PRAVILNIK O ZASEBNOSTI
Varstvo osebnih podatkov naših uporabnikov je za nas izjemno pomembno. Ta pravilnik o zasebnosti opredeljuje namen in načine obdelave osebnih podatkov ter pojasnjuje, kako zbiramo, uporabljamo, obdelujemo in razkrivamo vaše podatke, vključno z osebnimi podatki v zvezi z vašim dostopom in uporabo mobilne aplikacije Flik Pay (v nadaljevanju: mobilna aplikacija, mobilna aplikacija Flik Pay) v skladu z določbami Uredbe (EU) 2016/697 o varstvu posameznikov pri obdelavi osebnih podatkov in o pretoku takih podatkov (v nadaljevanju: GDPR) in nacionalne zakonodaje (v nadaljevanju: ZVOP-1).
Ko ta pravilnik o zasebnosti omenja “mi”, “nas” ali “naš”, se nanaša na eno izmed spodnjih bank oziroma hranilnic uporabnika, ki je odgovorna za obdelavo vaših podatkov (“Upravljavec podatkov”):
- Addiko Bank d.d., s sedežem in registriranim naslovom na Dunajski cesti 117, 1000 Ljubljana. Za dodatne informacije v zvezi z zbiranjem, obdelavo in zaščito osebnih podatkov se obrnite na e-poštni naslov dpo.si@addiko.si ali telefonsko številko 01 580 40 00.
- BKS Bank AG, s sedežem in registriranim naslovom na Verovškovi ulici 55a, 1000 Ljubljana. Za dodatne informacije v zvezi z zbiranjem, obdelavo in zaščito osebnih podatkov se obrnite na e-poštni naslov info@bksbank.si ali telefonsko številko 01 589 57 18.
- DBS d.d., s sedežem in registriranim naslovom na Kolodvorski ulici 9, 1000 Ljubljana. Za dodatne informacije v zvezi z zbiranjem, obdelavo in zaščito osebnih podatkov se obrnite na e-poštni naslov info@dbs.si ali telefonsko številko 01 472 71 00.
- Gorenjska banka d.d., s sedežem in registriranim naslovom na Bleiweisovi cesti 1, 4000 Kranj. Za dodatne informacije v zvezi z zbiranjem, obdelavo in zaščito osebnih podatkov se obrnite na e-poštni naslov info@gbkr.si ali telefonsko številko 04 208 40 00.
- LON d.d., s sedežem in registriranim naslovom na Žanovi ulici 3, 4000 Kranj. Za dodatne informacije v zvezi z zbiranjem, obdelavo in zaščito osebnih podatkov se obrnite na e-poštni naslov info@lon.si ali telefonsko številko 04 280 07 77.
- Primorska hranilnica Vipava d.d., s sedežem in registriranim naslovom na Glavnem trgu 15, 5271 Vipava. Za dodatne informacije v zvezi z zbiranjem, obdelavo in zaščito osebnih podatkov se obrnite na e-poštni naslov info@phv.si ali telefonsko številko 05 366 45 00.
- UniCredit Banka Slovenija d.d., s sedežem in registriranim naslovom na Ameriški ulici 2, 1000 Ljubljana. Za dodatne informacije v zvezi z zbiranjem, obdelavo in zaščito osebnih podatkov se obrnite na e-poštni naslov dpo@unicreditgroup.si ali telefonsko številko 080 88 00.
Za informacije o pooblaščeni osebi za varstvo podatkov pri upravljalcu se prosim obrnite na upravljalca, na zgoraj navedene kontaktne podatke.
Kadar ta pravilnik omenja “vi”, “vaš” ali “vaš”, se nanaša na vas kot uporabnika naše storitve.
Za namene tega pravilnika o zasebnosti, storitev vključuje vse storitve, ki so povezane s pošiljanjem in prejemanjem takojšnjih plačil v skladu s pravili slovenske nacionalne sheme Flik ter Splošnimi pogoji uporabe mobilne aplikacije Flik Pay (v nadaljevanju: določila in pogoji).
S sprejemanjem določil in pogojev skupaj s tem pravilnikom o zasebnosti potrjujete, da ste seznanjeni s tem pravilnikom o zasebnosti. Osebne podatke, ki jih zbiramo, uporabljamo, obdelujemo in shranjujemo, uporabljamo le za zagotavljanje in izboljšanje storitve. Vaših osebnih podatkov ne bomo uporabljali, delili ali razkrivali tretjim osebam, razen kot je opisano v tej politiki o zasebnosti.
