INFORMATIONSBLATT GEMÄSS ART 13 UND 14 DER EU-VERORDNUNG 2016/679 MOBILE ANWENDUNG /WEB “ON”

Die Südtiroler Sparkasse AG (die “Bank”), mit Sitz in Bozen, Sparkassenstraße Nr. 12, in ihrer Eigenschaft als Verantwortliche der Verarbeitung, im Sinne der EU-Verordnung 2016/679 (DSGVO), unterbreitet Ihnen im Sinne der Art. 13 und 14 dieser Verordnung vorliegendes Informationsblatt betreffend die personenbezogenen Daten, die über die Verwendung der App „ON“ durch das Herunterladen, die, Authentifizierung, den Zugang und auf jeden Fall durch die Verwendung im Allgemeinen über mobile Anwendung und/oder Web gesammelt werden

1. VERANTWORTLICHER FÜR DIE VERARBEITUNG UND ADRESSEN FÜR DIE KOMMUNIKATION.

Verantwortlicher für die Verarbeitung ist die Südtiroler Sparkasse AG, mit Sitz in Bozen, Sparkassenstraße Nr. 12. Der Verantwortliche hat einen Datenschutzbeauftragten ("Data Protection Officer" - DPO) ernannt, den Sie für jede Information in Bezug auf die Verarbeitung Ihrer personenbezogenen Daten und für die Ausübung Ihrer nachstehend näher erläuterten Rechte über die folgenden Post- und E-Mail-Adressen kontaktieren können:

• Südtiroler Sparkasse AG. Bozen, Sparkassenstraße 12, z.K.: an den DPO

• E-Mail: privacy.crbz@sparkasse.it

Der Verantwortliche und der DPO werden, auch über die beauftragten Strukturen, Ihren Auftrag entgegennehmen und unverzüglich und auf jeden Fall innerhalb eines Monats ab Erhalt des Auftrags, die Informationen im Zusammenhang mit dem Auftrag oder die Gründe für eine eventuelle verspätete oder verweigerte Bearbeitung übermitteln.

Sollte der Verantwortliche Zweifel an der Identität der natürlichen Person hegen, die den Auftrag einreicht, können zusätzliche Informationen zur Bestätigung der Identität des Betroffenen verlangt werden.

2. ART DER VERARBEITETEN DATEN.

Zu den im vorliegenden Informationsblatt angeführten Zwecken wird die Bank folgende von Ihnen direkt gelieferte Daten (in der Folge auch „Daten“) verarbeiten:

• meldeamtliche, Identifikations- und Kontaktdaten, die bei der Registrierung und dem ersten Zugang zur APP und jedes Mal, wenn die Authentifizierung für den Zugang zur Anwendung verlangt wird, eingegeben werden (z.B.: Name und Familienname, Adresse. Kontakt-E-Mail, Telefonnummer);

• Informationen, die sich aus der Verwendung des SPID und/oder durch Fernerkennungsverfahren ergeben (diesbezüglich wird auf das Informationsblatt „Fernerkennung“ verwiesen);

• Informationen zur verwendeten Log-in-Typologie beim Zugang;

• Informationen zur Position, auch mit Erhebung in Echtzeit, falls der Kunde die Filialen oder die ATM der Bank lokalisieren möchte und Informationen liefern möchte, die der Bereicherung und Optimierung der Prüfungen des Risikos dienen, die zu seinem besseren Schutz vom Betrugsbekämpfungssystem der Bank durchgeführt werden;

• auf dem Endgerät des Nutzers gespeicherte Fotos, Multimedia und Dateien, falls dies für die Typologie der beantragten Transaktion erforderlich ist und auf jeden Fall nach Einwilligung des Nutzers beim Zugang;

• sonstige Daten, die für den Betrieb der APP erforderlich sind (vollständiger Zugang zum Netz, Flash, Informationen zum installierten Endgerät und Betriebssystem, Speicher des Endgeräts).

Wir erinnern daran, dass die Lieferung der Daten auf freiwilliger Basis erfolgt; die eventuelle Verweigerung des Zugangs zu spezifischen, oben beschriebenen Ressourcen, Informationen oder Funktionen des Endgerätes könnte jedoch, auch nach der Installierung der Anwendung, den Betrieb von bestimmten Dienstleistungen der APP, auch in ihren nachfolgenden Versionen, verhindern.

Der Nutzer kann durch Zugang zur Sektion der Einstellung des persönlichen Endgeräts diese Autorisierungen immer einsehen und selektiv entfernen.

Die Bank kann, zu statistischen Zwecken, Informationen einholen hinsichtlich der Anzahl der Nutzer, die die App heruntergeladen haben und diese benutzen, sowie hinsichtlich der Interaktionen der Nutzer gegenüber auf der Anwendung vorhandener Werbebanner und/oder Menus im Allgemeinen.

