Informativa Sulla Privacy
Data dell’ultima revisione: 14 gennaio 2021
La presente Informativa sulla privacy (Informativa sulla privacy) descrive e riassume le politiche e le procedure implementate dalla dalla Parte contraente specificata nella Sezione 1.4 di seguito (denominata anche ("Società", "noi", "nostro/a" od "a noi") in relazione alla raccolta, utilizzo, archiviazione, elaborazione, divulgazione, condivisione, trasferimento e protezione dei Dati personali forniti od acquisiti tramite l'utilizzo dei Servizi messi a disposizione tramite Digest (tutti i termini definiti di seguito).
La Società prende molto sul serio la privacy delle persone. Ci impegniamo a mantenere la sicurezza, la riservatezza, la disponibilità e l'integrità dei Dati personali affidati o controllo ed a proteggere tali dati in conformità con la legislazione applicabile. Gli sviluppi tecnologici nella società dell'informazione sono in continua evoluzione, insieme alle minacce che tali innovazioni rappresentano per la privacy delle persone e la sicurezza dei loro Dati personali. La Società valuta continuamente le misure di sicurezza impiegate, sia tecniche che organizzative, al fine di determinare il livello di protezione adeguato. Esaminiamo regolarmente le nostre pratiche in materia di privacy e sicurezza e le adattiamo secondo necessità per far fronte a nuovi requisiti normativi, modifiche alla legislazione e/o standard di sicurezza.
Per facilitare la navigazione nella presente Informativa sulla privacy e trovare rapidamente le informazioni pertinenti, per comodità l'abbiamo suddivisa nelle seguenti sezioni:
1. DEFINIZIONI2. APPLICAZIONE
3. RICONOSCIMENTO
4. RACCOLTA DI DATI PERSONALI
5. USO DELLE INFORMAZIONI
6. PRIVACY DEI MINORENNI
7. DIVULGAZIONE E TRASFERIMENTO DEI DATI
8. BASE LEGALE DEL TRATTAMENTO
9. RUOLO DEL PARTNER AI SENSI DELLE LEGGI SULLA PROTEZIONE DEI DATI
10. CATEGORIE PARTICOLARI DI DATI PERSONALI
11. LEGISLAZIONE ANTISPAM
12. SITI WEB DI TERZE PARTI
13. I DIRITTI AI SENSI DEL GDPR
14. CONSERVAZIONE E CANCELLAZIONE DEI DATI
15. SICUREZZA DEI DATI PERSONALI
16. NOTIFICA DI VIOLAZIONE DEI DATI PERSONALI
17. AGGIORNAMENTO DELLA INFORMATIVA SULLA PRIVACY
18. INFORMAZIONI DI CONTATTO
1. DEFINIZIONI
Ai fini della presente Informativa sulla privacy, oltre ai termini in maiuscolo definiti altrove nella presente Informativa sulla privacy, i seguenti termini avranno il significato come segue:
1.1. "Servizi d’informazione sui conti" è il servizio online che fornisce informazioni relativamente a uno o più conti di pagamento detenuti dall'utente presso un altro prestatore di servizi di pagamento o presso più prestatori di servizi di pagamento.
1.2. "Fornitore del conto" è il fornitore di servizi di pagamento che fornisce e gestisce un conto di pagamento (ad esempio, banca, società di credito edilizio, istituto di moneta elettronica).
1.3. "Consenso" significa qualsiasi manifestazione di volontà libera, specifica, informata ed inequivocabile dell’Interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione od azione positiva inequivocabile, che i Dati personali che lo riguardano siano oggetto di trattamento.
1.4. "Parte contraente" è la parte identificata nella tabella seguente:
Conto di pagamento detenuto da: | Parte contraente | Dettagli della Parte contraente | Autorità di vigilanza |
---|---|---|---|
un Fornitore del conto in un paese membro dell'Unione Europea / Spazio economico europeo | BudgetBakers s.r.o. |
Indirizzo registrato:
Radlická 180/50, Smíchov
150 00 Praha 5,
Repubblica Ceca
|
L'Ufficio per la protezione dei Dati personali
Indirizzo:
Pplk. Sochora 27
170 00 Praha 7
Repubblica Ceca
Dettagli di contatto:
+420 234 665 111
|
1.5. "Responsabile del trattamento", "Soggetto dei dati", "trattamento" (compresi i suoi derivati), "Incaricato del trattamento" ed "Autorità di controllo" utilizzati nella presente Informativa sulla privacy hanno il significato attribuito a tali termini nel GDPR.
1.6. "Digest" è un widget online che, come risultato dell'utilizzo dei Servizi, fornisce un riepilogo dei Dati del conto di pagamento valido in una determinata data.
1.7. "Regolamento generale sulla protezione dei dati" è il GDPR e la sua attuazione nella legislazione nazionale della Repubblica Ceca (Legge n. 110/2019 Coll., sul trattamento dei Dati personali), come nonchè le leggi che implementano od integrano il GDPR in ciascuno Stato membro dell'UE e che sono applicabili alla Società per quanto riguarda la privacy, la protezione, l'elaborazione, la raccolta, l'uso o la divulgazione dei Dati personali, come modificati, sostituiti o periodicamente aggiornati.
1.8. "RGPD" è il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio, del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei Dati personali, nonché alla libera circolazione di tali dati, e che abroga la Direttiva 95/46/CE.
1.9. "Consenso alla condivisione dei dati GDPR" è manifestazione di volontà libera, specifica, informata ed inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso esplicito alla Società a condividere i suoi Dati del conto di pagamento con il partner designato.
1.10. "Partner" è il terzo soggetto che reindirizza la persona ai Servizi con cui ha autorizzato la Società a condividere i dati del suo conto di pagamento, in base al consenso GDPR alla condivisione dei dati.
1.11. "Conto di pagamento" è un conto accessibile online detenuto a suo nome dal rispettivo Fornitore del conto, inclusi ma non limitati a, conto corrente, conto di moneta elettronica, conto di risparmio flessibile e conto della carta di credito.