- Kaj je pravna podlaga za obdelavo podatkov?
Obdelava je potrebna:
- za izvajanje pogodbe (točka b 1. odstavka 6. člena GDPR), ki jo je sklenil posameznik, na katerega se nanašajo podatki (vi), in v skladu s katero je upravljavec podatkov dolžan zagotavljati storitve, kot so opredeljene v pravilih in pogojih,
- na podlagi vaše izrecne privolitve (točka a 1. odstavka 6. člena GDPR), kot opredeljeno v nadaljevanju tega Pravilnika o zasebnosti (npr. če izrazite soglasje za prejemanje potisnih sporočil),
- na podlagi zahtev veljavne zakonodaje, to je določil Zakona o plačilnih storitvah, storitvah izdajanja elektronskega denarja in plačilnih sistemih (v nadaljevanju: ZPlaSSIED) in Zakona o preprečevanju pranja denarja in financiranja terorizma (v nadaljevanju: ZPPDFT-1) (točka c 1. odstavka 6. člena GDPR).
- Katere podatke zbiramo in/ali obdelujemo?
I. Podatke o vas/vaši napravi:
- vrsta uporabnika (fizična oseba)
- ime in priimek,
- naslov: ulica in hišna številka, pošta in poštna številka,
- davčna številka,
- podatki o transakcijskem računu (IBAN in BIC),
- kontaktna številka za pošiljanje enkratnega gesla,
- informacije o kontaktnem podatku (aliasu): telefonska številka, elektronski poštni naslov,
- informacije o vaši mobilni napravi,
- potisni žeton,
- operacijski sistem in verzija,
- mobilna aplikacija ter njena različica,
- IP naslov,
- podatki o transakcijah.
II. Uporaba dovoljenj na vaši napravi
Mobilna aplikacija za pravilno delovanje nekaterih funkcionalnosti mobilne aplikacije potrebuje dostop do podatkov in komponent vaše naprave, kot je opisano v nadaljevanju.
Obvezna dovoljenja za uporabo mobilne aplikacije na napravah Android:
Pregled internetnih povezav, popoln dostop do omrežja, pregled brezžičnih povezav in sprejemanje podatkov z interneta
Mobilna aplikacija za delovanje potrebuje dostop do interneta.
Preprečevanje prehoda v stanje pripravljenosti
Mobilna aplikacija potrebuje to dovoljenje, da lahko prepreči napravi prehod v stanje pripravljenosti med izvajanjem postopka plačevanja.
Nadzor vibriranja
Mobilna aplikacija potrebuje to dovoljenje, da vam lahko pošlje povratne informacije.
Branje značkovnih obvestil
To dovoljenje je potrebno za branje in spreminjanje števila obvestil, ki jih sprejme mobilna aplikacija.
Nadziranje komunikacije kratkega dosega
Mobilna aplikacija potrebuje dostop do komunikacij z uporabo tehnologije NFC za namen komuniciranja s POS terminali.
Neobvezna dovoljenja za uporabo mobilne aplikacije na napravah Android:
Uporaba strojne opreme za prstne odtise in biometrične podatke
Če vaša naprava podpira prepoznavanje s pomočjo prstnih odtisov oziroma drugih biometričnih podatkov, mobilna aplikacija potrebuje to dovoljenje za avtentikacijo uporabnika.
Fotografiranje in snemanje videoposnetkov
Mobilna aplikacija potrebuje dostop do kamere za prepoznavo kode QR in s tem sproži plačilo.
Branje stikov, Spreminjanje stikov
Uporablja se za dostop do imenika na vašem telefonu za pridobitev kontaktnega podatka (aliasa) prejemnika, ki se nato prevede v podatke o računu prejemnika.
Iskanje računov na napravi
Mobilna aplikacija potrebuje dostop do računov za potrebe zagotavljanja združljivosti.
Neposredno klicanje telefonskih številk
Mobilna aplikacija potrebuje dostop do telefonskega klicanja za klic na kontaktno številko banke oziroma hranilnice uporabnika.
Spreminjanje in brisanje vsebin na vaši kartici SD in branje vsebin na vaši kartici SD
Mobilna aplikacija potrebuje ti dve dovoljenji za shranjevanje podatkov na vašo napravo.