Für die Daten, die zur korrekten Ausführung der bestehenden Vertragsbeziehung gesammelt und verarbeitet werden, wird auf das Informationsblatt verwiesen, das beim Onboarding ausgehändigt wird (z.B.: Registrierung als neuer Kunde) sowie auf die entsprechend erteilten Einwilligungen.

Bei Anfrage um Unterstützung beim Betrieb der Anwendung, kann der Bearbeiter dem Nutzer die Notwendigkeit mitteilen einige Datentypologien wie oben erwähnt zu aktivieren und ihn ersuchen, seine Einwilligung zu deren Verwendung zu erteilen, da deren Funktionen infolge der Einstellungen des Endgeräts durch den Nutzer selbst gesperrt sind.

Die betroffene Person wird abschließend darüber informiert, dass, falls der Nutzer über die entsprechende Sektion in den erklärenden Bannern zu den Bankprodukten für nähere Informationen erneut kontaktiert werden möchte, die betroffene Person ihre Einwilligung zur Verwendung seiner Kontaktdaten für diese Anfrage erteilt (sog “call to action”).

3. ZWECK UND RECHTLICHE GRUNDLAGE DER VERARBEITUNG.

Der Verantwortliche informiert, dass die über die Verwendung der ON-Anwendung über Mobile oder Web eingeholten Daten nach der Einwilligung verarbeitet werden, die der Nutzer bei der Registrierung/Authentifizierung im Sinne des Art. 6, Par. 1, Buchst. a) des DSGVO bzw. zur Ausführung der Vertragsbeziehung zwischen der Bank und dem Betroffen im Sinne des. 6, Par. 1, Buchst. b) des DSGVO erteilt.

Bei Streitfällen zwischen den Parteien und zur Bannung von Gefahren und zur darauffolgenden Handhabung von betrügerischen Ereignissen kann die Bank die Daten betreffend die Zugänge und/oder bezogen auf die Log-ins im Allgemeinen im Sinne des Art. 6, Par. 1, Buchst. f) des DSGVO verarbeiten.

Mit Bezug auf den Versand von Push-Nachrichten durch die Anwendung, auf die Verwendung der Geolokalisierung des Nutzers, falls dieser die Funktion in den Einstellungen seines Endgeräts autorisiert hat, sowie auf den eventuellen Zugang zum virtuellen Kundendienst “Marion”, wird auf den nachfolgenden Paragrafen 4 für die spezifischen Hinweise zur Verwendung der jeweiligen verarbeiteten Daten verwiesen.

4. ART DER VERARBEITUNG DER PERSONENBEZOGENEN DATEN.

Die Verarbeitung der personenbezogenen Daten erfolgt über informatische, telematische und manuelle Instrumente, aufgrund einer eng mit der Zweckbestimmung zusammenhängenden Logik und auf jeden Fall auf eine Art und Weise, die den Schutz, die Sicherheit und Vertraulichkeit der Daten selbst im Sinne des Art. 32 des DSGVO gewährleistet. Der Verantwortliche verarbeitet die Daten; indem er die angemessenen Sicherheitsmaßnahmen trifft, um den Zugang, die Verbreitung, die Änderung oder unbefugte Vernichtung der personenbezogenen Daten zu verhindern. Es wird mitgeteilt, dass, falls Links oder sonstige von der Bank nicht verwaltete/kontrollierte Verbindungen oder Inhalte außerhalb der App angeführt werden, die Bank keine Kontrolle über die Inhalte derselben ausüben kann. Was die Verarbeitung der personenbezogenen Daten anlangt, wird demnach empfohlen, auf die Informationsblätter der betroffenen Webseiten Bezug zu nehmen.

PUSH-NACHRICHTEN

Die Anwendung “ON”, in der Mobile-Version verwendet, bietet Funktionen an, welche Sofortnachrichten versenden; die Nachricht gelangt zum Empfänger, ohne dass dieser sie herunterladen muss (die sog. “Push”-Nachricht”).

Die Push-Nachricht wird zu Vertragszwecken verwendet (z.B.: um den Antrag auf Zugang über ON ID oder um das Bestehen eines Dokuments zu melden, das digital zu unterzeichnen ist); sie kann auch verwendet werden, um, auch über die Geolokalisierung, Geschäftsvorschläge auf von der Bank angebotene Produkte zu unterbreiten, die auch spezifisch an den Nutzer gerichtet sind, je nach Vertragsbeziehung, die zwischen den Parteien besteht, und je nach Dienstleistungen, die Gegenstand des Vertrags sind (z.B. neue Finanzierungsdienstleistung, neue Versicherungspolizze zur Ergänzung der bestehenden); dies auf Grund der Einwilligung, die die betroffene Person, im Sinne des Art. 6, Par. 1, Buchst. a) des DSGVO, bei der Unterzeichnung des Vertrages erteilt hat.

