S osobními údaji nakládáme výhradně v souladu s platnou legislativou. Přečtěte si prosím Zásady zpracování osobních údajů v České spořitelně, abyste zjistili, jakými principy se při zajišťování důvěrnosti a bezpečnosti vašich osobních údajů řídíme.
Co se o osobních údajích dozvíte?
- Jaké osobní údaje shromažďujeme,
- jak s nimi nakládáme,
- z jakých zdrojů je získáváme,
- k jakým účelům je využíváme,
- komu je smíme poskytnout,
- kde můžete získat informace o svých osobních údajích, které zpracováváme,
- a jaké jsou možnosti zabezpečení pro každého.
Zásady zpracování osobních údajů v České spořitelně představují obecně platný dokument, který se týká ochrany a zpracování osobních údajů fyzických osob (dále jen „subjektu údajů“). Specifikům, která se týkají osobních údajů uchazečů o zaměstnání, zaměstnanců České spořitelny a externích spolupracovníků České spořitelny se věnují samostatné zásady zpracování osobních údajů.
Důležité kontakty ochrany osobních údajů v rámci České spořitelny
Informace o správci osobních údajů:
Obchodní firma: Česká spořitelna, a.s.
IČO: 452 44 782
DIČ: CZ699001261
Sídlo: Praha 4, Olbrachtova 1929/62, PSČ 140 00
Informace o pověřenci pro ochranu osobních údajů:
Jiří Januška
E-mail: poverenec@csas.cz
Tel.: + 420 703 481 616 (v pracovních dnech 9:00–15:00)
bezplatná informační linka České spořitelny: 800 207 207 (v ostatních dnech a hodinách)
Sídlo: Praha 4, Olbrachtova 1929/62, PSČ 140 00
Účely zpracování vašich osobních údajů v České spořitelně a právní základ pro zpracování
Vaše osobní údaje zpracováváme v rozsahu, který je nezbytný pro poskytnutí dané služby, kterou si s námi sjednáváte. Rozdělujeme je do dvou skupin – osobní údaje, které můžeme zpracovávat bez vašeho souhlasu, a osobní údaje, které bez vašeho souhlasu zpracovávat nemůžeme.
Zpracování osobních údajů, ke kterému potřebujeme váš souhlas:
- marketingové činnosti,
- nefinanční služby našich partnerů,
- alternativní posouzení rizik,
- podpisová biometrie,
- hlasová biometrie,
- automatizované rozhodování,
- zdravotní omezení.
Detailnější informace ohledně udělených souhlasů se zpracováním vašich osobních údajů jsou vám k dispozici v textu dokumentu, který nám udělujete v rámci procesu sjednání služby a podpisu smlouvy.
Souhlas ke zpracování osobních údajů k určitému účelu je dobrovolný a můžete jej kdykoliv odvolat.
Zpracování osobních údajů, ke kterému váš souhlas nepotřebujeme:
- zjišťovat a zpracovávat osobní údaje včetně rodného čísla, pokud bylo přiděleno, potřebné k tomu, aby bylo možné bankovní obchod uskutečnit bez nepřiměřených právních a věcných rizik pro správce, obd. zjišťovat a zpracovávat osobní údaje např. statutárních zástupců právnických osob a skutečných majitelů, stejně tak zpracování video či fotografie obličeje “selfie checku” vámi pořízeného pro provedení povinnosti bezpečné identifikace fyzické osoby ve smyslu AML legislativy,
- plnění našich povinností, které vyplývají z jednání o uzavření a plnění uzavřených smluv,
- splnění našich povinností, které nám ukládají zvláštní právní předpisy včetně výjimky ze zákazu zpracování zvláštních kategorií osobních údajů (monitorování prostorů správce a jeho zařízení za užití kamer, nahrávání telefonních hovorů prostřednictvím klientských center a vybraných útvarů správce),
- splnění našich povinností, které nám ukládají zvláštní předpisy k platebnímu styku, pokud využíváte elektronické zařízení k online přístupu ke svému platebnímu účtu (např. seznam nainstalovaných aplikací, vaše souhlasy udělené používaným bankovním aplikacím nebo způsob používání elektronických zařízení),
- zajištění ochrany našich práv a právem chráněných zájmů (např. při uplatnění nároků u soudů, pojišťoven, vymáhání či prodej pohledávek, zlepšování produktů, služeb a aplikací, včetně vývoje nových), rozsah poskytnutých osobních údajů je omezen na osobní údaje, které jsou nezbytné pro úspěšné uplatnění nároku,
- splnění úkolu prováděného ve veřejném zájmu.