1.12. "Dati del conto di pagamento" sono le informazioni rese disponibili dal Fornitore del conto in merito al conto di pagamento, inclusi, senza limitazione, i dettagli del conto (nome, numero, saldo, valuta del conto, ecc.), i dettagli delle transazioni (importo, valuta, data, descrizione della transazione, ecc.), i dettagli del titolare del conto (nome, indirizzo, e-mail, numero di telefono) e le caratteristiche ed i vantaggi del Conto di pagamento, a cui la Società accede ed automaticamente recuperati tramite i Servizi e presentati nel Digest dopo il trattamento.
1.13. "Regolamento di pagamento" è la PSD2 e tutte le leggi o di regolamenti applicabili di volta in volta in vigore nella competenza giurisdizionale della Società che danno effetto ala PSD2, insieme a tutti gli standard tecnici normativi, i codici di pratica, le linee guida e/o le interpretazioni formali emesse dall’autorità nazionale competente rispetto all'attuazione della PSD2.
1.14. "Dati a carattere personale" ha il significato ad essi attribuito nel GDPR ed include, senza limitazione, Informazioni di registrazione, Dati del conto di pagamento, Rapporti analitici e Credenziali di sicurezza personalizzate.
1.15. "Credenziali di sicurezza personalizzate" sono gli elementi personalizzati, inclusi, senza limitazione, token di accesso API del Fornitore del conto, nome utente, password, numero di accesso, domande e risposte di sicurezza, codici token / SMS ed informazioni multifattoriali, forniti dal Fornitore del conto a fini di autenticazione, inclusi, ma non limitato, gli elementi di autenticazione forte del cliente.
1.16. "PSD2" è la Direttiva (UE) 2015/2366 del Parlamento europeo e del Consiglio, del 25 novembre 2015, sui servizi di pagamento nel mercato interno, che modifica le direttive 2002/65/CE, 2009/110/CE e 2013/36/UE ed il Regolamento (UE) n. 1093/2010 e che abroga la Direttiva 2007/64/CE.
1.17. "Consenso PSD2" il consenso esplicito dall’utente fornito alla Società per accedere al suo Conto di pagamento allo scopo di fornire all’utente Servizi d’informazioni sull'Account.
1.18. "Servizi" sono i Servizi di informazioni sull'Account forniti tramite il Digest.
1.19. "Categorie speciali di Dati personali" sono i dati personali che rivelano l'origine razziale od etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l'appartenenza a sindacati ed i dati genetici, i dati biometrici, i dati relativi alla salute od i dati relativi alla vita sessuale od all'orientamento sessuale di una persona fisica.
2. APPLICAZIONE
La Società consiglia di leggere attentamente ed integralmente la presente Informativa sulla privacy per assicurarsi di essere a conoscenza di tutte le pratiche e le politiche della Società in materia di raccolta, utilizzo, divulgazione, trattamento e protezione dei Dati personali. La presente Informativa sulla privacy si applica a tutti gli utenti dei Servizi.
3. RICONOSCIMENTO
Accedendo ed utilizzando i Servizi ed accettando i Termini di servizio l’utente: (i) dichiara e conferma di avere almeno diciotto (18) anni o la maggiore età legale nella giurisdizione in cui risiede, ed (ii) acconsente alla raccolta, all'uso ed al trattamento dei Dati personali come descritto nella presente Informativa sulla privacy. Ad eccezione di quanto previsto nella presente Informativa sulla privacy, la Società non utilizzerà i Dati personali dell’utente per nessun altro scopo senza il suo consenso. La Società divulgherà i Dati personali dell’utente a terzi solo in stretta conformità e per gli scopi stabiliti nella presente Informativa sulla privacy. La Società non vende, concede in locazione, in licenza od altrimenti divulga i Dati personali dell'utente a terzi, né utilizzerà i Dati personali raccolti per scopi pubblicitari o di marketing sempre che non l'utente abbia fornito il proprio consenso per tale utilizzo.
4. RACCOLTA DI DATI PERSONALI
Quando si utilizzano i Servizi, la Società raccoglierà informazioni, inclusi i Dati personali, allo scopo di fornire, mantenere e migliorare i Servizi, nonché rispettare le leggi od i regolamenti applicabili. La Società raccoglie i Dati personali principalmente in quattro (4) modi:
-
Informazioni fornite volontariamente alla Società:
- Quando si contatta il team di supporto della Società in merito a qualsiasi problema relativo ai Servizi o si comunica con la Società in qualsiasi altro modo, si forniscono volontariamente alla Società le informazioni che la Società raccoglie ed elabora per il scopi come descritto nei Termini di servizio e nella presente Informativa sulla privacy. Le informazioni fornite possono includere Dati personali quali: nome, indirizzo email, numero di telefono e dati finanziari. Quando vengono inviati volontariamente i Dati personali insieme alla richiesta od istanza, la Società elaborerà tali Dati personali in conformità con la presente Informativa sulla privacy. In alcuni casi, la Società potrebbe richiedere ulteriori informazioni, inclusi i Dati personali, al fine di identificare l’utente durante l'elaborazione della sua richiesta od istanza. La Società può anche conservare le registrazioni di tali comunicazioni con l’utente, inclusi eventuali follow-up e feedback successivi, per scopi interni.
- In conformità con i requisiti normativi applicabili alla Società in materia di antiriciclaggio, finanziamento del terrorismo e relativi controlli dell'identità, dello stato e delle operazioni dei clienti, potrebbe esserti richiesto prima dell'utilizzo dei Servizi di fornire i Dati personali aggiuntivi per stabilire questioni quali l’identità, l’affiliazione, l’esposizione pubblica, la proprietà dei conti di pagamento, lo scopo delle transazioni e l’origine dei fondi sui conti di pagamento.
- Affinché la Società sia in grado di fornire i servizi d’informazioni sull'Account, l’utente dovrà autenticarsi presso il suo rispettivo Fornitore del conto con le sue credenziali di sicurezza personalizzate. Le credenziali di sicurezza personalizzate sono sempre archiviate crittografate. La Società utilizzerà le credenziali di sicurezza personalizzate fornite dall'utente al fine di stabilire una connessione sicura al proprio conto di pagamento nel rispettivo Fornitore del conto e recuperare i dati del conto di pagamento associati in conformità con i regolamenti di pagamento e come ulteriormente descritto nei Termini di servizio.
