ERGÄNZUNG INFORMATIONSBLATT GEMAESS ART. 13 UND 14 DER EU-VERORDNUNG 2016/679 FERNERKENNUNG

Sehr geehrte Kundin, sehr geehrter Kunde,

die Südtiroler Sparkasse AG (die “Bank”), mit Sitz in Bozen, Sparkassenstraße Nr. 12, in ihrer Eigenschaft als Verantwortliche der Verarbeitung stellt eine Ergänzung zum allgemeinen Informationsblatt zur Verfügung, im Sinne der Art. 13 und 14 der EU-Verordnung 679/2016 sog. „DSGVO“ erstellt, betreffend die Verarbeitung der personenbezogenen Daten beim spezifischen Prozess der Fernerkennung über Online-Verfahren zur Eröffnung eines neuen Kontokorrents und/oder über Verfahren zur Rücksetzung des Passworts durch die Anwendung „ON“ der Bank in den Versionen Mobile oder Web.

1. VERANTWORTLICHER FÜR DIE VERARBEITUNG UND DATENSCHUTZBEAUFTRAGTER

Verantwortlicher für die Verarbeitung ist die Südtiroler Sparkasse AG, mit Sitz in Bozen, Sparkassenstraße Nr. 12. Der Verantwortliche hat einen Datenschutzbeauftragten ("Data Protection Officer" - DPO) ernannt, den Sie für jede Information in Bezug auf die Verarbeitung Ihrer personenbezogenen Daten und für die Ausübung Ihrer nachstehend näher erläuterten Rechte über die folgenden Post- und E-Mail-Adressen kontaktieren können:

• Südtiroler Sparkasse AG. Bozen, Sparkassenstraße 12, z.K.: an den DPO

• E-Mail: privacy.crbz@sparkasse.it

Der Verantwortliche und der DPO werden, auch über die beauftragten Strukturen, Ihren Auftrag entgegennehmen und unverzüglich und auf jeden Fall innerhalb eines Monats ab Erhalt des Auftrags, die Informationen im Zusammenhang mit dem Auftrag oder die Gründe für eine eventuelle verspätete oder verweigerte Bearbeitung übermitteln.

Sollte der Verantwortliche Zweifel an der Identität der natürlichen Person hegen, die den Auftrag einreicht, können zusätzliche Informationen zur Bestätigung der Identität des Betroffenen verlangt werden.

2. ART DER VERARBEITETEN DATEN

Für die im vorliegenden Informationsblatt dargelegten Zwecke könnte die Bank direkt von ihnen gelieferte oder bei Dritten gesammelte Daten (in der Folge auch “Daten”) verarbeiten, wie:

meldeamtliche, Identifikations- und Kontaktdaten; auch über SPID gesammelt (z. B.: Name und Familienname, Geburtsdatum Geburtsort, Steuernummer, Personalausweis, Wohnsitz, E-Mail-Adresse, Telefonnummer, Video Selfie, Foto/Selfie, Aufzeichnung der Stimme);

biometrische Daten (gesammelt im Rahmen der Prüfung der Übereinstimmung der hochgeladenen Unterlagen mit dem Life-Erkennungsvideo, digitale Unterschrift);

Lokalisierungsdaten (z.B.: IP-Adresse);

technische Daten (z.B. Art der Videokamera oder des Endgeräts);

wirtschaftliche und bankspezifische Daten;

Daten zur Arbeit und zum Studium.

3. ZWECKE UND RECHTLICHE GRUNDLAGE DER VERARBEITUNG

Der Verantwortliche informiert, dass die Daten für folgende Zwecke gesammelt werden:

• Vorab-Prüfung der Identität eines potenziellen Kunden (sog. Prospect), der eine Bankverbindung/eine Bankdienstleistung aus der Ferne eröffnen möchte (d.h. selbständig über Online-Verfahren);

• Vorab-Prüfung der Identität eines Kunden, der die Rücksetzung seiner Zugangsdaten für den Zugang zum eigenen Online Banking-Account beantragt;

• Vorab-Prüfung der Identität eines Kunden, der ein Enrollment-Verfahren vornehmen muss (Verfahren, durch welches ein neues Endgerät für die Inanspruchnahme der Bankdienstleistungen registriert und konfiguriert wird).