Pokud nám osobní údaje nutné pro některý z výše uvedených důvodů odmítnete sdělit, není možné vám poskytnout příslušný produkt, službu či jiné plnění, pro které osobní údaje potřebujeme.
Právní základ pro zpracování
Na tomto právním základě zpracováváme vaše osobní údaje (identifikační, kontaktní, údaje o bonitě a o využívání služeb), a to z důvodu dodržování zejména následujících zákonů:
- zákon č. 21/1992 Sb., o bankách (tento zákon stanoví podmínky výkonu činnosti banky a ukládá povinnost bankám vzájemně se informovat o skutečnostech týkajících se klientů, a to za účelem prevence a odhalování protiprávního jednání),
- zákon č. 256/2004 Sb., o podnikání na kapitálovém trhu (tento zákon stanoví podmínky poskytování investičních služeb obchodníkem s cennými papíry),
- zákon č. 634/1992 Sb., o ochraně spotřebitele (tento zákon upravuje úvěrové registry),
- zákon č. 257/2016 Sb., o spotřebitelském úvěru (tento zákon upravuje práva a povinnosti při poskytování a zprostředkování spotřebitelského úvěru),
- zákon č. 370/2017 Sb., o platebním styku (tento zákon upravuje činnosti subjektů, které jsou oprávněny poskytovat platební služby),
- nařízení Komise v přenesené pravomoci (EU) 2018/389, kterým se doplňuje směrnice Evropského parlamentu a Rady (EU) 2015/2366, pokud jde o regulační technické normy týkající se silného ověření klienta a společných a bezpečnostních otevřených standardů komunikace (toto ukládá nám povinnost ověřit, že subjekt údajů je oprávněným uživatelem osobních bezpečnostních údajů a zařízení, když využívá on-line přístup ke svému platebnímu účtu),
- zákon č. 164/2013 Sb., o mezinárodní spolupráci při správě daní (tento zákon ukládá povinnost vyměňovat si s jinými finančními institucemi informace o osobách, na které se v jiném státě vztahují daňové povinnosti),
- zákon č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu (tento zákon ukládá povinnost provádět identifikaci a kontrolu klientů)
- zákon č. 69/2006 Sb., o provádění mezinárodních sankcí (tento zákon ukládá povinnost prověřovat, že klient není subjektem mezinárodních sankcí)
- nařízení Evropského parlamentu a Rady (EU) č. 575/2013, o obezřetnostních požadavcích na úvěrové instituce a investiční podniky a o změně nařízení (EU) č. 648/2012
- nařízení Evropského parlamentu a Rady (EU) č. 596/2014, o zneužívání trhu.
Oprávněné zájmy České spořitelny pro zpracování vašich osobních údajů
V některých případech zpracováváme vaše osobní údaje, abychom zajistili ochranu práv a právem chráněných zájmů jak České spořitelny, tak celé Skupiny Banky a případně dalších třetích stran. Takové zpracování, můžeme provádět bez vašeho souhlasu. Avšak rozsah důvodů, které nás opravňují k tomuto typu zpracování, je omezen. Existenci oprávněného zájmu vždy pečlivě posuzujeme.
