařízení Klienta malwarem, která jsou i součástí opatření proti legalizaci výnosů z trestné činnosti a financování terorismu.

Při užívání platebních prostředků může Banka automatizovaně zpracovávat kategorie osobních údajů jakými jsou identifikační údaje, autentifikační údaje, ekonomické údaje, transakční údaje, údaje o používání zařízení, kterým Klient přistupuje do internetového či mobilního bankovnictví, případně další údaje sloužící prevenci zneužití platebních prostředků a dalších podvodů.

V případech, kdy nastane situace, že platební prostředek je použit způsobem, který se může jevit jako nestandardní, může být taková transakce automatizovaně vyhodnocena za rizikovou spolu s následnou blokací platebního prostředku, a to s cílem předcházení podvodům a potenciálním škodám.

V rámci prevence podvodů, včetně ochrany před malwarem zajišťuje Banka nepřetržitou ochranu bankovní aplikace před neautorizovaným přístupem a monitoruje známky nestandardního chování, sekvence rizikových úkonů či napadení malwarem. Za tímto účelem zpracovává Banka i údaje o Klientově zařízení (zejm. IP adresa, typ a model zařízení, jazyk, časové pásmo, operační systém, informace o aplikacích, verze operačního systému, aktivace zámku telefonu, geolokační údaje) a údaje o Klientově obvyklém způsobu užívání tohoto zařízení. Následně Banka zpracovává i další informace získané v rámci prošetřování konkrétních podezření na podvod nebo při vyřizování uplatněné reklamace.

 

ZASÍLÁNÍ OBCHODNÍCH SDĚLENÍ (přímý marketing)

Banka za účelem podpory prodeje svých produktů a služeb může bez souhlasu Klienta zpracovávat jeho osobní údaje, a to formou přímého marketingu. Toto zpracování je založeno na oprávněném zájmu Banky. Klient má právo vznést proti zpracování osobních údajů pro tento účel kdykoli námitku, a to prostřednictvím komunikačních kanálů, které jsou uvedeny v tomto dokumentu. V případě vznesení námitky pak Banka zpracování osobních údajů Klienta za tímto účelem zastaví.

Pro účely zasílání obchodních sdělení pro účely přímého marketingu (bez souhlasu) můžeme zejména zpracovávat identifikační a kontaktní údaje.

 

POŘIZOVÁNÍ ZÁZNAMŮ TELEFONICKÝH HOVORŮ, UCHOVÁVÁNÍ E-MAILOVÉ ČI OBCHODNÍ KOMUNIKACE

Banka pořizuje záznamy telefonických hovorů, uchovává e-mailovou či obdobnou komunikaci, a to jednak z důvodu plnění smlouvou sjednaných povinností, ale i pro účely plnění právních povinností nebo pro účely určení, výkon nebo obhajobu právních nároků Banky.

V případech, kdy Banka plní právní povinnosti jí uložené, je poskytnutí osobních údajů v požadovaném rozsahu nezbytné a v případě jejich neposkytnutí, může být odepřeno poskytnutí finanční služby.

POŘIZOVÁNÍ FOTOGRAFII (záznamy podobizny)

Banka pořizuje fotografie Klientů (záznamy podobizny) prostřednictvím kamerového systému bez zvukové stopy nebo z jiných zdrojů, jakým je například doklad totožnosti, a to pro účely zákonných povinností a pro účely určení, výkon nebo obhajobu právních nároků Banky.

V případech, kdy Banka plní právní povinnosti jí uložené, je pořízení podobizny nezbytné a v případě jejího nepořízení, může být odepřeno poskytnutí finanční služby.

 

PROFILOVÁNÍ A AUTOMATIZOVANÉ ROZHODOVÁNÍ PŘI ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Banka může využívat v rámci svých procesů automatizované informační systémy a profilování, jejichž cílem je zajistit Klientovi kvalitní služby přizpůsobené na míru jeho potřebám. Uvedené procesy může Banka využívat zejména k vyhodnocení vhodnosti produktů a služeb na základě osobních údajů, z nichž bude Banka schopna odhadnout budoucí potřeby Klientů.

K automatickému profilování s právními účinky na subjekt údajů dochází vždy se souhlasem žadatele v rámci procesu k posuzování jeho úvěruschopnosti, a to zejména při výpočtu skóre, vyjadřujícího pravděpodobnost úvěrového selhání žadatele na základě statistické analýzy a vyhodnocení jeho individuálních charakteristik. Zdrojem dat jsou údaje o sociálně ekonomickém stavu žadatele, získané jak přímo od žadatele nebo na základě dotazů do klientských registrů – Bankovního registru klientských informací (BRKI), Nebankovního registru klientských informací (NRKI), SOLUS a Centrálního registru úvěrů, transakční historie na běžném účtu žadatele nebo z interních databází. Toto profilování je nezbytné k uzavření nebo plnění smlouvy mezi žadatelem o úvěr, jakožto subjektem údajů a bankou, jakožto správcem údajů. Dále využíváme službu TelcoScore.