- Informazioni che la Società raccoglie dai Fornitori del conto: ai fini della fornitura dei servizi d’informazioni sull'Account a te, la Società accederà al conto di pagamento detenuto dal rispettivo Fornitore del conto in modalità di sola lettura in base al suo consenso PSD2 per recuperare, utilizzare, archiviare ed elaborare i dati del conto di pagamento dell’utente.
- Informazioni che la Società riceve dal Partner: Potremmo ricevere la sua email dal Partner che ha reindirizzato al Digest. In determinate circostanze, alcune delle informazioni aggiuntive (come il nome completo, la data di nascita, l'indirizzo di residenza, il tipo di Conto di pagamento - proprio, condiviso od aziendale, ecc.) che richiediamo per ottemperare alla normativa antiriciclaggio applicabile, al finanziamento del terrorismo e l'esecuzione di relativi controlli dell'identità, dello stato e delle operazioni dei clienti, come richiesto dalla legge, possono essere forniti alla Società dal relativo Partner.
-
Informazioni che la Società raccoglie tramite l'utilizzo dei Servizi:
- Le informazioni che la Società raccoglie automaticamente. Ogni volta che utilizzi i Servizi, la Società raccoglie informazioni relative ma non limitate a: (i) i Servizi utilizzati dall'utente, (ii) tutte le aree all'interno dei Servizi che visita, (iii) l'ora del giorno in cui accede ed utilizza i Servizi, (iv) le azioni intraprese dall'utente durante l'utilizzo e l'interazione con i Servizi, (v) i Servizi o parti di essi che generano messaggi di errore ed (vi) il browser, il sistema operativo, i dati di geolocalizzazione ed indirizzo del protocollo Internet ("Indirizzo IP"). La Società raccoglie queste informazioni automaticamente come parte dei suoi file di registro tecnico od altri metadati, nonché attraverso l'uso di cookie, web beacon ed altre tecnologie di tracciamento simili. Tutte le informazioni di identificazione personale raccolte tramite l'utilizzo dei Servizi vengono trattate come Dati personali in conformità con i termini della presente Informativa sulla privacy. La Società può anche utilizzare le informazioni raccolte in modo aggregato anonimizzato (ovvero, in modo tale che l'Interessato non sia più identificabile, direttamente od indirettamente, da tali dati personali) per una varietà di scopi, senza limitazione per migliorare l’esperienza dell'utente, migliorando i Servizi e sviluppando nuovi servizi (vedere la Sezione 5.b. "Utilizzo da parte della Società di dati non personali").
-
Informazioni raccolte dai cookie.
Un cookie è un file di dati inserito su un dispositivo quando viene utilizzato per accedere a un servizio. I cookie o tecnologie simili possono essere utilizzati per una varietà di scopi, incluso, senza limitazione, per memorizzare l’utente e le sue preferenze e per tracciare il suo accesso ai Servizi. I cookie funzionano assegnando all’utente un numero che non ha alcun significato al di fuori del sito Web o dell'applicazione rispettiva. La Società utilizza i cookie per vari scopi, tra cui, senza limitazione, l'analisi delle tendenze, la raccolta di dati statistici, il miglioramento dell'esperienza dell'utente e la qualità complessiva dei Servizi. La Società codifica e crittografa i cookie in modo che solo la Società possa interpretare le informazioni in essi memorizzate. I cookie possono essere disabilitati o controllati impostando una preferenza nel browser web dell’utente o sul suo dispositivo. Pertanto, se non si desidera che le informazioni vengano raccolte tramite l'uso dei cookie, è possibile limitare o restringere l'uso dei cookie a livello di singolo browser o dispositivo. Tuttavia, se si sceglie di disabilitare i cookie, alcune funzionalità dei Servizi potrebbero non funzionare correttamente o la Società potrebbe non essere in grado di personalizzare la consegna delle informazioni all'utente. Per indicazioni dettagliate su come controllare, gestire ed eliminare i cookie, si consiglia di visitare
https://www.aboutcookies.org/.
- Cookie del primo utente: la Società utilizza cookie di sessione e cookie persistenti quando si utilizzano i Servizi. Questi tipi di cookie sono essenziali per il funzionamento di Digest e per la fornitura dei Servizi. I cookie di sessione vengono archiviati nella memoria temporanea e non vengono conservati dopo la chiusura del browser. I cookie di sessione non raccolgono informazioni dal computer dell’utente. Memorizzano le informazioni sotto forma d’identificazione di sessione che non identifica personalmente l’utente. I cookie persistenti sono impostati con data di scadenza e vengono memorizzati sul suo disco rigido fino alla loro scadenza o fino a quando non viene eliminato dall’utente. La Società non raccoglie Dati personali in cookies di sessione e persistenti. La Società utilizza cookie di sessione e persistenti per scopi tecnici, incluso ma non limitato a verificare l'origine delle richieste, distribuire le richieste su più server, autenticare l’utente e determinare le funzionalità dei Servizi a cui è autorizzato ad accedere.
- Cookie di terze parti: la Società utilizza anche cookie di terze parti. Questi fornitori di servizi di terze parti con cui la Società ha stipulato un contratto aiutano ad analizzare determinate attività online e forniscono servizi di analisi. La Società utilizza i seguenti cookie di terze parti: Google Analytics e Google Tag Manager. La Società ha integrato Google Analytics e Google Tag Manager, strumenti di analisi forniti da Google Inc., in Digest al fine di raccogliere ed analizzare i dati sull'attività degli utenti. Google Analytics e Google Tag Manager utilizzano cookie che raccolgono informazioni che consentono alla Società di capire come interagire con Digest. Tali informazioni contengono identificatori online, inclusi identificatori di cookie, indirizzi IP ed identificatori di dispositivo, che possono essere considerati Dati personali ai sensi dei regolamenti sulla protezione dei dati applicabili. La Società ha abilitato la funzione di anonimizzazione dell'indirizzo IP che impedisce la memorizzazione delle informazioni complete sull'indirizzo IP nei cookie di Google Analytics. Google Inc. utilizza le informazioni raccolte per valutare l'utilizzo di Digest e fornire report online ed altri servizi correlati che aiutano la Società a migliorare l'esperienza dell'utente. Le informazioni raccolte possono essere trasferite ed archiviate negli Stati Uniti da Google Inc. o da qualsiasi Fornitore di servizi di terze parti che agisce per suo conto. Se l’utente non è d’accordo con la raccolta ed il trattamento di tali dati personali da parte di Google Inc., deve installare un componente aggiuntivo del browser (disponibile su https://tools.google.com/dlpage/gaoptout) che impedirà l'ulteriore raccolta e trasmissione di informazioni tramite i cookie di Google Analytics. Ulteriori dettagli sull'utilizzo dei cookie di Google Analytics sono disponibili qui.