Příklady zpracování osobních údajů z titulu oprávněného zájmu:
- simulace produktů a služeb, abychom vám pomohli s výběrem nejvýhodnějšího produktu, zohlednili vaše reálné potřeby a nezahlcovali vás nadbytečnými nabídkami
- příprava smlouvy na vaši žádost – sběr a zpracování osobních údajů, které jsou potřebné a nezbytné pro návrh vaší smlouvy, stejně tak i uchování dokumentů vámi pořízených po nezbytně nutnou dobu (skeny dokumentů a fotografie obličeje „selfie check“) pro případ vaší reklamace, že produkt či služba není váš
- bezpečnost, z důvodu ochrany majetku banky, ochrany osob, včetně případného objasňování protiprávního jednání
- zpracování odborných studií, analýz či srovnatelných dokumentů dostupných veřejnosti s využitím velkého množství dat (souhrnné agregované statistické informace) bez možnosti identifikace a konkrétního dopadu na subjekt osobních údajů
- řízení vztahů se zákazníky, uchování údajů o vašich zkušenostech, dovednostech, o životním stylu (trávení volného času), o významných relevantních meznících vašeho života, zjišťování vaší spokojenosti, abychom vám poskytli veškeré služby, které souvisejí se správou produktu nebo vyřešili vaše požadavky, přání a stížnosti apod.
- zaslání informačních SMS, notifikací a potvrzení, které slouží k obsluze vašeho produktu
- reporting a vytváření analytických modelů na základě agregovaných a anonymizovaných osobních údajů a jejich sdílení s mateřskou společností (Erste Group Bank AG, Am Belvedere 1, A-1100 Vídeň, Rakouská republika)
- analýzy vašich profilových údajů a údajů o produktech a službách, včetně o způsobu jejich využívání za účelem
- nastavení vhodných parametrů vaší smlouvy,
- posouzení úvěrového a pojistného rizika,
- nabídky správného investičního produktu (např. investice do podílových listů),
- prevence a odhalování podvodného jednání, prevence nesouladu s legislativou,
- předcházení praní špinavých peněz, financování terorismu, embarga,
- plnění zákonných povinností banky vůči regulačním a státním orgánům,
- zpracování kamerových záznamů z důvodu eliminace protiprávního jednání a dodržení ochrany osob a majetku,
- testování změn softwaru,
- výzkumu a vývoje produktů/služeb a analýz vývoje trhu,
- zpracování analýz nad agregovanými (anonymizovanými) daty pro historické, statistické a vědecké účely.
Zdroj získání osobních údajů
Osobní údaje získáváme jak od vás (subjektů údajů), tak obdobně od třetích osob, které vaše zájmy zastupují (vámi zplnomocněné osoby, vaši zákonní zástupci). Dále je získáváme z příslušných registrů zřízených v souladu s platnými právními předpisy např. z živnostenského rejstříku a z justice.cz. Pro potřeby posouzení schopnosti a ochoty splácet úvěrové závazky zpracováváme údaje z úvěrových registrů - Bankovního registru klientských informací (BRKI), Nebankovního registru klientských informací (NRKI) a Centrálního registru úvěrů.
V některých případech při splnění našich povinností, které nám ukládají zvláštní právní předpisy, získáváme údaje také z neveřejných zdrojů od Finančně analytického úřadu, od Policie ČR a soudů ČR apod.
Kategorie osobních údajů, které zpracovává Česká Spořitelna
Identifikační údaje
Jméno, příjmení, titul, rodné číslo nebo datum narození, adresa trvalého pobytu, číslo průkazu totožnosti (občanského průkazu, číslo pasu nebo jiného obdobného dokumentu), podpis – u fyzické osoby podnikatele také daňové identifikační číslo a IČ. Jedná se tedy o všechny osobní údaje, díky kterým vás jednoznačně a nezaměnitelně identifikujeme.
Kontaktní údaje
Především kontaktní adresa, číslo telefonu, e-mailová adresa a další podobné informace. Jedná se o osobní údaje, díky kterým vás budeme moci kontaktovat.
Údaje o bonitě (schopnosti splácet) a důvěryhodnosti
Osobní údaje, které jsou pro Českou spořitelnu – s ohledem na její právní povinnost postupovat při výkonu své činnosti obezřetně – potřebné k tomu, aby mohla bankovní obchod uskutečnit bez nepřiměřených právních a věcných rizik. Charakter a rozsah těchto osobních údajů závisí na povaze uzavíraného bankovního obchodu nebo služby, která je poskytována.
