Informationsblatt Privacy – Servizi Generali Bancari
INFORMATIONSBLATT
Im Sinne der Art.13 und 14 der EU- Verordnung 2016/679
Sehr geehrte Kundin! Sehr geehrter Kunde!
Mit Inkrafttreten der „Datenschutzgrundverordnung“ (DSGVO) ist die Südtiroler Sparkasse AG, mit Sitz in Bozen, Sparkassenstraße 12, in der Eigenschaft als “Verantwortlicher” der Datenverarbeitung verpflichtet, einige Informationen hinsichtlich der Verwendung der persönlichen Daten zu liefern.
Vorliegendes Informationsblatt kann vom Verantwortlichen ergänzt werden, falls durch die zusätzlichen Dienste, die von Ihnen verlangt werden, weitere Verarbeitungen erforderlich sind.
Verantwortlicher und Datenschutzbeauftragter
Verantwortlicher der Datenverarbeitung ist die Südtiroler Sparkasse AG; mit Sitz in Bozen, Sparkassenstraße 12. Der Verantwortliche hat einen Datenschutzbeauftragten (Data Protection Officer – DPO) benannt, den Sie für jede Information betreffend die Verarbeitung Ihrer personenbezogenen Daten und die Ausübung Ihrer Rechte über folgende Post- und E-Mail-Adressen kontaktieren können:
Data Protection Officer (DPO) – Südtiroler Sparkasse AG – Sparkassenstraße, 12 - 39100 BOZEN
E-Mail: privacy.crbz@sparkasse.it
Der Verantwortliche und der DPO werden, auch über die beauftragten Strukturen, Ihren Auftrag entgegennehmen und unverzüglich und auf jeden Fall innerhalb eines Monats ab Erhalt des Auftrags, die Informationen im Zusammenhang mit dem Auftrag oder die Gründe für eine eventuelle verspätete oder verweigerte Bearbeitung übermitteln.
Sollte man Zweifel an der Identität der Person hegen, die den Auftrag einreicht, können zusätzliche Informationen zur Bestätigung der Identität verlangt werden.
Quelle der persönlichen Daten und Datenkategorien
Die persönlichen Daten im Besitz der Bank werden direkt bei den Kunden oder bei Drittpersonen eingeholt. Letzteres ist zum Beispiel der Fall, wenn andere juridische oder natürliche Personen Geschäftsvorfälle zu Gunsten oder zu Lasten der Kunden veranlassen, oder wenn die Bank bei Fremdfirmen Daten für geschäftliche Informationen, Marktforschungen, direkte Produkt- oder Dienstleistungsangebote einholt. Für diese letzte Art von Dateneinholung wird bei der Registrierung der Daten ehestens, spätestens innerhalb eines Monats und auf jeden Fall bei deren ersten eventuellen Mitteilung ein Informationsblatt ausgehändigt.
Die verarbeiteten Daten gehören verschiedenen Kategorien an, zum Beispiel: meldeamtliche Daten (Vorname, Name, Adresse, Telefonnummer, E-Mail-Adresse und sonstige Kontakte, Identifikationsnummern, Online-Identifikationskennziffern) oder wirtschaftliche-vermögensspezifische Daten.
Es kann zudem vorkommen, dass im Zusammenhang mit bestimmten vom Kunden verlangten Geschäftsvorfällen oder Produkten (z.B. Auszahlung von Darlehen, die durch eine Versicherung garantiert sind, Abschluss von Lebensversicherungen bzw. fortwährende Zahlungen für Mitgliedsbeiträge an Gewerkschaftsbewegungen, politische Parteien und verschiedene Vereinigungen durch Überweisungsaufträge oder Gehaltsabzüge) die Bank in den Besitz von Daten gelangt, die das Gesetz als “besondere Datenkategorien ” bezeichnet, weil aus diesen die eventuelle Zugehörigkeit des Kunden zu den erwähnten Vereinigungen und indirekt politische Meinungen, religiöse Überzeugungen, rassische oder ethnische Herkunft, Gewerkschaftszugehörigkeit, sexuelle Orientierung sowie Informationen über den Gesundheitszustand entnommen werden können.