Beim IOS-Betriebssystem wird die Push-Nachricht infolge einer vom Nutzer erteilten Autorisierung aktiviert, indem man bei der Installierung der App “ON” die Option “Einwilligen” wählt; beim Betriebssystem Android erfolgt die Aktivierung automatisch bei der Installierung der App Sparkasse ON. Der Nutzer kann auf jeden Fall in der Sektion der Einstellungen der App „ON“ den Meldedienst aktivieren oder deaktivieren.

NICHT PUNKTGENAUE UND NICHT STÄNDIGE LOKALISIERUNG

Die App “ON”, Mobile und/oder Web, bietet Funktionen, die Daten betreffend die geographische Position des Nutzers einholen (GPS, Wi-FI, GSM). Die Lokalisierungseinstellung ermöglicht die Lokalisierung der ATM und Filialen, die der geographischen Position des Nutzers am nächsten sind, und die Berechnung des schnellsten Weges, um zu ihnen zu gelangen. Die Sammlung dieser Daten ermöglicht es, dem Kunden eine Push-Nachricht zu senden (wo diese Funktion aktiviert ist, siehe vorhergehenden Paragrafen “Push-Nachricht”), die dem Nutzer Produkte vorschlägt, die dem ermittelten Ort, in dem sich der Nutzer befindet, entspricht.

Diese Dienste werden infolge einer vom Nutzer erteilten Autorisierung aktiviert, indem bei der Installierung der App Sparkasse ON die Option „Einwilligen“ gewählt wird. Die gesammelten Daten werden nur gesammelt, solange die Anwendung oder die Webseite verwendet werden.

Der Nutzer kann auf jeden Fall jederzeit die Geolokalisierung in der eigenen Sektion der Erlaubnisse im Menu der Einstellungen des eigenen Endgeräts aktivieren und deaktivieren- Mit der Deaktivierung der Geolokalisierung wird der Versand der Push-Meldungen automatisch deaktiviert und es wird nicht mehr möglich sein, die nächstliegenden ATM und Filialen abzurufen.

Die von ON verwendeten Dienste ermöglichen die Wiedergewinnung von einigen Lokalisierungsinformationen über Firewall (wie IP-Adresse, Nutzername, Datum/Uhrzeit des Zugangs zur Anwendung, verwendetes Endgerät), die zum ausschließlichen Gebrauch des Sicherheitsteams der Bank zu Audit- oder Analysezwecken zur Bekämpfung von Betrügereien für die darauffolgenden 24 Monate historisiert werden.

VIRTUELLE ASSISTENTIN

Die App “ON” bietet die Möglichkeit, die virtuelle Assistentin (MariON) in Anspruch zu nehmen, eine Chatbot-Funktion der künstlichen Intelligenz, die den Nutzer beim Navigieren der Anwendung führt.

Der Nutzer kann mit MariON in Dialog treten, sowohl über den auf der Tastatur eingegebenen Text als auch über die Umwandlung des gesprochenen Textes in einen schriftlichen Text. Die Verwendung der vokalen Interaktion kann ausschließlich auf Betreiben des Kunden aktiviert werden, indem die entsprechende Ikone von MariON auf der Homepage der Anwendung angeklickt wird, mit entsprechender und ausdrücklicher Einwilligung zur Verwendung des Mikrophons bei der ersten Inanspruchnahme von MariON; diese Einwilligung kann jederzeit sowohl durch die Einstellungen der Anwendung als auch durch die Einstellungen des eigenen Endgerätes widerrufen werden. Es wird auf jeden Fall darauf hingewiesen, dass bei Inanspruchnahme von Sprachbefehlen dem Motor der virtuellen Assistenz keine Registrierung zugeführt wird und dass die Umwandlung des Audios in Text vom Betriebssystem des Nutzers durchgeführt wird. Der Vollständigkeit halber wird mitgeteilt, dass die Sicherheit der Informationen von der End-to-end-Verschlüsselung gewährleistet wird und dass keine als personenbezogene Daten klassifizierbare Informationen betreffend das Gespräch in das für den Dienst verwendeten Systemen verwahrt werden.

5. ZEITRAUM DER VERWAHRUNG DER PERSONENBEZOGENEN DATEN.

Die Daten werden unter Einhaltung der anwendbaren Rechtslage für den Schutz der personenbezogenen Daten für 10 Jahre ab Beendigung der Bankverbindung aufbewahrt.

Bei Streitfällen, falls die Daten noch nicht gelöscht wurden, können diese für den gesamten Zeitraum verwahrt werden, der erforderlich ist, um die Rechte und Interessen des Verantwortlichen vor Gericht zu verteidigen, bzw. Untersuchungen durch die Justizbehörden oder die Polizei für die Feststellung und Bekämpfung von Straftaten durchzuführen.