Prekrivanje drugih aplikacij
Prekrivanje drugih aplikacij omogoča izvajanje NFC plačil izven mobilne aplikacije.
Obvezna dovoljenja za uporabo mobilne aplikacije na napravah iOS:
Branje značkovnih obvestil
To dovoljenje je potrebno za branje in spreminjanje števila obvestil, ki jih sprejme mobilna aplikacija.
Osveževanje aplikacije v ozadju
Uporablja se za osveževanje mobilne aplikacije med tem ko ta deluje v ozadju mobilne naprave.
Neobvezna dovoljenja za uporabo mobilne aplikacije na napravah iOS:
Kamera, Slike
Mobilna aplikacija potrebuje dostop do kamere za prepoznavo kode QR in s tem sproži plačilo.
Mobilni prenos podatkov
Mobilna aplikacija za delovanje potrebuje dostop do interneta.
Stiki
Uporablja se za dostop do imenika na vašem telefonu za pridobitev kontaktnega podatka (aliasa) prejemnika, ki se nato prevede v podatke o računu prejemnika.
Prstni odtis
Če vaša naprava podpira prepoznavanje s pomočjo prstnih odtisov, mobilna aplikacija potrebuje to dovoljenje za avtentikacijo uporabnika.
Face ID
Če vaša naprava podpira prepoznavanje s pomočjo obraza, mobilna aplikacija potrebuje to dovoljenje za avtentikacijo uporabnika.
Obvestila
Mobilna aplikacija potrebuje dostop do obvestil za pošiljanje in prejemanje potisnih obvestil.
Dostop do vaših osebnih podatkov v mobilni aplikaciji lahko omejite v nastavitvah vaše mobilne naprave. Upoštevajte, da nekatere funkcionalnosti ne bodo delovale, če dostop omejite, zaradi česar se lahko zgodi, da mobilna aplikacija ne bo pravilno delovala. Biometrična podatka, kot sta prepoznava prstnega odtisa in obraza, se lahko uporabljata namesto gesla za vstop v mobilno aplikacijo Flik Pay ter za potrjevanje plačilnih transakcij v mobilni aplikaciji Flik Pay. Podatek o prstnem odtisu oziroma obrazu je shranjen izključno na vaši mobilni napravi. Mi podatkov o prstnem odtisu in sliki obraza ne obdelujemo (jih ne hranimo in do njih ne dostopamo), kar pomeni da nismo upravljalec tovrstnih osebnih podatkov. Prav tako ni mogoče šteti, da po našem naročilu tovrstne podatke obdeluje pogodbeni obdelovalec. Upoštevajoč navedeno mi ne zagotavljamo skladnosti obdelave tovrstnih osebnih podatkov z ZVOP-1 ali GDPR. Ravno tako ne odgovarjamo in ne jamčimo za varnost funkcije preverjanja pristnosti prstnih odtisov in prepoznave obraza na katerikoli napravi ter delovanje funkcije na način, kot jo predstavlja proizvajalec naprave.
Mobilna aplikacija vas bo zaprosila za soglasje za obdelavo podatkov, ki so potrebni za dodatne funkcije, ki jih mobilna aplikacija omogoča – neobvezna dovoljenja.
- Za katere namene uporabljamo podatke, ki jih zbiramo
Podatke o vas, vključno z vašimi osebnimi podatki, in vaši napravi uporabljamo, shranjujemo in obdelujemo z namenom zagotavljanja storitve:
-
- verifikacije in avtentikacije informacij ali identifikacij, ki nam jih zagotovite;
- avtentikacije vašega dostopa do mobilne aplikacije;
- pošiljanje takojšnjih plačil trgovcu preko QR vmesnika;
- pošiljanje takojšnjih plačil trgovcu preko NFC vmesnika na napravah Android (v kolikor mobilna naprava to omogoča);
- pošiljanje takojšnjih plačil prejemniku, ki ima definiran kontaktni podatek (alias) v Imeniku Flik;
- pošiljanje zahtevkov za plačila prejemniku, ki ima definiran kontaktni podatek (alias) v Imeniku Flik;
- prejemanje takojšnjih plačil, v kolikor imate definiran najmanj en kontaktni podatek (alias) v Imeniku Flik;
- prejemanje zahtevkov za plačila, v kolikor imate definiran najmanj en kontaktni podatek (alias) v Imeniku Flik;
- pregledovanje statusa transakcij, opravljenih z mobilno aplikacijo Flik Pay;
- zagotavljanja in spremljanja vaših plačilnih transakcij,
- prejemanje potisnih obvestil glede o pomembnih posodobitvah mobilne aplikacije ali druge informacije v zvezi z uporabo mobilne aplikacije.