In diesem Fall verarbeitet die Bank, beschränkt auf die Durchführung dieser Geschäfte bzw. auf die Verwaltung der jeweiligen Bankverbindungen, die Daten mit Ihrer Einwilligung.
Zweck der Verarbeitung dieser Daten und rechtliche Grundlage derselben
Die Verarbeitung der personenbezogenen Daten erfolgt im Rahmen der gewöhnlichen Banktätigkeit zu folgenden Zwecken:
Zwecke im Zusammenhang mit Pflichten, die aus Gesetzes-, Reglements- und EU-Bestimmungen erwachsen, sowie im Zusammenhang mit Weisungen, die von Behörden, die dazu vom Gesetz befugt sind, und von Aufsichts- und Kontrollorganen erteilt werden (z. B. Risikoüberwachung, Wuchergesetz, Geldwäschegesetz usw.). In diesem Fall ist die Übermittlung der Daten obligatorisch und es ist keine Einwilligung vorgesehen;
Zwecke im Zusammenhang mit einem öffentlichen Interesse, wie die Verarbeitungen, die im Bereich Geldwäschebekämpfung im Sinne des Art. 2 Absatz 6 bis der gesetzesvertr. Verordnung Nr. 231/2007 durchgeführt werden. Ebenfalls im Bereich der Geldwäschebekämpfung wird die Verarbeitung von personenbezogenen Daten im Zusammenhang mit Strafverurteilungen und mit Vergehen oder mit zusammenhängenden Sicherheitsmaßnahmen laut Vorgaben des Art. 10 DSGVO sowie des Art. 2 octies, 3. Absatz, Buchst. m) der gesetzesvertr. Verordnung Nr.196/2003.vorgenommen.
Vertragliche Zwecke, die eng mit der Verwaltung der Kundenbeziehungen zusammenhängen und mit dieser verbunden sind und dazu dienen, vor Abschluss eines Vertrages spezifische Forderungen der betroffenen Person zu erfüllen (Informationsbeschaffung vor einem Vertragsabschluss, Durchführung von Geschäftsvorfällen aufgrund von vertraglichen Verpflichtungen gegenüber den Kunden, Überwachung sowohl des Kredit- und Finanzrisikos als auch der betrügerischen Handlungen usw.); Die Einwilligung für diese Zwecke wird ausschließlich im Zusammenhang mit der Verarbeitung von „besonderen Datenkategorien“ verlangt, die von der Bank in Erfüllung der eigenen vertraglichen Verpflichtungen vorgenommen werden könnte. Die nicht erfolgte Einwilligung führt dazu, dass es der Bank nicht möglich ist, Ihre vertraglichen Forderungen zu erfüllen.
Zwecke der geschäftlichen Information, die der Tätigkeit der Bank dienlich sind, für welche die betroffene Person seine Einwilligung geben oder auch verweigern kann. Diese Tätigkeit erfolgt auch über Instrumente der künstlichen Intelligenz, welche die Bank bei der Verwaltung ihrer Kundenbeziehungen unterstützen, indem sie Zusammenfassungen und Ausschnitte von auf den verschiedenen Kontaktkanälen geführten Gesprächen, Aktualisierungen auf aktive Produkte des Kunden, Analyse der geeignetsten Produkte auf Grund des persönlichen Profils des Kunden oder potenziellen Kunden anbieten. Folgende Tätigkeiten gehören dieser Kategorie an.
1) Marketingtätigkeiten: Marktforschungen, Erhebung des Zufriedenheitsgrades der Kunden in Bezug auf die Qualität der erbrachten Dienstleistungen, Bewerbung und Verkauf von Produkten und Dienstleistungen der Bank oder anderer Gesellschaften anhand von Briefen, Telefon, Werbematerial, automatisierten Kommunikationssystemen; Analyse der auch telefonischen Gespräche durch Systeme der künstlichen Intelligenz usw. usw..