Dies mit dem Ziel, in erster Linie, die Gesetze zur Geldwäschebekämpfung einzuhalten und zudem möglichen Betrügereien vorzubeugen, die zu den verbreitetsten unerlaubten Verfahrensweisen gehören, durch welche nicht autorisierte Drittpersonen Zugang zu den Informationen der Kontoinhaber erlangen, um nicht autorisierte Finanzgeschäfte durchzuführen.

Die rechtlichen Grundlagen im Sinne des Art. 6 des DSGVO sind folgende:

• Hinsichtlich der Einholung des Video-Selfies, des biometrischen Match und der Verwendung der digitalen Unterschrift: Art. 6, Absatz 1, Buchst a) der DSGVO;

• die Erfüllung einer gesetzlichen Pflicht, der der Verantwortliche unterliegt (genauer die Einhaltung der Bestimmungen zur Bekämpfung der Geldwäsche): Art. 6, Absatz 1, Buchstabe c) der DSGVO;

• für die Vorbeugung von möglichen Betrügereien: Art. 6, Absatz 1, Buchstabe f).

Die Einholung des Videos erfüllt alle Voraussetzungen der am 22.11.2022 veröffentlichten EBA-Leitlinien zum Thema Remote on bording und des Rundschreibens der Banca d’Italia über die Erfüllung der Sorgfaltspflicht, wie am 13. Juni 2023 abgeändert, laut denen die Einholung der biometrischen Daten der Kunden erforderlich ist (Liveness), um sie mit jenen zu vergleichen, die über andere unabhängige und verlässliche Quellen eingeholt wurden.

Hat der Kunde nicht die Möglichkeit SPID, eID, Registrierung Video-Selfie zu nutzen, kann er sich während der Öffnungszeiten zu einer der Filialen auf dem Einzugsgebiet begeben.

Die Verweigerung der Daten macht es dem Verantwortlichen unmöglich, dem Antrag des Nutzers Folge zu leisten. Für Erläuterungen und/oder Unterstützung kann der Nutzer sich in jedem Fall während der Öffnungszeiten in die im Einzugsgebiet befindlichen Filialen begeben. Es ist möglich, selbst in den Filialen des Einzugsgebiets persönlich vorstellig zu werden, um jedwede Bankverbindung zu eröffnen.

Der Vollständigkeit halber wird mitgeteilt, dass die Vorab-Prüfung der Identität für die oben dargelegten Zwecke über drei getrennte Verfahren durchgeführt werden kann:

• durch Authentifizierung des Kunden über die digitale Identität SPID, die von einem autorisierten Anbieter zur Verfügung gestellt wird, und Prüfung der Identität mit Einholung von Personalausweisen, Video-Selfie und biometrischem Match;

• über Authentifizierung des Kunden für den eID-Dienst des Innenministeriums und Prüfung der Identität mit Einholung von Personalausweisen, Video-Selfie und biometrischem Match;

• durch Einholung von Personalausweisen, Video-Selfie und biometrischem Match.

4. VORGANGSWEISE BEI DER VERARBEITUNG DER PERSONENBEZOGENEN DATEN

Die Verarbeitung der personenbezogenen Daten erfolgt mit manuellen, informatischen oder telematischen Mitteln aufgrund einer eng mit der Zweckbestimmung zusammenhängenden Logik und auf jeden Fall auf eine Art und Weise, die die Sicherheit und Vertraulichkeit der Daten selbst gewährleistet, gemäß den Grundsätzen der Korrektheit, Rechtsmäßigkeit, Redlichkeit und Transparenz, die von den Bestimmungen zum Schutz der personenbezogenen Daten vorgesehen sind, wobei die Vertraulichkeit der Person, auf die sich die Daten beziehen, durch entsprechende technische und organisatorische Sicherheitsmaßnahmen geschützt werden.

5. VERWAHRUNG DER PERSONENBEZOGENEN DATEN

Die Daten werden unter Einhaltung der anwendbaren Rechtslage für den Schutz der personenbezogenen Daten für 10 Jahre ab Beendigung der Bankverbindung aufbewahrt.

Bei Streitfällen, falls die Daten noch nicht gelöscht wurden, können diese für den gesamten Zeitraum verwahrt werden, der erforderlich ist, um die Rechte und Interessen des Verantwortlichen vor Gericht zu verteidigen.