Na podlagi ZPPDFT-1 ter ZPlaSSIED se vaši podatki obdelujejo tudi za naslednje namene:
- ugotavljanja in preverjanja vaše istovetnosti,
- preverjanje skladnosti transakcij s predvidenim namenom poslovanja,
- vodenje evidenc in hramba podatkov.
Na podlagi zakonitih interesov, za katere si prizadevajo upravljavci in nad katerimi ne prevladajo vaši interesi ali vaše temeljne pravice in svoboščine, se vaši podatki obdelujejo tudi za namen zagotavljanja boljše ter varnejše uporabniške izkušnje in delovanja aplikacije ter za namen preprečevanja morebitnih prevar in goljufij.
Na podlagi vašega soglasja, se vaši podatki obdelujejo za namen uporabe dodatnih funkcionalnosti mobilne aplikacije, kot je zapisano v točki II, pod neobveznimi dovoljenji za uporabo mobilne aplikacije.
- Hramba podatkov
Podatke o izvedenih transakcijah skladno z ZPPDFT-1 hranimo 10 let po opravljeni transakciji oz. po prenehanju poslovnega razmerja z vami oziroma do preklica soglasja, ko gre za zbiranje osebnih podatkov, ki so vezani na vaše soglasje.
- S kom si izmenjujemo podatke
Podatkov ne posredujemo ali razkriva tretjim osebam, razen, če nam obveznost posredovanja oziroma razkritje podatkov nalaga zakon ali je za to podana druga ustrezna pravna podlaga.
Obdelavo plačilnih transakcij v našem imenu opravlja podjetje Bankart d.o.o. s sedežem in registriranim naslovom na Celovški cesti 150, 1000 Ljubljana, s katerim smo sklenili ustrezno pogodbo o obdelavi podatkov in je naš pogodbeni partner za obdelavo osebnih podatkov. Nekatere posamične dele zgoraj opisanih obdelav osebnih podatkov izvaja pod-obdelovalec s sedežem v ZDA, s katerim je Bankart sklenil ustrezno pogodbo po členu 28 GDPR, prenos izven EU pa poteka na podlagi standardnih pogodbenih klavzul (Izvedbeni sklep Komisije (EU) 2021/914 z dne 4. junija 2021).
- Potisna obvestila in možnosti zavrnitve
Občasno vam lahko pošljemo potisna obvestila o pomembnih posodobitvah mobilne aplikacije ali druge informacije v zvezi z uporabo mobilne aplikacije. Prejemanje takih obvestil lahko zavrnete v Nastavitvah vaše naprave, kjer izberete Obvestila aplikacije in spremenite nastavitve.
- Varnost
Prevzemamo vso odgovornost za zagotavljanje varnosti vaših osebnih podatkov.
Za preprečevanje nepooblaščenega dostopa ali razkritja podatkov, ki jih pošiljamo, shranjujemo ali drugače obdelujemo, imamo vzpostavljene fizične, tehnične, elektronske, organizacijske in postopkovne varnostne sisteme, ki so skladni z veljavnimi predpisi o varovanju nejavnih osebnih podatkov. Vse internetne komunikacije so zavarovane z vsemi potrebnimi ukrepi. Dostop do podatkov, na podlagi katerih je mogoča vaša osebna identifikacija, dovoljujemo le osebam, ki so pooblaščene za obdelovanje teh podatkov in morajo biti seznanjene s takimi informacijami, da vam lahko zagotovijo storitev. Te osebe so zavezane k spoštovanju zaupnosti.
- Avtomatizirano odločanje
Na podlagi določbe 13. in 22. člena Splošne uredbe o varstvu podatkov vas obveščamo, da Banka pri obdelavi podatkov o uporabi Flik Pay uporablja avtomatizirano odločanje zgolj v okviru postopkov za preprečevanje plačilnih prevar, in sicer na podlagi člena 22(2)(a), saj je ta obdelava potrebna za izvajanje zakonskih obveznosti. Pri tem se ne obdelujejo posebne vrste osebnih podatkov. Če se z rezultatom avtomatizirane odločitve sistema za preprečevanje plačilnih prevar ne strinjate, lahko to odločitev izpodbijate z navedbo vašega stališča in od Banke zahtevate, da odločitev preveri delavec Banke.
