- Všeobecne
Účelom tohto dokumentu je, v súlade s Nariadením Európskeho parlamentu a Rady (EÚ) 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov („ďalej iba „GDRP“), poskytnúť informácie týkajúce sa spracúvania osobných údajov pri používaní mobilnej aplikácie PSS Safe (ďalej iba „Aplikácia“).
Táto informácia popisuje spracúvanie osobných údajov iba s ohľadom na osobitosti spojené s používaním Aplikácie. Dopĺňa všeobecnú Informáciu o spracúvaní osobných údajov pre klientov, ktorá je dostupná na tomto odkaze.
- Prevádzkovateľa a jeho zodpovedná osoba
Prevádzkovateľom vo vzťahu k spracúvaniu osobných údajov na účely uvedené v tomto dokumente je Prvá stavebná sporiteľňa, a. s., so sídlom: Bajkalská 30, 829 48 Bratislava, Slovenská republika, IČO: 31 335 004, zapísaná v Obchodnom registri Mestského súdu Bratislava III, oddiel: Sa, vložka číslo: 479/B (ďalej iba „PSS“).
Ďalšie kontaktné údaje PSS, okrem vyššie uvedenej adresy, sú
- +421 2 58 55 58 55 (Call centrum PSS)
- infopss@pss.sk
Prevádzkovateľ má v zmysle GDPR určenú osobu zodpovednú za dohľad nad spracúvaním osobných údajov. Túto osobu je možné v prípade otázok súvisiacich so spracúvaním osobných údajov kontaktovať e-mailom na osobneudaje@pss.sk, alebo písomne na adrese: PSS, Zodpovedná osoba za ochranu osobných údajov, Bajkalská 30, 829 48 Bratislava, Slovenská republika.
- O kom PSS údaje spracúva, kto je dotknutá osoba na účely tohto dokumentu
Na účely spracúvania osobných údajov, ktoré sú uvedené v tomto dokumente, spracúva PSS údaje o klientoch, ktorí na prístup do služby Moja PSS a autorizáciu operácií v nej používajú mobilnú aplikáciu PSS Safe.
- Aké typy údajov PSS spracúva a od koho ich získava (ak sú získané inak ako od používateľa Aplikácie)
- Jednoznačné identifikátory klienta v informačných systémoch PSS (napr. PID, ktorý bol klientovi priradený pri uzatvorení zmluvy) – tieto údaje prideľuje ku klientovi PSS
- Niektoré autentifikačné údaje spojené s kontom klienta, ako napr. e-mailová adresa a telefónne číslo
- Údaje o mobilnom zariadení, z ktorého je Aplikácia používaná
- Analytické údaje týkajúce sa samotnej činnosti, ktorá je prostredníctvom Aplikácie potvrdzovaná, napr. dátum a čas autorizácie operácie, obsah autorizovanej operácie – tieto informácie získava PSS v súvislosti s používaním Aplikácie konkrétnym užívateľom.
Má PSS prístup k biometrickým údajom užívateľa?
Nie. V prípade ak používateľ k svojmu overeniu na prístup do Aplikácie vo svojom zariadení zvolí funkcionalitu overovania prostredníctvom biometrických údajov (napr. FaceID), PSS nemá prístup k týmto biometrickým údajom, dostane iba informáciu, či sa jedná alebo nejedná o užívateľa, ktorý má Aplikáciu spojenú so svojim kontom Moja PSS.
- Na aké účely údaje spracúvame a aký je právny základ spracúvania
V rámci spracúvania prostredníctvom Aplikácie sú údaje spracúvané primárne na účel poskytovania bankových produktov a služieb a s nimi prepojené činnosti a účel bezpečnosti a prevencie pred podvodmi.
Spracúvanie údajov je potrebné pre autentifikáciu prístupov klienta k službe Moja PSS a autorizáciu operácií klienta v tejto službe.
K spracúvaniu dochádza lebo:
- Používanie bezpečnostných prvkov bolo medzi PSS a jej klientom dohodnuté v zmluve, ktorou PSS klientovi poskytuje službu Moja PSS, teda právny základom je nevyhnutnosť spracúvania na plnenie zmluvy s dotknutou osobou podľa čl. 6 ods. 1 písm. b) GDPR
- Používanie bezpečnostných prvkov je nástrojom dosiahnutia vyššej miery bezpečnosti klientových údajov a ochrany jeho majetku. Právnym základom je teda aj:
- plnenie zákonnej povinnosti PSS podľa čl. 6 ods. 1 písm. c) GDPR, keďže povinnosť prijať bezpečnostné opatrenia pri poskytovaní služieb vyplýva PSS z viacerých právnych predpisov, resp.
- oprávnený záujem PSS podľa č. 6 ods. 1 písm. f GDPR. Oprávneným záujmom PSS je záujem na ochrane údajov a majetku jej klientov pred neoprávneným prístupom k nim.
Voči spracúvaniu založenom na oprávnenom záujme má dotknutá osoba právo namietať z dôvodov týkajúcich sa jej konkrétnej situácie.
- Povinnosť poskytnúť osobné údaje
Poskytnutie osobných údajov zo strany klienta je dobrovoľné, nakoľko dobrovoľným je aj samotné používanie Aplikácie ako bezpečnostného prvku.