- Informazioni raccolte tramite immagini web beacon. I web beacon sono immagini (gif a pixel singolo) incorporate in una pagina web od in un'e-mail allo scopo di misurare ed analizzare l'utilizzo e l'attività del sito web. I web beacon o le tecnologie simili aiutano la Società a gestire meglio i Servizi, contare gli utenti dei Servizi, monitorare il modo in cui gli utenti navigano nei Servizi, contare quante email inviate dalla Società sono effettivamente aperte e, in generale, misurare le prestazioni. La Società non stabilisce un collegamento tra le informazioni raccolte dai web beacon ai Dati personali dell’utente. I web beacon non raccolgono Dati personali.
5. USO DELLE INFORMAZIONI
-
Utilizzo dei Dati personali:
la Società può utilizzare i dati personali raccolti per le seguenti finalità:
- fornire, mantenere, amministrare, supportare, proteggere e migliorare i Servizi;
- soddisfare i requisiti di conformità di conformità previsti dalla normativa applicabile;
- condividere i dati del conto di pagamento e/o dai Rapporti analitici al proprio partner;
- fornire assistenza ai clienti;
- gestire ed elaborare le richieste dell’utente;
- far rispettare i Termini di servizio;
- indagare su qualsiasi attività illegale od illecita in relazione ai Servizi;
- tutelare i diritti, la proprietà e la sicurezza degli utenti, della Società e di terzi;
- trasferire i Dati personali in caso di vendita, fusione, consolidamento od acquisizione. In tal caso, qualsiasi acquirente sarà soggetto agli obblighi della Società ai sensi della presente Informativa sulla privacy;
- memorizzare i Dati personali, al fine di poter fornire i Servizi, sui server della Società o server forniti da terze parti, che la Società ha stipulato e che si impegnano a rispettare gli obblighi stabiliti dalla Società nella presente Informativa sulla privacy;
- risolvere, analizzare e correggere gli errori relativi al servizio. In tali casi, i Dati personali dell’utente potrebbero essere visibili e/o accessibili da tecnici, personale IT e/o amministratori di sistema autorizzati dalla Società;
- combinare i Dati personali con le informazioni ottenute tramite l'uso di cookie, web beacon o tecnologie simili, al fine di migliorare i Servizi e l'esperienza dell'utente;
- adempiere ad obblighi di legge a cui è soggetta la Società;
- stabilire la conformità con le leggi sulla protezione dei Dati personali durante un audit od un'ispezione condotta da un'autorità di controllo appropriata, a condizione che, in ogni momento, i Dati personali rimarranno soggetti alle disposizioni della presente Informativa sulla privacy;
- generare i Dati anonimi e/o Dati aggregati anonimi (come definiti di seguito); e
- rispondere alle richieste dell’utente di esercitare i suoi diritti in conformità con i regolamenti sulla protezione dei Dati personali.
-
Utilizzo di dati non personali:
la Società può generare dati anonimi derivati da, o basati su Dati personali raccolti dall’utente od acquisiti dall'utilizzo dei Servizi, e tali dati anonimi potrebbero non essere più utilizzati per identificare, direttamente od indirettamente, una persona fisica
("Dati anonimi")
e può combinare od incorporare tali Dati anonimi con od in altri dati od informazioni simili raccolte da altri utenti o derivati dall'utilizzo dei Servizi da parte di altri utenti
("Dati anonimi aggregati").
La Società può utilizzare tali Dati anonimi e Dati anonimi aggregati per vari scopi commerciali, inclusi, ma non limitati a:
- fornire, mantenere, supportare e migliorare i Servizi;
- condurre ricerche analitiche, compilare Rapporti statistici e valutare le prestazioni;
- sviluppare e/o migliorare altri Servizi e prodotti della Società;
- condivisione di tali Dati anonimi e Dati anonimi aggregati con le affiliate, gli agenti e/o i Subappaltatori della Società (come definiti di seguito nella Sezione 7.a).
Dati anonimi e Dati anonimi aggregati non sono Dati personali e di conseguenza le disposizioni della presente Informativa sulla privacy non sono applicabili a tali dati. Per evitare qualsiasi incertezza, la Società non venderà Dati anonimi e Dati anonimi aggregati.
6. PRIVACY DEI MINORENNI
La protezione della privacy dei minorenni è particolarmente importante per la Società. I Servizi non sono rivolti a bambini di età inferiore ai diciotto (18) anni e la Società non richiede, raccoglie o tratta consapevolmente Dati personali da persone di età inferiore ai diciotto (18) anni. Se veniamo a conoscenza del fatto che i Dati personali di persone di età inferiore a diciotto (18) anni sono stati raccolti tramite i Servizi, adotteremo le misure appropriate per eliminare tali informazioni senza indebito ritardo.
7. DIVULGAZIONE E TRASFERIMENTO DEI DATI
Utilizzando i Servizi e trasmettendo i Dati personali alla Società, l’utente riconosce ed accetta che i suoi Dati personali possano essere trattati e trasmessi in giurisdizioni diverse dal suo paese di residenza che potrebbero avere normative sulla privacy e sulla protezione dei dati diverse da quelle del suo paese. È possibile accedere ai Dati personali da un paese (incluso un paese terzo) diverso dal proprio paese di residenza autorizzato dalla Società, o che agisce per conto della Società, ai fini della risoluzione vari problemi e rimuovere errori. I suoi Dati personali saranno archiviati solo all'interno dell'UE e saranno trasferiti solo al di fuori dell'UE come stabilito nel GDPR. La Società adotterà tutte le misure adeguate per garantire che i Dati personali siano sempre trattati in modo sicuro ed in conformità con la presente Informativa sulla privacy. La Società trasferirà e/o divulgherà i Dati Personali solo (i) come specificato nella presente Informativa sulla privacy e (ii) come altrimenti autorizzato dall'utente dando il Consenso alla divulgazione e/o al trasferimento a qualsiasi altra terza parte.