2) Profilierungstätigkeiten zur Optimierung der Angebote und der Kundenbeziehungen: automatisierte Bearbeitung zur Prüfung von bestimmten persönlichen Aspekten betreffend eine natürliche Person, insbesondere zur Analyse oder Vorhersage von Aspekten betreffend die berufliche Leistung, die wirtschaftliche Situation, die Interessen, die Zuverlässigkeit usw. Bei dieser Tätigkeit können die Instrumente der künstlichen Intelligenz verwendet werden, um ein genaueres Profil des Kunden oder des potenziellen Kunden zu erhalten, um raschere und stärker im Kontext eingebundene Antworten zu erhalten und die Kundenerfahrung allgemein zu verbessern
3) Mitteilung Ihrer personenbezogenen Daten an Dritte, die Ihre Daten als autonome Verantwortliche für ihre autonomen Verarbeitungen zu Marketingzwecken verarbeiten werden.
Die Inanspruchnahme der künstlichen Intelligenz führt nicht zur Übernahme von automatisierten Entscheidungen. Sie wird lediglich als Unterstützung für den Bearbeiter verwendet, der für die Handlungen im Rahmen der Betreuung des Kunden oder potenziellen Kunden die alleinige Verantwortung trägt.
Die Bank kann, im Sinne des Art. 130, Abs. 4, gesetzesvertr. Verordnung 196/03, Werbemitteilungen für gleiche Dienstleistungen oder Produkte, die von Ihnen verwendet oder gekauft wurden, an Ihre E-Mail-Adresse senden, die Sie im Rahmen der Vertragsverbindung mitgeteilt haben. Bei der Datensammlung und bei jedem Versand einer Mitteilung für diese Zwecke, wird auch über die Möglichkeit informiert, sich der Verarbeitung auf einfache Weise und kostenlos zu widersetzen, indem man sich der in den erhaltenen Mitteilungen angegebenen Verfahren bedient oder die Vorgangsweise einhält, die später in diesem Informationsblatt im Kapitel „Rechte der betroffenen Person“ näher beschrieben wird.
Vorgangsweise bei der Datenverarbeitung und Verwahrungsfristen
Im Zusammenhang mit den erwähnten Zwecken erfolgt die Verarbeitung der personenbezogenen Daten mit manuellen, informatischen oder telematischen Mitteln aufgrund einer eng mit der Zweckbestimmung zusammenhängenden Logik und auf jeden Fall auf eine Art und Weise, die die Sicherheit und Vertraulichkeit der Daten selbst gewährleistet.
Die Bank bedient sich nicht Entscheidungsprozessen, die ausschließlich auf einer automatisierten Verarbeitung basieren. Es werden jedoch Instrumente der künstlichen Intelligenz für die im vorhergehenden Paragrafen beschriebenen Zwecke verwendet, unter Berücksichtigung der Anweisungen des Betroffenen hinsichtlich der Verwendung derselben.
Die personenbezogenen Daten werden für die Dauer des Vertrages aufbewahrt und darüber hinaus, in Zusammenhang mit den Gesetzesvorgaben in Bezug auf die Aufbewahrung der Buchaufzeichnungen (Art. 2220 des Bürgerlichen Gesetzbuches) und mit den geltenden Gesetzesbestimmungen (10 Jahre nach Schließung der Bankverbindung). Bei notleidenden Bankverbindungen werden die für die Einbringung der Forderung notwendigen personenbezogenen Daten bis zur Sanierung dieser notleidenden Positionen verwahrt.
Die Profilierungs- und Marketingtätigkeiten werden ausschließlich die Daten berücksichtigen, die in den letzten 12 bzw. 24 Monaten gesammelt wurden.
Kategorien von Rechtspersonen, denen die Daten mitgeteilt werden können
Zur Erreichung der oben erwähnten Zwecke kann die Bank Ihre Daten auch ausländischen Rechtspersönlichkeiten mitteilen, die einigen der unten angeführten Kategorien angehören, zusätzlich zu den laut Gesetz vorgesehenen Kategorien, darunter öffentliche Einrichtungen (MEF, Agentur der Einnahmen und Territoriale Agentur) und Aufsichtsorgane (CONSOB, Banca d’Italia), damit sie die entsprechenden Verarbeitungen und Mitteilungen vornehmen.