6. PERSONEN ODER PERSONENKATEGORIEN, DENEN DIESE DATEN MITGETEILT WERDEN KÖNNEN ODER DIE KENNTNIS DAVON ERHALTEN KÖNNEN.

Zur Erreichung der unter Punkt 3 dargelegten Zwecke können die Daten von unseren Angestellten und Mitarbeitern bearbeitet werden, die ausdrücklich autorisiert und zu Auftragsverarbeiter ernannt, sowie von Drittpersonen, die in ihrer Eigenschaft als externe Auftragsverarbeiter tätig sind.

Der betroffenen Person wird mitgeteilt, dass die Anwendung “ON” von Links Management and Technology S.p.A. mit Sitz in Lecce, via R. Scotellaro Nr. 55, P.I. 03351210756, im Sinne des Art. 28 des DSGVO zum externen Auftragsverarbeiter ernannt, realisiert wurde.

Die ständig aktualisierte Liste dieser Personen kann bei den oben angeführten Kontakten angefordert werden.

Die über die Anwendung “ON” gesammelten Daten können zudem in den vom Gesetz vorgesehenen Fällen und Vorgangsweisen der Justizbehörde und den zuständigen öffentlichen Behörden mitgeteilt werden.

Der Verantwortliche verbreitet nicht die Daten und überträgt sie nicht in Länder außerhalb des europäischen Wirtschaftsraumes (ehem. EWR), mit Ausnahme der Aufzeichnungen der Gespräche mit der virtuellen Assistenz, die in Servern in Cloud auch außerhalb der EU gespeichert werden, über welche der Verantwortliche die angebrachten Betrachtungen, Risikoanalysen und die Regularisierung der Beziehung zum Lieferanten vorgenommen hat. Auf jeden Fall werden die Aufzeichnungen der Dialoge mit der virtuellen Assistentin ohne personenbezogene Daten verwahrt. Diese werden, wo vorhanden, maskiert.

7. RECHTE DER BETROFFENEN PERSON

Zusätzlich zum Zugangsrecht betreffend die Möglichkeit, vom Verantwortlichen die Bestätigung zu verlangen, dass eine Verarbeitung der eigenen Daten im Sinne des Art. 15 DSGVO stattfindet, genießt die betroffene Person zudem di Rechte im Sinne der Art. 16-21 der Verordnung, und zwar:

• vom Verantwortlichen unverzüglich die Berichtigung der sie betreffenden unrichtigen Daten bzw. die Ergänzung der unvollständigen Daten zu verlangen, auch durch Abfassung einer ergänzenden Erklärung;

• vom Verantwortlichen unverzüglich die Löschung der sie betreffenden personenbezogenen Daten zu verlangen, falls:

  • die personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind;

  • die betroffene Person ihre Einwilligung, auf die sich die Verarbeitung stützte, widerruft und es an einer anderweitigen Rechtsgrundlage für die Verarbeitung fehlt.

  • die betroffene Person Widerspruch gegen die Verarbeitung einlegt und keine vorrangigen berechtigten Gründe für die Verarbeitung vorliegen, oder die betroffene Person Widerspruch gegen die Verarbeitung einlegt;

  • die personenbezogenen Daten unrechtmäßig verarbeitet wurden;

  • die Löschung der personenbezogenen Daten zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich ist, dem der Verantwortliche unterliegt;

• vom Verantwortlichen die Einschränkung der Verarbeitung der personenbezogenen Daten zu erhalten, falls

  • die Richtigkeit der personenbezogenen Daten von der betroffenen Person bestritten wird, und zwar für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen;

  • die Verarbeitung unrechtmäßig ist und die betroffene Person die Löschung der personenbezogenen Daten ablehnt und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangt;

  • der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, die betroffene Person sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt;

  • die betroffene Person Widerspruch gegen die Verarbeitung eingelegt hat, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen.

• vom Verantwortlichen die sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, falls

• die Verarbeitung auf einer Einwilligung oder einem Vertrag beruht;

• die Verarbeitung mithilfe automatisierter Verfahren erfolgt. In diesem Fall hat die betroffene Peron das Recht, zu erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist;

• sich jederzeit aus Gründen im Zusammenhang mit der eigenen besonderen Situation der Bearbeitung der sie betreffenden personenbezogenen Daten widersetzen.

Für die Ausübung ihrer Rechte können sich die betroffenen Personen in den unter Punkt 1 dieses Informationsblattes besser beschriebenen Vorgangsweisen und an die dort angegebenen Adressen wenden.

Falls die betroffene Person der Ansicht ist, dass der Verantwortliche die Pflichten laut DSGVO-Bestimmungen nicht erfüllt, kann er Beschwerde bei der Aufsichtsbehörde für den Datenschutz über die Webseite https://www.garanteprivacy.it/ einreichen.