-
Divulgazione e/o trasferimento a subappaltatori:
la Società ha messo in atto adeguate misure contrattuali (comprese disposizioni sulla protezione dei Dati personali, riservatezza e sicurezza) ed altre misure tecniche ed organizzative con i subappaltatori che potremmo assumere di volta in volta in relazione alla fornitura, al funzionamento, alla sicurezza e/o manutenzione dei Servizi o parte di essi
("Subappaltatori").
Limiteremo l'accesso, la divulgazione e/o il trasferimento dei Dati personali ai Subappaltatori a quanto strettamente necessario per l'adempimento degli obblighi contrattuali di tali Subappaltatori nei nostri confronti. La Società garantirà che ogni Subappaltatore rispetti le disposizioni della presente Informativa sulla privacy. Alla data della presente Informativa sulla privacy, la Società assume i seguenti Subappaltatori:
- Salt Edge Inc., Via Elgin 150, piano 10, Ottawa, ON, K2P 1L4, Canada.
-
Divulgazione e/o trasferimento ai Incaricati del trattamento:
la Società può divulgare e/o trasferire i Dati personali ai Responsabili del trattamento incaricati da noi per eseguire il trattamento dei Dati personali per nostro conto in relazione alla fornitura di servizi. La Società assicurerà che qualsiasi Incaricato del trattamento fornisca garanzie sufficienti per l'implementazione di misure tecniche ed organizzative appropriate e che il trattamento dei Dati personali da parte del Incaricato del trattamento soddisfi i requisiti stabiliti nella presente Informativa sulla privacy e nelle Leggi sulla protezione dei dati applicabili. Se il trattamento dei Dati personali da parte dell’Incaricato del trattamento comporterà il trasferimento da parte della Società di Dati personali in un paese terzo, tale trasferimento avverrà (i) sulla base di una decisione di adeguatezza della Commissione Europea, od (ii) entrando nel clausole contrattuali standard adottate dalla Commissione Europea, e fatte salve gli altri eventuali requisiti di trasferimento applicabili di cui al Capitolo V del GDPR. Alla data della presente Informativa sulla privacy la Società assume il seguente Incaricato del trattamento:
- Salt Edge Inc., Via Elgin 150, piano 10, Ottawa, ON, K2P 1L4, Canada.
- Divulgazione ai Fornitori del conto: al fine di fornire i Servizi di informazioni sull'Account, divulgheremo al tuo rispettivo Fornitore del conto alcuni Dati personali (in particolare, credenziali di sicurezza personalizzate ed in alcuni casi, a seconda del Fornitore del conto, il numero del conto di pagamento).
- Divulgazione mediante condivisione con il Partner: condivideremo i Dati del conto di pagamento dell’utente (dopo l'elaborazione, incluso senza limitazione, l'arricchimento dei dati, eseguita dalla Società su tali Dati personali) con il Partner designato in base al suo consenso GDPR alla condivisione dei dati.
-
Divulgazione per motivi legali:
possiamo divulgare i Dati personali senza il consenso dell’utente quando riteniamo in buona fede che la divulgazione di tali informazioni sia ragionevolmente necessaria od appropriata:
- per garantire la conformità con i regolamenti sulla protezione dei Dati personali, qualsiasi mandato di comparizione o richiesta esecutiva da parte delle autorità competenti od altro procedimento legale;
- per far valere i nostri diritti nei confronti dell’utente od in relazione a una sua violazione dei Termini di servizio, inclusa l'indagine su potenziali violazioni;
- per aiutare a rilevare, frenare od indagare su frodi od altre attività proibite od illegali che colpiscono o danneggiano gli interessi della Società o di terzi;
- per identificare, contattare od intentare un'azione legale contro qualcuno che potrebbe causare danni o violare in altro modo (intenzionalmente o meno) i diritti o la proprietà della Società, altri utenti dei Servizi o chiunque altro (inclusi i diritti o la proprietà di chiunque altro) che potrebbe essere danneggiato da tali attività; e
- per aiutarci a rispettare un obbligo legale a cui è soggetta la Società, o requisiti contabili o di sicurezza, nel qual caso la Società può divulgare tali informazioni ai revisori, consulenti professionali, contabili e/o consulenti legali.
In tutti i casi precedenti, la Società divulgherà i Dati personali, solo come richiesto o consentito dalle leggi sulla protezione dei dati applicabili.
- Trasferimento di titolarità: i Dati personali dell’utente possono essere divulgati e/o trasferiti in caso di cambio di controllo a seguito di una vendita di tutte od una parte sostanziale delle attività o delle azioni della Società, fusione, acquisizione o riorganizzazione, incluso qualsiasi processo di due diligenze svolto in relazione agli stessi, a condizione che i Dati personali comunicati continuino ad essere utilizzati dal soggetto che acquisisce l'accesso a tali informazioni esclusivamente per le finalità consentite e fatte salve le disposizioni della presente Informativa sulla privacy. In caso di cambio totale o sostanziale della titolarità della Società o dei Servizi, i Dati personali dell’utente potrebbero essere trasferiti al nuovo titolare per garantire la continuità dei Servizi. In qualsiasi trasferimento di proprietà i suoi Dati personali rimarranno soggetti alle disposizioni della Informativa sulla privacy in vigore in quel momento.
8. BASE LEGALE DEL TRATTAMENTO
La Società agisce in qualità di Responsabile del trattamento dei Dati personali trattati in relazione alla fornitura dei Servizi. La Società rispetterà i seguenti principi generali in relazione al trattamento dei Dati personali:
- non saranno raccolti più Dati personali di quanto sia ragionevolmente necessario allo scopo di fornire i Servizi;
- non saranno utilizzati i Dati personali per scopi diversi da quelli specificati nella presente Informativa sulla privacy;
- sarà garantito che tutto il personale autorizzato dalla Società al trattamento dei Dati personali si sia impegnato a rispettare gli obblighi di riservatezza che sono materialmente coerenti con gli obblighi della Società ai sensi della presente Informativa sulla privacy, od abbia un adeguato obbligo legale o professionale di riservatezza; e
- non saranno richieste, accese, raccolte e/o trattate consapevolmente le Categorie speciali di Dati Personali, salvo quando richiesto per la conformità alle vigenti disposizioni in materia di antiriciclaggio, finanziamento del terrorismo e per l'esecuzione dei relativi controlli dell'identità, dello stato e delle operazioni dei clienti come prescritto dalla legge.