Gesellschaften, die Bank-, Finanz- und Versicherungsdienstleistungen erbringen;
Gesellschaften, die der Gruppe Südtiroler Sparkasse angehören oder auf jeden Fall kontrollierte oder verbundene Gesellschaften;
Erbringer von informatischen und telematischen Dienstleistungen;
Gesellschaften, die die Zahlungs- und telematischen Verbindungssysteme zwischen den Banken verwalten;
Gesellschaften, die mit der Übermittlung, Kuvertierung, den Transport und Sortierung der Mitteilungen an die Kunden beauftragt sind;
Gesellschaften, die mit der Archivierung der Unterlagen oder mit der alternativen Verwahrung beauftragt sind;
Rechtspersönlichkeiten, welche zur Vorbeugung des Risikos der Zahlungsunfähigkeit die Finanzrisiken erheben, und insbesondere Banca d’Italia, CRIF S.p.A., ASSILEA Associazione Italiana Leasing (es ist eine spezifische Information für die Gewährung von Finanzierungen vorgesehen – Deontologischer Kodex Amtsblatt der Republik Nr. 258 del 04/11/2022);
Gesellschaften zur Verwaltung von nationalen und internationalen Systemen zur Kontrolle der Betrügereien zu Lasten der Banken und Finanzvermittler und insbesondere das öffentliche Vorbeugungssystem (SCIPAFI) mit dem Wirtschafts- und Finanzministerium (MEF) als Verantwortlichen und der Consap S.p.A. als verwaltende Körperschaft;
Gesellschaften und Fachexperten, die mit den Forderungseintreibungen beauftragt sind (insbesondere die Gesellschaften GGC und Gextra s.r.l.;
Gesellschaften, die mit der Kontrolle, Prüfung und Zertifizierung der von den Banken auch im Interesse der Kunden ausgeübten Tätigkeiten beauftragt sind,
Sollten Sie die jeweilige Einwilligung zur Verarbeitung erteilt haben, können Ihre Daten zudem an folgende Gesellschaften mitgeteilt werden;
Gesellschaften, die in Marketing- und Werbetätigkeiten spezialisiert sind;
Gesellschaften, die in Tätigkeiten der Kundensegmentierung und Kundenprofilierung spezialisiert sind
Handelspartner
Die Rechtspersönlichkeiten, die obigen Kategorien angehören, werden die Daten als „autonome“ Verantwortliche verarbeiten, es sei denn, sie wurden von der Bank zu „gemeinsam Verantwortlichen“ oder „Auftragsverarbeitern“ für die in ihre spezifische Zuständigkeit fallenden Verarbeitungen benannt.
Die Daten gelangen zudem, je nach erklärten Zweckbestimmungen, zur Kenntnis von zur Datenverarbeitung autorisierten Personen unter direkter Aufsicht des Verantwortlichen, die in den verschiedenen Strukturen der Bank tätig sind, oder zur Kenntnis der Verantwortlichen der Gesellschaften, denen die personenbezogenen Daten mitgeteilt werde.
Datenübertragung in Länder außerhalb der EU
In einigen Fällen ist für spezifische Datenverarbeitungen die Übertragung von personenbezogenen Daten in Länder außerhalb der EU erforderlich. Dies kann bei der Verwendung von Finanzplattformen und Zahlungssystemen der Fall sein, deren Verwalter sich außerhalb der EU niedergelassen haben, sowie im Fall von Dienstleistungserbringern, die sich ebenfalls im Ausland niedergelassen haben. Diese Datenübertragungen sind infolge von Ermächtigungsbeschlüssen der Europäischen Kommission und auch bei Vorhandensein von internationalen Vereinbarungen (wie das „Private Shield“ mit den USA) bzw. im Fall der Umsetzung von entsprechenden Schutzgarantien, wie eigene von der EU-Kommission erlassene Vertragsklauseln, gestattet.
Insbesondere wird mitgeteilt, dass für bestimmte Geschäftsfälle (z.B. grenzüberschreitende Überweisung) ein internationales Nachrichtensystem zu verwenden ist, das von der Gesellschaft SWIFT mit Rechtssitz in Belgien (Webseite www.swift.com) verwaltet wird.