Údaje o využívání služeb
Údaje o tom, které služby Česká spořitelny jste si sjednali a jak je využíváte (např. zůstatky na účtech, transakční údaje, záznamy telefonických hovorů, záznamy jiné komunikace). V případě využívání elektronických zařízení k online přístupu ke službám telefonního a internetového bankovnictví zpracováváme údaje pro potřeby analýzy transakčních rizik v reálném čase.
Zvláštní kategorie osobních údajů
Biometrický podpis – nahrazuje vlastnoruční podpis papírové smlouvy a provádí se elektronicky – speciálním perem na tablet. Hlasová biometrie – záznam hlasu a zpracování osobních údajů, které jsou spojené s biometrickými charakteristikami vašeho hlasu, abyste tak mohli prokázat svou totožnost v souvislosti s poskytováním finančních služeb. Všechny tyto osobní údaje chráníme proti zneužití a nikdo nepovolaný k nim nemá přístup.
Zvláštní kategorie osobních údajů
Údaje o zdravotním stavu jsou na straně České spořitelny zpracovávány pouze v rámci specifických produktů a služeb, a to vždy pouze s vaším souhlasem.
Bezpečné ověření uživatele
Zpracováváme osobní údaje (o historickém a aktuálním využívání elektronických zařízení) včetně způsobu používání, obd. nainstalovaných aplikací k online přístupu ke službám internetového a mobilního bankovnictví a použití bezpečnostních prvků v souladu s našimi obchodními podmínkami. Zpracování získaných údajů realizujeme s cílem eliminovat pokusy o použití osobních bezpečnostních údajů u zařízení, které byly ztraceny, odcizeny nebo zneužity, abychom provedli vlastní ověření klienta založené na znalosti (to, co ví pouze uživatel) a držení (to, co drží pouze uživatel). Plně si uvědomujeme naši povinnost chránit důvěrnost a integritu vašich osobních bezpečnostních prvků vás jako uživatelů platebních služeb.
Není vyloučeno, že při zpracování zadané transakce vyhodnotíme situace, které si vyžádají, abyste povolili přístup k údajům např. lokalizace zařízení, wifi, k níž je připojeno. Pokud přístup k potřebným údajům neobdržíme, nebudeme mít dostatek informací pro vyvrácení pochybnosti o možném malware či podvodu a transakci v souladu se zadanými pokyny nebudeme moci provést.
Příjemci a zpracovatelé osobních údajů
Osobní údaje, které jste nám poskytli, zpracováváme a uchováváme v rámci České spořitelny a Skupiny Banky. Pokud je zpracování osobních údajů založené na vašem souhlasu nebo oprávněných zájmech a účelech České spořitelny, které jsou uvedeny výše, mohou být vaše osobní údaje zpracovávány externími spolupracovníky České spořitelny a dodavateli. Subjekty, které s námi spolupracují, pečlivě vybíráme na základě záruk, kterými zabezpečí technickou a organizační ochranu námi předávaných osobních údajů. Zpracování osobních údajů mohou pro Českou spořitelnu provádět pouze zpracovatelé, a to výhradně na základě smlouvy o zpracování osobních údajů.
