W ramach tym informacji dotyczących ochrony danych informujemy Państwa o sposobie przetwarzania Państwa danych osobowych i przyznanych Państwu w związku z tym prawach do ochrony danych.
Podmiotem odpowiedzialnym jest:
Nect GmbH
Großer Burstah 21
20457 Hamburg
privacy@nect.com
Z naszym inspektorem ochrony danych można się skontaktować pod następującym adresem:
Dr. Volkan Güngör
Nect GmbH
Großer Burstah 21, 20457 Hamburg
W przypadku wszelkich pytań i wątpliwości dotyczących Państwa danych prosimy o kontakt pod adresem privacy@nect.com.
Jeśli chcą Państwo komunikować się bezpośrednio z naszym inspektorem ochrony danych (np. ponieważ mają Państwo szczególnie delikatną sprawę), prosimy o skontaktowanie się z nim listownie, ponieważ komunikacja za pośrednictwem poczty e-mail zawsze może mieć luki w zabezpieczeniach.
W szczególności przetwarzamy dane osobowe, które otrzymaliśmy lub zebraliśmy od naszych Użytkowników podczas korzystania z aplikacji. Przetwarzane przez nas w związku z tym dane osobowe obejmują:
nazwisko i imię (imiona),
datę urodzenia,
miejsce urodzenia,
adres zamieszkania,
kopię zdjęcia/ nagrania wideo niemieckiego dowodu osobistego lub paszportu (przód i tył) wraz z informacjami zawartymi w dokumencie tożsamości,
sekwencja zdjęć/ nagrań wideo Użytkownika wraz z plikiem pomiarowym (dane biometryczne),
sekwencja audio Użytkownika wraz z plikiem pomiarowym (dane biometryczne),
wynik oceny danych,
indywidualny numer identyfikacyjny nadany uczestnikowi – numer identyfikacyjny,
indywidualny numer identyfikacyjny przypisany do procesu - numer procesu (UUID),
maskowany adres IP,
identyfikator urządzenia i inne dane urządzenia mobilnego telefonii komórkowej,
w przypadku przekazania przez Partnerów: źródło przekierowania (np. adres URL portalu internetowego) i, jeśli dotyczy, adres zwrotny (np. adres URL portalu internetowego),
w przypadku weryfikacji karty ubezpieczenia zdrowotnego: kopia zdjęcia/ nagrania wideo karty (przód i tył) z danymi zawartymi na karcie, a także regularnie przekazywany numer identyfikacyjny karty (ICCSN) przed rozpoczęciem weryfikacji,
w przypadku weryfikacji prawa jazdy: kopia zdjęcia/ nagrania wideo prawa jazdy (przód i tył) z danymi zawartymi w prawie jazdy,
w przypadku podpisu elektronicznego: dokument przeznaczony do podpisania,
oraz inne dane porównywalne z wymienionymi kategoriami.
Przed rozpoczęciem weryfikacji tożsamości niektórzy Użytkownicy są przekierowywani na naszą stronę docelową. Ta strona docelowa służy do przekierowania Użytkownika ze strony internetowej do naszej aplikacji w celu weryfikacji tożsamości („Aplikacja Nect”). Tam Użytkownik może wprowadzić swój numer telefonu komórkowego, a następnie otrzymać od nas wiadomość SMS z linkiem do odpowiedniego sklepu z aplikacjami (gdzie może pobrać aplikację Nect) i/lub uruchomić aplikację („Link uniwersalny”). Jeśli w trakcie procesu identyfikacji między Użytkownikiem a nami zostanie zawarta umowa o korzystanie, zapisany numer telefonu komórkowego i/lub adres e-mail zostanie wykorzystany jako środek komunikacji przez okres obowiązywania umowy (zwłaszcza w przypadku wykrytych prób oszustwa z wykorzystaniem tożsamości Użytkownika). Przetwarzanie środków komunikacji odbywa się na podstawie zgody udzielonej zgodnie z art. 6 ust. 1 lit. a) RODO.