- Pravica dostopa posameznika na katerega se nanašajo osebni podatki
GDPR vam daje vrsto pravic v zvezi z obdelavo osebnih podatkov, ki so urejene v njenih določbah od 15. do 22. člena.
Pravica do preklica privolitve
V primeru, da ste kot posameznik privolili v obdelavo osebnih podatkov za enega ali več namenov obdelave osebnih podatkov, imate kadarkoli pravico preklicati svojo privolitev.
Upravljavec bo po prejemu preklica vaše privolitve v enega ali več namenov obdelave, vaše osebne podatke nemudoma prenehal obdelovati v ta namen.
Preklic soglasja za obdelavo osebnih podatkov ne vpliva na zakonitost obdelave osebnih podatkov v zvezi z vami do vašega preklica, ter uporabo teh osebnih podatkov za zakonsko ali pogodbeno določene namene.
Pravica do dostopa do osebnih podatkov, ki se obdelujejo v zvezi z vami
Od upravljavca imate pravico dobiti potrditev ali se v zvezi z vami obdelujejo osebni podatki ter dostop do osebnih podatkov v zvezi z vami in naslednje informacije: namen obdelave, vrsto osebnih podatkov v zvezi z vami, uporabnike vaših osebnih podatkov, predvideno obdobje hrambe osebnih podatkov, vir osebnih podatkov.
Pravica do popravka netočnih osebnih podatkov v zvezi z vami
Kadar koli imate pravico zahtevati, da upravljavec popravi oziroma dopolni netočne oziroma pomanjkljive osebne podatke v zvezi z vami.
Upravljavec vas bo o popravku vaših osebnih podatkov brez odlašanja obvestil.
Pravica do omejitve obdelave osebnih podatkov
Od upravljavca imate pravico zahtevati, da upravljavec omeji obdelavo vaših osebnih podatkov v primeru njihove netočnosti, nezakonitosti, prenehanja namena obdelave ali vložitve ugovora.
Pravica do izbrisa osebnih podatkov (»pravica do pozabe«)
Od upravljavca imate pravico zahtevati, da brez nepotrebnega odlašanja izbriše osebne podatke, ki jih obdeluje v zvezi z vami.
V primeru izbrisa osebnih podatkov na podlagi vaše zahteve vas bo upravljavec o izbrisu obvestil.
Pravica do ugovora
Poleg pravice do preklica privolitve lahko v primeru uporabe vaših osebnih podatkov za namene obveščanja oz. neposrednega trženja kadarkoli pisno zahtevate prenehanje uporabe vaših podatkov v ta namen. V primeru ugovora obdelavi za namene trženja, bo upravljavec osebne podatke v namen trženja in obveščanja nemudoma prenehal obdelovati.
Pravica do prenosljivosti podatkov
Pravico imate, da se osebni podatki, ki jih upravljavec obdeluje v zvezi z vami, neposredno prenesejo od upravljavca k drugemu upravljavcu, kadar je to tehnično izvedljivo.
Pravice iz te točke uveljavljate tako, da na kakršen koli način pošljete zahtevo vašemu upravljalcu podatkov (kontaktni podatki navedeni v točki v drugem odstavku teh Pravilnika o zasebnosti) ali pogodbenemu obdelovalcu podjetju Bankart d.o.o., Ljubljana, s sedežem na Celovški 150, 1000 Ljubljana, telefon: +386 (0)1 583 41 00, elektronska pošta: info@bankart.si. O zahtevku bo odločeno, razen v izjemnih primerih, v 30 dneh od prejema popolnega zahtevka.
Pravica do vložitve pritožbe pri nadzornemu organu
Če menite, da so bile z obdelavo podatkov kršene vaše pravice, lahko vložite pritožbo pri Informacijskemu pooblaščencu, na naslov Informacijski pooblaščenec, Dunajska cesta 22, 1000 Ljubljana.
- Sprememba tega pravilnika o zasebnosti
Pridržujemo si pravico, da pravilnik o zasebnosti kadarkoli spremenimo skladno s tem določilom. V primeru spremembe tega pravilnika o zasebnosti bomo prenovljen pravilnik o zasebnosti objavljen na spletni strani obdelovalca podatkov Bankart d.o.o. in v mobilni aplikaciji.
Ljubljana, 13.04.2022