Die Bank teilt SWIFT (Inhaberin des Systems SWIFTnet Fin) die für die Durchführung der Transaktion erforderlichen Daten mit. Aus Gründen der Sicherheit der Abläufe wird eine Kopie dieser Daten zeitweilig in einem Ort der Vereinigten Staaten von Amerika aufbewahrt. Sie können für zuständige amerikanische Behörden aufgrund der lokalen Gesetzesbestimmungen zur Bekämpfung des Terrorismus zugängig sein.
Weitere Informationen können bei den oben angeführten Kontakten eingeholt werden.
Rechte der betroffenen Person
Im Zusammenhang mit den im vorliegenden Informationsblatt beschriebenen Verarbeitungen, können Sie, als betroffene Person, zu den von der DSGVO vorgesehenen Bedingungen, die von den Artikeln 15-21 der DSGVO festgelegten Rechte ausüben, insbesondere die folgenden Rechte
Auskunftsrecht – Artikel 15 DSGVO: das Recht, Bestätigung darüber zu verlangen, ob Sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so haben Sie das Recht auf Auskunft über diese personenbezogenen Daten und auf eine Kopie derselben;
Recht auf Berichtigung: Artikel 16 DSGVO: das Recht, unverzüglich die Berichtigung Sie betreffender unrichtiger personenbezogener Daten und/oder die Vervollständigung der unvollständigen personenbezogenen Daten zu verlangen;
Recht auf Löschung (Recht auf „Vergessenwerden“) – Art. 17 DSGVO: das Recht, die unverzügliche Löschung von Sie betreffenden personenbezogenen Daten zu verlangen;
Recht auf Einschränkung der Verarbeitung – Artikel 18 DSGVO: das Recht, die Einschränkung der Verarbeitung zu verlangen, wenn:
a) die Richtigkeit der personenbezogenen Daten von der betroffenen Person bestritten wird, und zwar für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen;
b) die Verarbeitung unrechtmäßig ist und die betroffene Person die Löschung der personenbezogenen Daten ablehnt und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangt;
c) die betroffene Person die personenbezogenen Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt;
d) die betroffene Person Widerspruch gegen die Verarbeitung gemäß Artikel 21 DSGVO eingelegt hat, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen.
Recht auf Datenübertragbarkeit– Artikel 20 DSGVO: das Recht, die Sie betreffenden personenbezogenen Daten, die Sie einem Verantwortlichen bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und diese Daten einem anderen Verantwortlichen ohne Behinderung zu übermitteln, sofern die Verarbeitung auf einer Einwilligung beruht und mithilfe automatisierter Verfahren erfolgt. Des Weiteren das Recht, dass Ihre Daten direkt von der Bank einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist;
Widerspruchsrecht – Artikel 21 DSGVO: das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund der Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt, einschließlich des Profilings, erfolgt, Widerspruch einzulegen, es sei denn, der Verantwortliche kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Zudem das Recht, jederzeit Widerspruch gegen die Verarbeitung einzulegen, falls die Daten zum Zwecke des Direktmarketings verarbeitet werden sollen; dies gilt auch für das Profiling, soweit es mit solchem Direktmarketing in Verbindung steht.
Recht auf Widerrufung der Einwilligung – Recht, die Einwilligung zur Verarbeitung Ihrer personenbezogenen Daten jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
Recht auf Einreichung einer Beschwerde beim zuständigen Kontrollorgan, der Aufsichtsbehörde für den Datenschutz
Für die Ausübung dieser Rechte ersuchen wir Sie, sich an die oben angeführten Kontakte des Datenschutzbeauftragten DPO (Data Protection Officer) zu wenden. Die Ausübung Ihrer Rechte als betroffene Person erfolgt im Sinne des Artikels 12 DSGVO unentgeltlich. Allerdings könnte der Verantwortliche bei offenkundig unbegründeten oder — insbesondere im Fall von häufiger Wiederholung — exzessiven Anträgen entweder ein angemessenes Entgelt verlangen, bei dem die Verwaltungskosten für die Unterrichtung oder die Mitteilung oder die Durchführung der beantragten Maßnahme berücksichtigt werden, oder sich weigern, aufgrund Ihres Antrags tätig zu werden.
Download e Link