Dane osobowe są przetwarzane przez nas zgodnie z przepisami unijnego ogólnego rozporządzenia o ochronie danych (RODO) oraz federalnej ustawy o ochronie danych (BDSG) w oparciu o następujące podstawy prawne:
Na podstawie Państwa zgody (art. 6 ust. 1 lit. a) RODO) Jeżeli Użytkownik ma ukończone 16 lat i wyraził zgodę na określone przetwarzanie swoich danych osobowych (np. zbieranie i przetwarzanie danych biometrycznych), zgodne z prawem przetwarzanie jego danych osobowych odbywa się na podstawie tej zgody.
Procedura Nect-Ident nie może zostać przeprowadzona bez danych biometrycznych Użytkownika. Użytkownik może w każdej chwili odwołać swoją zgodę bez podania przyczyny ze skutkiem na przyszłość. Dotyczy to również oświadczeń o wyrażeniu zgody, której Użytkownik udzielił nam przed wejściem w życie rozporządzenia RODO, tj. przed 25 maja 2018 r. Ponieważ cofnięcie zgody dotyczy przyszłości, nie wpływa to na skuteczność przetwarzania do momentu jej cofnięcia. Należy pamiętać, że zgodnie z punktem 13 naszych Ogólnych Warunków Użytkowania, każde cofnięcie zgody powoduje rozwiązanie umowy na użytkowanie.
Zgoda Użytkownika na przetwarzanie danych przez dostawców usług partnerskich, z których korzystamy, jest wymagana, jeśli nie działają oni jako podmioty przetwarzające w rozumieniu art. 28 RODO.
W celu wykonania umowy (art. 6 ust. 1 lit. b) RODO) Przetwarzanie danych osobowych odbywa się w celu udostępnienia funkcji aplikacji. Powyższe kategorie danych są zatem gromadzone i przetwarzane w ramach realizacji umowy.
Wyjątek: Natomiast przetwarzanie danych biometrycznych Użytkownika (np. zdjęcia) opiera się na zasadach określonych w pkt. 1 (Zgoda).
Jeżeli przeprowadzamy weryfikację karty ubezpieczenia zdrowotnego dla zakładów ubezpieczeń zdrowotnych, przed rejestracją konieczne jest podanie numeru identyfikacyjnego karty (ICCSN). Pobieramy je w ramach działań przedumownych na żądanie Użytkownika.
Wymogi ustawowe lub prawne (art. 6 ust. 1 lit. c) RODO) lub interes publiczny (art. 6 ust. 1 lit. e) RODO) Ponadto jako przedsiębiorstwo mamy w indywidualnych przypadkach określone obowiązki prawne (np. wynikające z ustawy o przeciwdziałaniu praniu pieniędzy, prawa telekomunikacyjnego lub prawa podatkowego). Obejmują one m.in. weryfikację tożsamości i wieku, zapobieganie oszustwom i praniu brudnych pieniędzy, wypełnianie obowiązków w zakresie kontroli i zgłoszeń podatkowych oraz ocenę i zarządzanie ryzykiem w przedsiębiorstwie.
Aby jako dostawca usług identyfikacji uzyskać pewność co do tożsamości osoby, która ma zostać zidentyfikowana, jesteśmy również prawnie zobowiązani do zadawania dla naszych firm partnerskich (dostawców usług zaufania) pewnych pytań związanych z bezpieczeństwem, takich jak wiek, numer dowodu osobistego lub numer identyfikacyjny umowy. Podstawa prawna wynika z art. 24 ust. 1 pkt 2 lit. d zdanie 1 Rozporządzenia (UE) nr 910/2014 (rozporządzenie eIDAS) w związku z §§ 11, 8 Ustawy o usługach zaufania (VDG).
W ramach równoważenia interesów (art. 6 ust. 1 lit. f) RODO) Poza faktyczną realizacją zawartej z Państwem umowy możemy przetwarzać Państwa dane w zakresie niezbędnym do ochrony naszych prawnie uzasadnionych interesów lub prawnie uzasadnionych interesów osób trzecich i pod warunkiem, że Państwa interesy nie będą nadrzędne.