Česká spořitelna v tomto smyslu k oprávněným účelům může osobní údaje poskytnout těmto příjemcům:
- společnostem, které působí v rámci Skupiny Banky
- Česká spořitelna – penzijní společnost, a.s. (IČO: 61672033),
- Erste Leasing, a.s. (IČO: 16325460),
- Erste Grantika Advisory, a.s. (IČO: 25597001),
- Factoring České spořitelny, a.s. (IČO: 25629352),
- MOPET CZ a.s. (IČO: 24759023),
- REICO investiční společnost České spořitelny, a.s. (IČO: 27567117),
- Stavební spořitelna České spořitelny, a.s. (IČO: 60197609),
- s Autoleasing, a.s. (IČO: 27089444),
- Investičníweb s.r.o. (IČO: 25738607),
- Erste Asset Management GmbH, Am Belvedere 1, A-1100 Vídeň, Rakouská republika (FN 102018b),
- Erste Group Bank AG, Am Belvedere 1, A-1100 Vídeň, Rakouská republika (FN 33209m),
- bankám v rozsahu, který stanovuje zák. č. 21/1992 Sb., o bankách,
- externím spolupracovníkům České spořitelny a dodavatelům za účelem plnění smlouvy,
- marketingovým a výzkumným agenturám za účelem marketingového zpracování či šetření a pro nabídky obchodu, služeb a produktů členů Skupiny Banky a vybraných obchodních partnerů,
- burzám a zprostředkovatelům obchodu s cennými papíry,
- poskytovatelům platebních služeb a zpracovatelům úhrad za účelem zabezpečení odchozích a příchozích úhrad a realizace zahraničního platebního styku,
- poskytovatelům poštovních a komunikačních služeb a služeb elektronických komunikací,
- poskytovatelům karetních služeb za účelem výroby a správy karet,
- bankovním a nebankovním registrům, mobilním operátorům za účelem splnění povinnosti odpovědného poskytování úvěrů,
- inkasním agenturám a advokátním kancelářím za účelem vymáhání pohledávek ze smluv o úvěru,
- exekutorům a dražebníkům za účelem uplatnění souvisejících nároků,
- regulátorovi za účelem dozoru nad činností České spořitelny podle zvláštního zákona.
Předávání osobních údajů do třetích zemí
Zajištění některých produktů (platební karty) a realizace souvisejících služeb (platební styk), které vám nabízíme, vyžaduje, abychom předávali vaše osobní údaje ke zpracováním mimo Českou republiku. Také některé námi užívané technologie mají své základní servery mimo Českou republiku např. Adobe Systems Software Ireland Limited. Konkrétně se jedná o cloudové služby (úložiště údajů) příslušných dodavatelů.
V případě předávání osobních údajů do třetích zemí (mimo Evropský hospodářský systém) vždy využíváme instrumenty k zajištění dostatečné ochrany práv dotčených osob: standardní smluvní doložky (jejich znění najdete na stránkách Úřadu pro ochranu osobních údajů) a závazná podniková pravidla např. spol. MasterCard.
Doba, po kterou jsou vaše osobní údaje uloženy v České spořitelně
Vaše osobní údaje uchováváme pouze po nezbytně nutnou dobu a archivujeme dle zákonných lhůt, které nám ukládají právní předpisy např. ze zákona o bankách a zákona o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu. Tyto zákony stanoví lhůtu pro zpracování osobních údajů klientů minimálně 10 let od ukončení smluvního vztahu. Po delší dobu od ukončení smluvního vztahu zpracováváme osobní údaje klientů v případech, v nichž jsme např. uplatnili naše právo u soudu, orgánu Policie ČR.
Osobní údaje zpracováváme po dobu trvání smluvního vztahu či jiného právního titulu, který nám umožňuje vaše osobní údaje zpracovávat. To znamená, že máme nastavena přísná vnitřní pravidla, která prověřují zákonnost držení osobních údajů, a že údaje nedržíme déle, než jsme oprávněni. Po ztrátě zákonného důvodu provádíme výmaz příslušných osobních údajů.
Osobní údaje, které zpracováváme s vaším souhlasem, uchováváme pouze po dobu trvání účelu, k němuž byl souhlas udělen.
Vaše práva v souvislosti s ochranou osobních údajů
Vaše osobní údaje zpracováváme transparentně, korektně a v souladu s legislativními požadavky. Zároveň však máte právo se na nás kdykoli obrátit, abyste získali informace o procesu zpracování svých osobních údajů či za účelem uplatnění níže uvedených práv, která souvisejí s osobními údaji.
Právo na přístup k osobním údajům
Máte právo vyžádat si kopii svých osobních údajů, které o vás Česká spořitelna zpracovává.