Službu TelcoScore veřejně poskytuje společnost Společnost pro informační databáze, a.s. (dále jen „SID“), IČ 26118513 se sídlem Antala Staška 510/38, 140 00 Praha 4 – Krč, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 6169. Služba TelcoScore spočívá v poskytnutí informace o bonitě a důvěryhodnosti uživatelů služeb elektronických komunikací, tedy jedná se o vytvoření určité matice, která může indikovat platební morálku, a to z pohledu toho, jak jsou využívány služby elektronických komunikací (viz informace níže o tom, jaká data mohou být použita pro výpočet agregované informace). Operátorem se rozumí poskytovatel služeb elektronických komunikací, který zpracovává osobní údaje o svých zákaznících a uživatelích služeb elektronických komunikací či jiných služeb, včetně údajů vznikajících v rámci poskytování služeb elektronických komunikací. Operátoři poskytující informace o platební schopnosti jsou: T-Mobile Czech Republic a.s., IČ 64949681 se sídlem Tomíčkova 2144/1, 14800 Praha 4, O2 Czech Republic a.s., IČ 60193336 se sídlem Za Brumlovkou 266/2, 140 22 Praha 4, Vodafone Czech Republic a.s., IČO 25788001 se sídlem náměstí Junkových 2, 155 00 Praha 5 (dále společně jen „Operátoři“).

Vznést dotaz na bonitu a důvěryhodnost mohou pouze subjekty, které uzavřely se SID smlouvu o poskytování služby TelcoScore.

Banka je oprávněna získat od Operátorů informaci o bonitě a důvěryhodnosti (formou agregované informace) z údajů zpracovávaných Operátory pouze na základě uděleného souhlasu s předáním telefonního čísla a/nebo rodného čísla subjektu údajů Operátorům.

Způsob výpočtu agregované informace závisí na tom, zda jsou u Operátora využívány předplacené služby, za služby je spotřebitelem/subjektem údajů placeno zpětně (včetně rodinných tarifů) nebo jsou využívány služby pro podnikatele (včetně firemních čísel). Tento údaj - typ služby, doplňuje výslednou hodnotu TelcoScore.

Agregovaná informace vyjadřuje míru bonity a důvěryhodnosti a je pouze jedním z faktorů určujících, zda Banka uzavře smlouvu. Sama o sobě tato agregovaná informace není určující pro rozhodnutí o uzavření či neuzavření smlouvy s žadatelem o půjčku.

Pro výpočet agregované informace, kterou Banka od Operátora obdrží, mohou být použita následující data:

(a) data související s druhem a způsobem užití poskytovaných služeb (např. druh tarifu, jak často voláte),

(b) množství poskytovaných služeb (např. průměrně provolané minuty, počet SMS zpráv),            

(c) výše zakoupeného kreditu v případě předplacených služeb.

Koeficient může rovněž zohlednit údaje o výši plateb za paušální služby, platební morálce a případně informaci o délce prodlení a neuhrazené částce. Údaje využívané pro výpočet koeficientů jsou údaje zpracovávané Operátorem za posledních nejvýše 12 měsíců před dnem podání dotazu Banky Operátorům.

K automatizovanému zpracování, které zahrnuje rovněž profilování, které má pro klienta právní účinky nebo se ho obdobným způsobem významně dotýká, dochází rovněž z důvodu plnění právní povinnosti Banky a/nebo na základě oprávněného zájmu Banky při monitorování Klientů podle seznamů politicky exponovaných osob a sankčních seznamů podle zákona o AML a dále pro vyhodnocování transakcí za účelem řízení, prevence a odhalování neautorizovaných transakcí a podvodů. Mechanismy sledování transakcí jsou založeny na analýze platebních transakcí, zařízení využívaných uživatelem a vzorců jeho chování, přičemž se zohledňují prvky, jež jsou typické pro uživatele platebních služeb v případě běžného použití osobních bezpečnostních údajů, za účelem detekovat abnormální chování, indikující podvodné jednání a zneužití platebního prostředku neoprávněným uživatelem. Sledovací a analytické nástroje jsou optimálně nasazeny ve všech fázích provádění a vypořádání platebních transakcí, od přihlášení uživatele z určitého zařízení, přes zadávání osobních bezpečnostních prvků, až po realizaci transakce. Toto profilování je nezbytné pro plnění právní povinnosti banky podle zákona o platebním styku.

 

 

Při provádění opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu, Banka může zpracovávat kategorie osobní údaje jakými jsou identifikační údaje, autentifikační údaje, ekonomické údaje, transakční údaje nebo údaje pro prevenci podvodů, zejména směřujících k zneužití platebních prostředků. Pro účely l plnění povinností uložených Bance AML zákonem, Banka využívá mnohoúrovňového profilování Klientů. Řešení může být založeno na automatizovaném vyhodnocování veškerých interakcí získaných profilováním výše zmíněných faktorů proti množině klíčových ukazatelů. Výsledek takovéhoto vyhodnocení může vést například k neposkytnutí služby, neuzavření smlouvy, zablokování platebních prostředků a podobně.

 

V rámci systému CRM provádíme segmentaci subjektů údajů, a to za účelem efektivního řízení vztahů s Klienty. Osobní údaje jsou na základě předem stanovených kritérií (např. charakter využívaných služeb, frekvence komunikace či obchodní historie) rozdělovány do jednotlivých skupin. Tato segmentace umožňuje Bance poskytovat relevantní informace, přizpůsobovat nabídku a zlepšovat kvalitu poskytovaných služeb.

 

Závěrem si Vás dovolujeme upozornit na to, že tento dokument může být aktualizován.

 

V Praze dne 27. 4. 2026