Nasz prawnie uzasadniony interes w wykorzystywaniu Państwa danych osobowych polega na przykład na zwalczaniu korupcji lub przestępczości gospodarczej, a w szczególności umożliwieniu wykrycia działań przestępczych lub oszukańczych wobec Państwa lub osób trzecich, np. w zakresie prania brudnych pieniędzy. Wynika to nie tylko z faktu, że zapobieganie oszustwom zostało w pkt. 47 RODO wyraźnie uznane za uzasadniony interes, szczególnie godny ochrony, gdy stwierdza on, że przetwarzanie danych osobowych w zakresie bezwzględnie niezbędnym do zapobiegania oszustwom jest również uzasadnionym interesem odpowiedniego podmiotu odpowiedzialnego. Ponieważ nasi Partnerzy (np. banki) są prawnie zobowiązani do ustanowienia odpowiednich systemów bezpieczeństwa, a my pracujemy dla nich, te środki zapobiegawcze dotyczą nas w odpowiedni sposób.
Nasz interes w przetwarzaniu jest uzasadniony, ponieważ przetwarzanie danych obejmuje jedynie ograniczone i niezbędne informacje. Podjęto odpowiednie środki ochrony w celu ograniczenia wszelkich nieproporcjonalnych i niestosownych konsekwencji dla osób, których dane dotyczą.
Dane osobowe gromadzone w celu ochrony uzasadnionych interesów będą przechowywane tak długo, jak będzie to konieczne do realizacji tych celów. Więcej informacji na temat naszych prawnie uzasadnionych interesów można znaleźć poniżej w punkcie VI. lub uzyskać poprzez kontakt z nami.
Firmy partnerskie
Dane zebrane w aplikacji nie będą przekazywane osobom trzecim. Wyjątkiem jest sytuacja, gdy Użytkownik trafił do naszej aplikacji za pośrednictwem Partnera, np. firmy ubezpieczeniowej, firmy telekomunikacyjnej lub banku. W takim przypadku poprosimy go o udzielenie wyraźnej zgody w aplikacji na przekazanie jego danych Partnerowi drogą elektroniczną. Partner otrzymuje dane osobowe tylko w minimalnym, wymaganym prawem lub funkcjonalnie zakresie.
W przypadku weryfikacji wieku regularnie przekazujemy jedynie informację, czy Użytkownik osiągnął określony limit wiekowy, na przykład:
Jednak regularnie konieczne jest przekazywanie następujących danych, na przykład w przypadku weryfikacji tożsamości w celu uniknięcia naruszenia tajemnicy w rozumieniu § 203 niemieckiego kodeksu karnego (StGB):
nazwisko,
imię,
adres,
informację o istnieniu etykiety adresowej,
data i miejsce urodzenia,
wynik weryfikacji (częściowy).
Wymogi prawne mogą spowodować, że będziemy musieli przekazać Partnerowi dalsze dane. Jeżeli wynik naszej usługi weryfikacji tożsamości jest wymagany np. w celu spełnienia wymogów ustawy o przeciwdziałaniu praniu pieniędzy lub prawa telekomunikacyjnego, przekazywane będą również następujące dane:
kserokopia dowodu osobistego zgodnie z przepisami o ochronie danych i dowodach osobistych,
kopia nagrania wideo selfie.
Do realizacji celów, a w szczególności do funkcjonowania naszej infrastruktury informatycznej, korzystamy również z usług dostawców, którzy dbają o sprawny przebieg procesów (np. hosting, usługi zarządzane). Korzystamy jednak z ich usług wyłącznie jako podmiotów przetwarzających dane zgodnie z art. 28 RODO i są oni odpowiednio zobowiązani umową. Nie przetwarzamy danych osobowych w państwach trzecich.
W celu zapewnienia zgodności z niemiecką ustawą o usługach zaufania (VDG) firma Nect jest również zobowiązana do przekazania danych, o których mowa w pkt V, znanym klientowi firmom współpracującym (dostawcom usług zaufania), jeżeli celem identyfikacji jest kwalifikowany podpis elektroniczny.