Le basi legali della Società per il trattamento dei Dati personali raccolti come descritto nella presente Informativa sulla privacy dipenderanno dal tipo di Dati personali e dalle circostanze in cui vengono raccolti. La Società raccoglierà e tratterà i Dati personali sulla base dei seguenti motivi legali:
- il trattamento è necessario per l'esecuzione di un contratto di cui sei parte, in particolare per la fornitura dei Servizi ai sensi dei Termini di servizio;
- il trattamento si basa sul consenso dell’utente GDPR alla condivisione dei dati, ai sensi del quale la Società divulga condividendo con il Partner designato i Dati personali e/o i Rapporti analitici, come indicato ed autorizzato attraverso tale consenso GDPR alla condivisione dei dati;
- il trattamento è necessario per adempiere un obbligo legale al quale è soggetta la Società; e/o
- il trattamento è necessario ai fini degli interessi legittimi perseguiti dalla Società in qualità di Responsabile del trattamento o da una terza parte, salvo che tali interessi siano prevalenti dagli interessi o dai diritti e dalle libertà fondamentali dell'Interessato che richiede la protezione dei Dati personali.
Se esiste un'altra base giuridica per la raccolta ed il trattamento dei Dati personali, forniremo all’utente la notifica richiesta al momento o prima della raccolta dei Dati personali.
9. RUOLO DEL PARTNER AI SENSI DELLE LEGGI SULLA PROTEZIONE DEI DATI
Condividendo i Dati del conto di pagamento con il Partner designato nel Consenso alla condivisione dei dati del GDPR, tale Partner, in qualità di parte ricevente, agirà come Responsabile del trattamento indipendente rispetto ai Dati personali così condivisi. Pertanto, il Partner è l'unico responsabile per il rispetto dei suoi obblighi in qualità di Responsabile del trattamento come stabilito nelle Leggi sulla protezione dei dati applicabili, incluso, senza limitazione, il trattamento, la riservatezza e la sicurezza dei Dati personali da parte del Partner dopo che la Società condivide tali dati al Partner. La Società non sarà responsabile per eventuali trattamenti successivi effettuati da qualsiasi Partner con cui la Società condivide i Dati personali dell’utente sulla base del suo Consenso alla condivisione dei dati GDPR. La Società sarà responsabile solo per la condivisione dei suoi Dati personali e per garantire che siano condivisi in modo sicuro e con il destinatario previsto.
10. CATEGORIE PARTICOLARI DI DATI PERSONALI
L’utente riconosce che la Società non tratta, manualmente od automaticamente, non analizza, filtra, mappa od esegue alcun altro tipo simile di operazioni di elaborazione allo scopo di identificare Categorie speciali di Dati personali che potrebbero essere inclusi nei Dati del conto di pagamento. Pertanto, non si riterrà che la Società tratti Categorie speciali di Dati personali in virtù del fatto che tali dati potrebbero essere inclusi nei dati del conto di pagamento dell’utente. Tuttavia, in determinate circostanze prescritte dalla legge ed in conformità con i requisiti normativi applicabili alla Società in relazione all'antiriciclaggio, al finanziamento del terrorismo ed ai relativi controlli dell'identità, dello stato e delle operazioni dei clienti, potremmo richiedere all'utente di fornire ulteriori Dati personali che possono includere Categorie speciali di Dati personali (ad esempio, informazioni sul passaporto). Tratteremo le Categorie speciali di Dati personali raccolte al fine di ottemperare agli obblighi legali a cui è soggetta la Società. L'utente è pregato in qualsiasi momento di astenersi dal fornire volontariamente Categorie speciali di Dati personali con qualsiasi mezzo di comunicazione alla Società, a meno che non chiediamo espressamente di fornire tali dati.
11. LEGISLAZIONE ANTISPAM
La Società può, di volta in volta, inviare all’utente e-mail informative. La Società di impegna a controllare le e-mail commerciali non richieste o lo "spam". A questo proposito, includeremo un link di "annullare l'iscrizione" od "opt-out" in qualsiasi e-mail informativa inviata all'utente. È possibile disattivare la ricezione di tali e-mail informative seguendo le istruzioni incluse nelle e-mail. La Società non venderà, offrirà od affitterà gli elenchi degli abbonati di posta elettronica a terze parti senza il consenso dell’utente, né utilizzerà gli indirizzi di posta elettronica raccolti per scopi diversi da quelli per i quali sono stati inizialmente raccolti.
12. SITI WEB DI TERZE PARTI
I Servizi possono includere collegamenti a, od altrimenti indirizzare la vostra attenzione verso, siti web gestiti e controllati da terze parti (inclusi, a titolo esemplificativo, Partner e Fornitori del conto) e non dalla Società. L'accesso a qualsiasi sito Web di terze parti è a proprio rischio e l'utente deve essere consapevole del fatto che i siti Web collegati hanno termini e politiche sulla privacy, diversi da quelli della Società. Se l’utente decide di fornire Dati personali quando accede a tali collegamenti od utilizza i servizi forniti da tali terze parti, le rispettive terze parti, e non la Società, saranno responsabili del rispetto degli obblighi previsti dalle Leggi sulla protezione dei Dati personali applicabili in materia dei Dati personali che invia loro e delle attività di trattamento svolte da tali terze parti su tali Dati personali.