Právo na opravu osobních údajů
Pokud se domníváte, že osobní údaje, které o vás vedeme, jsou nepřesné či neúplné, máte právo nás požádat o jejich aktualizaci či doplnění́
Právo na výmaz osobních údajů (právo být zapomenut)
Máte právo požadovat výmaz svých osobních údajů, pokud nejsou potřebné pro účel, pro který byly zpracovávány, pokud jste odvolal souhlas s jejich zpracováním, byly zpracovány protiprávně, musí být vymazány ke splnění právní povinnosti, nebo byly shromážděny v souvislosti s nabídkou služeb informační společnosti.
Právo na omezení zpracování osobních údajů
Máte právo požadovat omezení zpracování, pokud popíráte přesnost vašich osobních údajů, nebo je jejich zpracování protiprávní, ale odmítáte výmaz takových osobních údaj, nebo pokud nás požádáte, můžeme vaše vybrané osobní údaje zpracovávat i po té, co nejsou potřebné k účelu, pro který byly vámi České spořitelně poskytnuty (např. v souvislosti s uplatněním nároku u soudu, k němuž námi zpracovávané osobní údaje potřebujete), nebo jste vznesl námitku proti zpracování, přičemž není zřejmé, zda náš oprávněný zájem převažuje nad vašimi oprávněnými zájmy.
Právo na přenositelnost osobních údajů
V případě automatizovaného zpracování osobních údajů, které je založeno na uzavřené smlouvě nebo souhlasu, který jste nám udělili, máte právo na tzv. přenositelnost těchto údajů, které vám budou poskytnuty ve strukturovaném, běžně používaném a strojově čitelném formátu. Pokud požádáte o převedení účtu k jiné bance, budeme postupovat v souladu se zákonem č. 370/2017, Sb., o platebním styku.
Právo vznést námitku proti zpracování osobních údajů
Kdykoli můžete vznést námitku proti zpracování osobních údajů, včetně profilování, které zpracováváme z důvodu oprávněného zájmu. Stejně tak můžete vznést námitku proti zpracování v situaci, že vaše osobní údaje zpracováváme pro účely přímého marketingu. V takovém případě vaše osobní údaje již nadále nebudeme takto zpracovávat pro tento účel.
Právo odvolat souhlas se zpracováním osobních údajů
V případě, že jste nám poskytli souhlas se zpracováním osobním údajů pro účely, které vyžadují souhlas, máte právo kdykoli tento souhlas odvolat. Zpracování osobních údajů, ke kterému došlo před odvoláním souhlasu, je zákonné.
Automatizované individuální rozhodování, včetně profilování
Máte právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro Vás právní účinky nebo se Vás obdobným způsobem významně dotýká. Máte právo na lidský zásah ze strany správce, právo vyjádřit svůj názor a právo napadnout předmětné rozhodnutí.
Pro uplatnění svých práv se můžete obrátit na každé obchodní místo či využít elektronické komunikační kanály, které v komunikaci s Českou spořitelnou využíváte.
Na vaše žádosti, které se týkají uplatnění vašich práv, budeme reagovat bez zbytečného odkladu ve lhůtě do 30 dnů od obdržení žádosti. Lhůtu se však v případě potřeby možné prodloužit o další dva měsíce. O takovém prodloužení včetně důvodů, které nás k němu vedly, vás budeme vždy informovat. Komunikaci povedeme způsobem, který preferujete (e mail, dopis).
Právo podat stížnost u dozorového úřadu
Máte právo podat stížnost u dozorového úřadu (Úřad pro ochranu osobních údajů), pokud se domníváte, že při zpracování vašich osobních údajů došlo k porušení pravidel ochrany osobních údajů.
Úřad pro ochranu osobních údajů:
Pplk. Sochora 27
170 00 Praha 7
telefon: +420 234 665 111
Pokud máte jakýkoli dotaz, týkající se osobních údajů, můžete ho zaslat na e-mail poverenec@csas.cz, či se zeptat na tel. 703 481 616 (není určeno pro zaslání informačních SMS), v pracovní době od 9 do 15 hodin, v ostatních dnech a hodinách také na naší bezplatné infolince 800 207 207 nebo v kterékoli pobočce.