Partnerzy integracyjni Inną możliwością przekazania Państwa danych osobowych podmiotom trzecim, o których mowa w punkcie V.1., jest w drodze wyjątku sytuacja, w której ustalenie Państwa tożsamości za pośrednictwem Partnera integracyjnego (np. dystrybutora) zostaje przekazane przez nas lub Partnera (np. ubezpieczyciela), lub klienta Partnera (np. dostawcę usług IT). Partner integracyjny otrzymuje wówczas tylko wiadomość o statusie weryfikacji. Partner będzie przetwarzać przekazane dane w celu spełnienia swoich wymogów prawnych i/lub nadzorczych (np. ustawa o przeciwdziałaniu praniu pieniędzy) oraz swoich praw i obowiązków wynikających ze stosunku umownego między Partnerem a Państwem.
Przetwarzanie Państwa danych osobowych odbywa się na następujących podstawach prawnych:
na podstawie Państwa zgody na przetwarzanie danych zgodnie z art. 6 ust. 1 lit. a) RODO;
w celu wykonania umowy zgodnie z art. 6 ust. 1 lit. b) RODO;
w celu wypełnienia obowiązku prawnego ciążącego na Partnerze na podstawie art. 6 ust. 1 lit. c) RODO;
w ramach odpowiedniego stosunku umownego z naszym odpowiednim dostawcą usług partnerskich, art. 28 RODO.
Podmioty przetwarzające Nect korzysta również z podmiotów przetwarzających dane w celu indywidualnego przetwarzania danych osobowych. Obejmuje to na przykład wysyłanie automatycznych wiadomości e-mail przez usługodawców w ramach procedury Nect Sign. Odpowiednie umowy dotyczące przetwarzania danych na zlecenie zawierane są z usługodawcami zgodnie z art. 28 RODO. Usługodawcy ci przetwarzają dane osobowe wyłącznie zgodnie z wyraźnymi instrukcjami i są zobowiązani umownie do zapewnienia odpowiednich technicznych i organizacyjnych środków ochrony danych.
Państwa dane osobowe będą przez nas przechowywane lub w inny sposób przetwarzane tylko tak długo, jak jest to konieczne do osiągnięcia danego celu.
Jeśli cel przetwarzania przestanie obowiązywać, odpowiednie dane osobowe zostaną usunięte. Usunięcie może zostać odroczone w następujących przypadkach:
Spełnienie ustawowych okresów przechowywania (np. niemiecki kodeks praw socjalnych (SGB IV), kodeks handlowy (HGB), ordynacja podatkowa (AO), ustawa o prawie bankowym (KWG), ustawa o o przeciwdziałaniu praniu pieniędzy (GwG)). Podane tam okresy przechowywania wynoszą zwykle od 6 do 10 lat.
Zabezpieczenie środków dowodowych w ramach ustawowych przepisów dotyczących terminów przedawnienia. Zgodnie z §§ 195 i nast. niemieckiego kodeksu cywilnego (BGB) te terminy przedawnienia mogą wynosić do 30 lat. Normalny termin przedawnienia wynosi 3 lata.
Do celów identyfikacji w ramach kwalifikowanego podpisu elektronicznego ustawowy obowiązek przechowywania opiera się na przepisach art. 24 ust.2 lit. h rozporządzenia eIDAS w związku z §§ 16 ust. 4 pkt. 2, 15 ustawy o usługach zaufania (VDG).
Jeśli przetwarzamy Państwa dane w oparciu o wyważenie interesów, na przykład do celów dowodowych lub zapewnienia jakości, dochodzeń w sprawach dot. compliance lub zapobiegania oszustwom, usuniemy Państwa dane osobowe, gdy tylko nasz uzasadniony interes przestanie istnieć. Wyżej wyszczególnione wyjątki obowiązują również tutaj.
W przypadku wyrażenia zgody dane zostaną usunięte z chwilą cofnięcia zgody na przyszłość, chyba że ma zastosowanie jeden z wyjątków wskazanych powyżej.
Podczas wykonywania procesu urządzenie Użytkownika generuje dane, które są przechowywane lokalnie na tym urządzeniu. Użytkownik otrzyma również dane z naszego serwisu przesłane na jego urządzenie, takie jak wynik weryfikacji po przeprowadzeniu procesu. Te lokalnie zapisane dane generalnie nie podlegają naszej kontroli, co oznacza, że usunąć może je tylko Użytkownik (również z ewentualnych kopii zapasowych).