13. I DIRITTI AI SENSI DEL GDPR
Tenuto conto della natura del trattamento e della tipologia di Dati personali trattati, l’utente ha il diritto di esercitare i seguenti diritti come previsto dal GDPR:
- il diritto di essere informato: l’utente ha il diritto di ricevere informazioni corrette sul in merito al trattamento dei suoi Dati personali da noi trattati, inclusi, a titolo esemplificativo, i destinatari o le categorie di destinatari a cui i Dati personali sono stati o saranno divulgati, in particolare trasferimenti a destinatari in paesi terzi od organizzazioni internazionali e le garanzie adeguate relative a tali trasferimenti;
- il diritto di accesso: l’utente ha il diritto di ottenere: (i) la conferma che sia in corso il trattamento dei suoi Dati Personali e (ii) l'accesso a tali Dati personali;
- il diritto di rettifica: l’utente ha il diritto di rettificare i Dati personali se sono inesatti od incompleti;
- il diritto di cancellare i dati (diritto all'oblio): l’utente ha il diritto di richiedere la cancellazione dei suoi Dati personali quando non sussiste alcun motivo valido per continuare a trattare tali dati o, se il Consenso è la base giuridica del trattamento, quando rivoca il Consenso per tale trattamento;
- il diritto di limitare il trattamento: l’utente ha il diritto di bloccare il trattamento dei suoi Dati personali per i motivi specificati nel GDPR;
- il diritto alla portabilità dei dati: è possibile richiedere di ricevere gratuitamente una copia dei Dati personali archiviati nei nostri sistemi in un formato strutturato, di uso comune e leggibile da un dispositivo automatico, oppure richiedere alla Società di trasmettere i dati direttamente a un'altra organizzazione, se ciò è tecnicamente possibile;
- il diritto di opporsi: l’utente ha il diritto di opporsi: (i) al trattamento effettuato sulla base di interessi legittimi od all'esecuzione di un compito di interesse pubblico (compresa la profilazione), (ii) al trattamento finalizzati al marketing diretto (compresa la profilazione), ed (iii) al trattamento a fini di ricerca scientifica /storica e statistica;
- il diritto in relazione al processo decisionale individuale automatizzato ed alla profilazione: l’utente ha il diritto di opporsi al trattamento dei Dati personali ai fini del processo decisionale individuale automatizzato (prendere una decisione esclusivamente con mezzi automatizzati senza alcun coinvolgimento umano) ed alla profilazione (trattamento automatizzato di Dati personali per valutare determinate cose su un individuo);
- il diritto di presentare un reclamo a un'Autorità di controllo: l’utente ha il diritto di presentare un reclamo in merito alla protezione dei dati od alle pratiche sulla privacy della Società, od in relazione all'esercizio di qualsiasi diritto ai suoi Dati personali presso l’Autorità di controllo locale;
- il diritto di revocare il Consenso: a condizione che il Consenso sia la base giuridica del trattamento, è possibile revocare il Consenso per il trattamento dei Dati personali in qualsiasi momento.
È possibile esercitare uno dei diritti di cui sopra in qualsiasi momento contattando la Società (vedere Sezione 18 per i dettagli di contatto). La Società si adopererà per rispondere a tutte le richieste presentate nel modo e come stabilito nel GDPR. Laddove le sue richieste di esercizio dei suoi diritti ai sensi del GDPR siano manifestamente infondate od eccessive, in particolare a causa del loro carattere ripetitivo, o se vengono richieste copie aggiuntive dei Dati personali oggetto di trattamento, potremmo addebitare una tariffa ragionevole tenendo conto dei costi amministrativi per fornire o comunicare le informazioni od intraprendere l'azione richiesta.
14. CONSERVAZIONE E CANCELLAZIONE DEI DATI
La Società conserverà i Dati personali per un periodo non superiore a quello strettamente necessario agli scopi per i quali tali Dati personali sono raccolti e trattati. Il periodo di conservazione dipende dalle disposizioni delle leggi o dei regolamenti in vigore che la Società deve rispettare, dalle finalità della raccolta e del trattamento dei Dati personali e dagli interessi legittimi della Società di stabilire, esercitare o difendere i nostri diritti legali.
Elimineremo i Dati personali dell’utente dai nostri sistemi di produzione quando:
- la fornitura dei Servizi viene interrotta in base ai Termini di servizio del Termini di servizio. Per chiarezza, i Servizi forniti all'utente tramite Digest cessano alla fine del giorno successivo al giorno in cui ha fornito il Consenso PSD2 associato a tale istanza di fornitura dei Servizi;
- l’utente esercita il diritto all'oblio o, se applicabile, revoca il Consenso.
Come risultato della cancellazione, i Dati personali dell’utente associati al suo Account utente verranno eliminati in modo permanente e rimossi dai sistemi di produzione della Società, fatto salvo il nostro diritto della Società di generare i Dati anonimi ed i Dati anonimi aggregati prima di tale eliminazione. L'ulteriore utilizzo dei Servizi da parte dell’utente sarà impossibile. Nonostante qualsiasi disposizione contraria nella presente Sezione 14, la Società conserverà i Dati personali dell’utente o parti di essi:
- nei file di backup sui nostri server di backup per un periodo massimo di un (1) mese dalla data di cancellazione dai sistemi di produzione, in conformità con le procedure interne generali di conservazione;
- nei file di registro al fine di: (i) rispettare i requisiti delle leggi o dei regolamenti applicabili, (ii) esercitare o difendere le rivendicazioni legali (in corso) e (iii) soddisfare i requisiti di revisione o legali. Il periodo di conservazione dei Dati personali conservati nei file di registro sarà di almeno cinque (5) anni dalla data di cancellazione dai server di produzione, od un periodo più lungo come richiesto dalle leggi applicabili, a meno che non sia soggetto a modifiche legali o normative; e
- nei nostri sistemi interni, nella misura in cui tali Dati personali fanno parte dei registri della Società generati dall'applicazione di controlli di conoscenza del cliente ed antiriciclaggio, comprese, a titolo esemplificativo, copie di documenti di identità, monitoraggio ed analisi condotti, informazioni ottenute da mezzi di identificazione elettronica, come richiesto alla Società per ottemperare ai requisiti normativi applicabili in materia di antiriciclaggio, antiterrorismo e simili. Il periodo di tale conservazione deve essere un minimo di cinque (5) anni dalla data dell'ultimo utilizzo dei Servizi in modalità Digest, salvo diversa disposizione delle leggi applicabili od a meno che le autorità competenti non estendano tale periodo in conformità alle leggi applicabili.