6. EVENTUELLE ÜBERTRAGUNG DER PERSONENBEZOGENEN DATEN INS AUSLAND

Die Verwaltung und Verwahrung der Daten erfolgen in Archiven in Papierform sowie in Servern des Verantwortlichen und/oder von Drittgesellschaften, die zu Auftragsverarbeitern ernannt wurden. Die Server, auf welchen die oben beschriebenen Daten gespeichert werden, befinden sich innerhalb der Europäischen Union.

7. PERSONENKATEGORIEN; DENEN DIE DATEN MITGETEILT WERDEN KÖNNEN

Für die Verfolgung der oben angeführten Zwecke können Ihre Daten Drittpersonen unseres Vertrauens mitgeteilt und/oder von diesen verarbeitet werden; diese führen für unsere Rechnung Aufgaben technischer, operativer und organisatorischer Natur als Auftragsverarbeiter oder weiterer Auftragsverarbeiter durch. Die Daten können zudem bei Bedarf und nach entsprechender Anfrage der Aufsichtsbehörde mitgeteilt und mit diesen geteilt werden.

Eine vollständige Liste dieser Rechtspersönlichen wird dem Betroffenen auf Anfrage an den Verantwortlichen über die Kontaktadressen gemäß vorhergehendem Punkt 1 zur Verfügung gestellt.

8. RECHTE DER BETROFFENEN PERSON

Im Zusammenhang mit den im vorliegenden Informationsblatt beschriebenen Verarbeitungen, können Sie, als betroffene Person, zu den von der DSGVO vorgesehenen Bedingungen, die von den Artikeln 15-21 der DSGVO festgelegten Rechte ausüben, insbesondere die folgenden Rechte:

• Auskunftsrecht – Artikel 15 DSGVO: das Recht, Bestätigung darüber zu verlangen, ob Sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so haben Sie das Recht auf Auskunft über diese personenbezogenen Daten und auf eine Kopie derselben;

• Recht auf Berichtigung: Artikel 16 DSGVO: das Recht, unverzüglich die Berichtigung Sie betreffender unrichtiger personenbezogener Daten und/oder die Vervollständigung der unvollständigen personenbezogener Daten zu verlangen;

• Recht auf Löschung (Recht auf „Vergessenwerden“) – Art. 17 DSGVO: das Recht, die unverzügliche Löschung von Sie betreffenden personenbezogenen Daten zu verlangen;

• Recht auf Einschränkung der Verarbeitung – Artikel 18 DSGVO: das Recht, die Einschränkung der Verarbeitung zu verlangen, wenn:

  • die Richtigkeit der personenbezogenen Daten von der betroffenen Person bestritten wird, und zwar für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen;

  • die Verarbeitung unrechtmäßig ist und die betroffene Person die Löschung der personenbezogenen Daten ablehnt und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangt;

  • die betroffene Person die personenbezogenen Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt;

  • die betroffene Person Widerspruch gegen die Verarbeitung gemäß Artikel 21 DSGVO eingelegt hat, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen.

• Recht auf Datenübertragbarkeit– Artikel 20 DSGVO: das Recht, die Sie betreffenden personenbezogenen Daten, die Sie einem Verantwortlichen bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und diese Daten einem anderen Verantwortlichen ohne Behinderung zu übermitteln, sofern die Verarbeitung auf einer Einwilligung beruht und mithilfe automatisierter Verfahren erfolgt. Des Weiteren das Recht, dass Ihre Daten direkt von der Bank einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist;

• Widerspruchsrecht – Artikel 21 DSGVO: das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund der Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt, einschließlich des Profilings, erfolgt, Widerspruch einzulegen, es sei denn, der Verantwortliche kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Die oben angeführten Rechte können gegenüber dem Verantwortlichen ausgeübt werden; indem man ihn über die im Punkt 1 des vorliegenden Informationsblattes angeführten Adressen kontaktiert.

Die Ausübung Ihrer Rechte als betroffene Person erfolgt im Sinne des Artikels 12 DSGVO unentgeltlich. Allerdings könnte der Verantwortliche bei offenkundig unbegründeten oder — insbesondere im Fall von häufiger Wiederholung — exzessiven Anträgen entweder ein angemessenes Entgelt verlangen, bei dem die Verwaltungskosten für die Unterrichtung oder die Mitteilung oder die Durchführung der beantragten Maßnahme berücksichtigt werden, oder sich weigern, aufgrund Ihres Antrags tätig zu werden.