Użytkownik może skorzystać z następujących praw:
Zgodnie z art. 7 RODO oświadczenie o wyrażeniu zgody może zostać odwołane w dowolnym momencie i bez uzasadnienia. Oświadczenie o cofnięciu zgody obowiązuje ze skutkiem na przyszłość, przy czym nie ma to wpływu na zgodność z prawem przetwarzania danych, które miało miejsce na podstawie udzielonej zgody aż do momentu jej cofnięcia.
Zgodnie z art. 15 RODO każda osoba, której dane dotyczą, ma prawo do informacji. W szczególności może ona na przykład zażądać informacji o celach przetwarzania.
Zgodnie z art. 16 RODO osoba, której dane dotyczą, może zażądać sprostowania nieprawidłowych danych osobowych.
Zgodnie z art. 17 RODO osoba, której dane dotyczą, ma prawo do usunięcia danych, chyba że przetwarzanie jest niezbędne do korzystania z prawa do wolności wypowiedzi i informacji, do wypełnienia obowiązku prawnego, ze względu na interes publiczny lub do dochodzenia, wykonywania lub obrony roszczeń prawnych, lub
zgodnie z art. 18 ma prawo do ograniczenia przetwarzania, jeśli np. kwestionuje prawidłowość danych lub przetwarzanie jest niezgodne z prawem.
Zgodnie z art. 20 RODO osoba, której dane dotyczą, ma prawo do przenoszenia danych.
Jeżeli dane osobowe były przetwarzane np. na podstawie prawnie uzasadnionych interesów zgodnie z artykułem 6 ust. 1 lit. f) RODO, osoba, której dane dotyczą, może również wnieść sprzeciw wobec przetwarzania jej danych osobowych na warunkach określonych w artykule 21 RODO.
Odnośnie prawa do informacji (art. 15 RODO) oraz prawa do usunięcia (art. 17 RODO) zastosowanie mają również § 34 i § 35 federalnej ustawy o ochronie danych (BDSG).
Aby dochodzić tych praw, można zwrócić się do następującego podmiotu:
Nect GmbH
Großer Burstah 21
20457 Hamburg
https://nect.com/privacy-request
Ponadto zgodnie z art. 77 RODO w związku z § 19 federalnej ustawy o ochronie danych (BDSG) mają Państwo prawo do złożenia skargi do właściwego organu nadzorującego ochronę danych. W tym celu można zwrócić się do organu nadzorującego właściwego dla siedziby naszej firmy. Adres można znaleźć w internecie pod następującym linkiem:
https://www.bfdi.bund.de/DE/Infothek/Anschriften_Links/anschriften_links-node.html
Nie są Państwo zobowiązani do podania swoich danych osobowych. Jeśli nie podadzą Państwo określonych danych osobowych, możemy nie być w stanie udostępnić opartych na nich funkcji aplikacji.
Procedura Nect Ident sprawdza tożsamość Użytkownika poprzez porównanie danych identyfikacyjnych i danych dokumentu tożsamości, a następnie informuje Użytkownika o wyniku kontroli tożsamości. Na podstawie tego wyniku Partnerzy mogą podjąć zautomatyzowaną decyzję w rozumieniu punktu 2 lit. a) naszych Ogólnych Warunków Użytkowania, w przypadkach gdy Użytkownik uzyska dostęp do naszej aplikacji ze strony internetowej tego Partnera (np. firmy ubezpieczeniowej lub telekomunikacyjnej) w celu identyfikacji. Po sprawdzeniu tożsamości Partner jest informowany o wyniku (zgodnie z wyrażoną przez Użytkownika zgodą), aby mógł na tej podstawie podjąć zautomatyzowane decyzje, np. o zawarciu z Użytkownikiem umowy ubezpieczenia lub umowy na usługi przedpłacone, lub przyznaniu dostępu do portalu klienta. W indywidualnych przypadkach przewidziano kontrolę weryfikacji tożsamości przez człowieka.
W odniesieniu do powyższych zautomatyzowanych decyzji indywidualnych Użytkownik ma prawo zgodnie z art. 22 ust. 3 RODO do interwencji osoby ze strony podmiotu odpowiedzialnego, do wyrażenia własnego punktu widzenia oraz do zaskarżenia decyzji. Prawa te muszą być dochodzone wobec Partnera.