I backup ed i file di registro che contengono i Dati personali vengono archiviati separatamente dai server di produzione. Tutti i Dati personali conservati nei file di backup e nei file di registro verranno trattati in conformità con i termini della presente Informativa sulla privacy per tutto il tempo in cui vengono conservati prima di essere eliminati automaticamente una volta trascorso il periodo di conservazione.
I file di backup vengono archiviati utilizzando una crittografia asimmetrica forte, ed il personale autorizzato della Società non accede a tali file nel corso delle normali operazioni della Società, né elaboreremo più attivamente i Dati personali conservati nei file di backup.
15. SICUREZZA DEI DATI PERSONALI
- Riservatezza online: Sebbene adotteremo le misure appropriate per garantire che i Dati personali dell’utente siano trattati ed archiviati in modo sicuro, purtroppo la trasmissione di informazioni tramite Internet non è totalmente priva di rischi ed in alcune occasioni tali informazioni potrebbero essere intercettate. Pertanto, non possiamo garantire la sicurezza dei Dati personali che l’utente sceglie di inviarci volontariamente tramite mezzi elettronici. La Società dichiara espressamente che non sarà responsabile per qualsiasi intercettazione od interruzione di qualsiasi trasmissione dall’utente effettuata su Internet o per qualsiasi perdita o modifica dei dati, inclusi i Dati personali, derivante da tale intercettazione od interruzione.
- Misure di tutela dei Dati personali: la Società si impegna a mantenere la riservatezza, l'integrità e la sicurezza dei Dati personali degli utenti. Utilizziamo tecniche di sicurezza ad alte prestazioni per proteggere i Dati personali da accesso, utilizzo e/o divulgazione non autorizzati. La Società limita rigorosamente l'accesso ai Dati personali in conformità a specifiche procedure interne che regolano l'accesso a tali informazioni. Selezioniamo attentamente le persone autorizzate ad accedere ai Dati personali in conformità con le nostre politiche e pratiche di sicurezza interne e ciascuna di tali persone è vincolata da obblighi di riservatezza. I Servizi garantiscono comunicazioni sicure con crittografia TLS. Per mantenere la sicurezza delle sessioni online e proteggere i nostri sistemi da accessi non autorizzati, utilizziamo una combinazione di barriere firewall, tecniche di crittografia e procedure di autenticazione, tra le altre. L'accesso ai nostri sistemi richiede diversi livelli di autenticazione, comprese le procedure di riconoscimento biometrico. Il personale di sicurezza monitora i sistemi 24 ore su 24, 7 giorni su 7. I database della Società sono protetti sia fisicamente che logicamente dall'accesso generale dei dipendenti. Applichiamo anche controlli fisici nei nostri locali. Veniamo regolarmente verificati per il nostro uso di tecnologie di crittografia e controllati per le nostre pratiche sulla privacy. La Società testa i suoi sistemi, Digest e Servizi per eventuali punti di errore che potrebbero consentire l'hacking.
16. NOTIFICA DI VIOLAZIONE DEI DATI PERSONALI
Se una violazione della sicurezza causa l'accesso non autorizzato nei sistemi, nel software o nelle reti della Società che porta alla distruzione, perdita, alterazione, divulgazione non autorizzata od accesso non autorizzato ai Dati personali trasmessi, archiviati od altrimenti trattati dalla Società ("Violazione dei Dati personali"), informeremo le Autorità di controllo competenti a meno che non sia improbabile che la violazione dei Dati personali comporti un rischio per i diritti e le libertà degli utenti interessati. La Società segnalerà la Violazione dei Dati personali all'Autorità di controllo competente senza indebito ritardo dopo esserne venuta a conoscenza tale violazione e comunque entro i tempi previsti dalle Leggi vigenti in materia di protezione dei dati. Quando è probabile che la violazione dei Dati personali comporti un rischio elevato per i diritti e le libertà degli utenti interessati, o se richiesto dall'Autorità di controllo competente, comunicheremo anche la violazione dei Dati personali agli utenti interessati senza indebito ritardo.
17. AGGIORNAMENTO DELLA INFORMATIVA SULLA PRIVACY
La Società si riserva il diritto di modificare la presente Informativa sulla privacy in qualsiasi momento e di volta in volta al fine di riflettere le modifiche ai Servizi, ai Termini di servizio od alle leggi applicabili. Se la Società decide di modificare la presente Informativa sulla privacy in futuro, pubblicheremo un avviso appropriato nella parte superiore di questa pagina dell'Informativa sulla privacy. Qualsiasi modifica non sostanziale (come chiarimenti) alla presente Informativa sulla privacy diventerà effettiva dalla data in cui la modifica viene pubblicata e qualsiasi modifica sostanziale diventerà effettiva trenta (30) giorni dalla sua pubblicazione su questa pagina Web. Salvo diversa indicazione, la presente Informativa sulla privacy si applica a tutti i Dati personali raccolti e trattati dalla Società in relazione ai Servizi. La data dell'ultima revisione della presente Informativa sulla privacy viene visualizzata nella parte superiore di questa pagina Web. Si consiglia di stampare una copia della presente Informativa sulla privacy per riferimento e di rivedere la presente Informativa sulla privacy di tanto in tanto per assicurarsi di essere a conoscenza di eventuali modifiche. L'uso continuato dei Servizi dopo che le modifiche alla presente Informativa sulla privacy sono diventate effettive implica l'accettazione di tali modifiche.
18. INFORMAZIONI DI CONTATTO
In caso di domande, commenti o feedback relativi alla presente Informativa sulla privacy od alla nostra raccolta, utilizzo, divulgazione o trattamento di Dati personali o qualsiasi altro problema di privacy o sicurezza, rivolgersi alla Società utilizzando i seguenti dettagli di contatto:
Parte contraente | Dettagli di contatto | Responsabile della protezione dei Dati personali |
---|---|---|
BudgetBakers s.r.o. |
Indirizzo postale:
Radlická 180/50, Smíchov
150 00 Praha 5,
Repubblica Ceca
|
Indirizzo postale:
Radlická 180/50, Smíchov
150 00 Praha 5,
Repubblica Ceca
|