Klient si môže vybrať, či ako bezpečnostný prvok bude používať Aplikáciu, alebo si zvolí iné riešenie (napr. jedinečný kód zaslaný formou SMS).
V prípade, kedy klient si klient zvolí používanie Aplikácie, je poskytnutie údaje nevyhnutné na to, aby naplnila svoj účel.
- Doba uchovávania údajov
Osobné údaje spracúvané výlučne pri používaní Aplikácie (detaily potvrdzovanej operácie) sú uchovávané počas doby piatich rokov od vykonania operácie.
Iné osobné údaje klienta sú uchovávané v zmysle všeobecnej Informácie o spracúvaní osobných údajov pre klientov.
Osobné údaje poskytuje PSS v prípade potreby, v nevyhnutnom rozsahu a pri dodržiavaní pravidiel tzv. štandardnej ochrany osobných údajov podľa čl. 25 ods. 2 GDPR svojim vlastným zamestnancom v rozsahu, ktorý je potrebný na plnenie ich pracovných úloh.
Okrem zamestnancov PSS môžu byť osobné údaje poskytnuté aj zmluvný partnerom PSS, ktorí poskytujú služby údržby a servisu Aplikácie (aktuálne spoločnosti CNC, a. s., IČO: 35 810 408 a I.S.D.D. plus, s. r. o.. IČO: 35 774 720)
- Prenos osobných údajov do tretích krajín, resp. do medzinárodných organizácií
Osobné údaje spracúvané v zmysle tohto dokumentu neprenáša PSS do tretích krajín ani medzinárodných organizácií.
- Automatizované rozhodovanie a profilovanie
Aplikácia nevykonáva automatizované individuálne rozhodovanie podľa čl. 22 GDPR, ani profilovanie klienta.
Určitá forma automatizovaného spracúvania (a následného rozhodnutia) však prítomná je. Toto spracúvanie spočíva v automatickom vyhodnotení údajov získaných pri overení klienta v jeho mobilnom zariadení (napr. prostredníctvom biometrických údajov, PIN kódu).
V prípade úspešného overenia je klientovi umožnené vykonať požadovanú akciu, v prípade neúspešného overenia je jej vykonanie automaticky zamietnuté.
- Práva dotknutých osôb
GDPR priznáva každej dotknutej osobe vo vzťahu k spracúvaniu jej osobných údajov niekoľko práv. Využitie jednotlivých práv je viazané na splnenie podmienok uplatnenia práva, napr. na konkrétny právny základ spracúvania, na existenciu automatizovaného rozhodovania a pod.
V tomto článku sú uvedené informácie o právach, ktoré majú dotknuté osoby v súvislosti so spracúvaním údajov na vyššie uvedené účely. Zároveň sú tu stručne uvedené podmienky uplatnenia jednotlivých práv.
- právo na prístup k osobným údajom. V zmysle tohto práva má dotknutá osoba nárok od PSS požadovať potvrdenie, či PSS spracúva jej osobné údaje a ak áno, má dotknutá osoba nárok na prístup k spracúvaným údajom a nárok na informácie uvedené v článku 15 GDPR.
- právo na opravu osobných údajov. V zmysle tohto práva má dotknutá osoba nárok od PSS požadovať, aby PSS opravila nesprávne osobné údaje, ktoré o dotknutej osobe spracúva. V zmysle tohto práva má dotknutá osoba súčasne nárok požadovať, aby PSS doplnila jej osobné údaje v prípade, ak nie sú úplné.
- právo na vymazanie osobných údajov. V zmysle tohto práva má dotknutá osoba nárok od PSS, požadovať, aby boli jej osobné údaje vymazané v prípadoch, kedy tak ustanovuje čl. 17 GDPR . Dovoľujeme si upozorniť, že právu na vymazanie údajov nie je možné vyhovieť, ak je splnená niektorá z podmienok v odseku 3. čl. 17 GDPR (napr. archivácia vo verejnom záujme, uplatňovanie alebo obhajovanie právnych nárokov a pod.).
- právo na prenosnosť údajov. Na základe tohto práva má dotknutá osoba právo preniesť osobné údaje, ktoré o nej PSS spracúva, k inému prevádzkovateľovi. Toto právo je možné uplatniť vo vzťahu k údajom, ktoré sa spracúvajú na základe súhlasu dotknutej osoby podľa čl. 6 ods. 1. písm. a) GDPR, alebo na základe nevyhnutnosti spracúvania na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba podľa čl. 6 ods. 1. písm. b) GDPR.
- právo na obmedzenie spracúvania. Dotknutá osoba má právo od PSS požadovať, aby došlo k obmedzeniu spracúvania jej osobných údajov. Prípady, v ktorých je možné toto právo uplatniť, sú uvedené v čl. 18 GDPR.
- právo podať sťažnosť orgánu dozoru. Dotknutá osoba má právo podať ohľadom spracúvania osobných údajov sťažnosť Úradu na ochranu osobných údajov Slovenskej republiky, so sídlom Námestie 1. mája 18, 811 06 Bratislava.
Bližšie podmienky uplatnenia jednotlivých práv sú uvedené v GDPR. Svoje práva môžete uplatniť prostredníctvom kontaktných údajov zodpovednej osoby za ochranu osobných údajov uvedených v článku II. tohto dokumentu.