Państwa dane nie będą przetwarzane w sposób zautomatyzowany w celu oceny niektórych aspektów osobowych (profilowanie). Dokonywane jest jedynie porównanie Państwa danych identyfikacyjnych i danych dokumentu tożsamości.
W aplikacji Nect Wallet (zarówno na Androida jak i iOS) stosowany jest pakiet Google ML Kit. Całe przetwarzanie danych odbywa się na urządzeniu Użytkownika, przesyłanie obrazów, plików audio lub wideo do Google jest wykluczone. Podczas korzystania z Google ML Kit zbierane są tylko następujące dane:
Informacje o urządzeniu (np. producent, model, wersja systemu operacyjnego) i dostępne akceleratory sprzętowe dla ML (GPU i DSP).
Informacje o aplikacji (nazwa pakietu/ identyfikator pakietu, wersja aplikacji).
Informacje o konfiguracji pakietu ML (np. stosowana rozdzielczość i format obrazu).
Typy zdarzeń (np. „Zainicjowane”, „Aktualizacja”, „Wykonanie”).
Kody błędów.
Informacje o wydajności.
Anonimowe identyfikatory specyficzne dla instalacji, których nie można przypisać do osoby lub urządzenia.
Adres IP nadawcy żądania sieciowego. Adres IP jest przechowywany tymczasowo.
Dane te służą do (konfiguracji) diagnozy i analizy użytkowania.
Pobieranie i przekazywanie tych danych prowadzone jest na podstawie zgody udzielonej przez Użytkownika zgodnie z art. 6 ust. 1 lit. a) RODO oraz wyważenia interesów zgodnie z art. 6 ust. 1 lit. f) RODO.
Indywidualne prawo do sprzeciwu Użytkownik ma prawo, z przyczyn wynikających z jego szczególnej sytuacji, w dowolnym momencie sprzeciwić się przetwarzaniu dotyczących go danych osobowych, które opiera się na art. 6 ust. 1 lit. e) (przetwarzanie danych w interesie publicznym) lub lit. f) (przetwarzanie danych w oparciu o wyważenie interesów); dotyczy to również profilowania dokonywanego na podstawie tych przepisów.
Jeśli wyrażą Państwo sprzeciw, nie będziemy już przetwarzać Państwa danych osobowych. Inaczej jest tylko w sytuacji, gdy możemy udowodnić przekonujące, uzasadnione powody przetwarzania, które przeważają nad Państwa interesami, prawami i wolnościami lub jeśli przetwarzanie służy dochodzeniu, wykonywaniu lub obronie roszczeń prawnych.
Adresat sprzeciwu Sprzeciw można złożyć nieformalnie, podając w wiadomości temat „Sprzeciw”, a także swoje imię i nazwisko, adres oraz datę urodzenia, i należy go skierować do:
Nect GmbH
Großer Burstah 21
20457 Hamburg
privacy@nect.com
Stosujemy również odpowiednie techniczne i organizacyjne środki bezpieczeństwa, aby chronić Państwa dane przed przypadkową lub celową manipulacją, częściową lub całkowitą utratą, zniszczeniem lub przed nieautoryzowanym dostępem stron trzecich. Nasze środki bezpieczeństwa są stale udoskonalane zgodnie z postępem technologicznym.
Te informacje dotyczące ochrony danych są aktualne. Ze względu na dalszy rozwój naszej aplikacji i ofert lub zmienione wymogi prawne lub urzędowe może zaistnieć konieczność zmiany niniejszych informacji o ochronie danych. Aktualną treść polityki prywatności można w każdej chwili pobrać na stronie internetowej http://www.nect.com i wydrukować.
Stan na czerwiec 2023 r.
Poprzez poniższy link mogą Państwo dochodzić swoich praw zgodnie z RODO art. 15 (prawo do informacji), art. 16 (prawo do sprostowania), art. 17 (prawo do usunięcia, prawo do bycia zapomnianym), art. 20 (prawo do przenoszenia danych) i art. 21 (prawo do sprzeciwu).