1. Administrator danych
Administratorem danych jest Tatic ApS (CVR 42532940), Mejsevej 2, Hadbjerg, 8370 Hadsten, Dania, działająca pod nazwą dodatkową OpenBanking IO ApS.
Wnioski dotyczące prywatności i RODO: [email protected].
2. Co zbieramy
Dane osobowe: wyłącznie Twój adres e-mail, otrzymywany, gdy logujesz się przez OIDC. Wykorzystujemy go do fakturowania i powiadomień operacyjnych. Bez marketingu bez Twojej zgody, bez sprzedaży danych, bez reklam, bez profilowania.
Dane bankowe: za Twoją zgodą PSD2 pobieramy i przechowujemy dane Twojego konta bankowego i transakcji. To istota usługi — przetwarzamy je wyłącznie po to, by dostarczyć je z powrotem Tobie.
3. Cele i podstawy prawne
- Świadczenie usługi i fakturowanie — umowa, art. 6 ust. 1 lit. b RODO
- Bezpieczeństwo i alerty, gdy zgoda bankowa ma wygasnąć — prawnie uzasadniony interes, art. 6 ust. 1 lit. f RODO
- Dostęp do Twoich danych bankowych zgodnie z PSD2 — Twoja zgoda, art. 6 ust. 1 lit. a RODO, udzielona bezpośrednio w banku i możliwa do wycofania w każdej chwili
4. Podmioty przetwarzające i podprzetwarzające
Korzystamy z niewielkiego grona europejskich podmiotów przetwarzających:
- Enable Banking Oy (Espoo, Finlandia) — łączność bankowa; zarejestrowany AISP nadzorowany przez fiński organ nadzoru finansowego (FIN-FSA) zgodnie z PSD2. Ani my, ani Enable Banking nie przechowujemy Twoich danych logowania do banku.
- Hetzner (Hetzner Online GmbH / Hetzner Finland Oy) — hosting w centrach danych z certyfikatem ISO/IEC 27001:2022 w Niemczech i Finlandii.
- Gcore — ochrona przed DDoS i brzeg sieci na europejskiej infrastrukturze.
- Stripe (Stripe Payments Europe, Ltd., Irlandia) — płatności kartą i doładowania. Nigdy nie przechowujemy danych kart.
Dane bankowe nie są nigdy udostępniane stronom trzecim poza tymi podmiotami przetwarzającymi.
5. Gdzie przechowywane są Twoje dane
Wszystkie dane są przechowywane i przetwarzane w UE — w centrach danych w Niemczech i Finlandii. Nie przekazujemy Twoich danych poza UE.
6. Przechowywanie i usuwanie
Przechowujemy Twoje dane tak długo, jak długo Twoje konto jest aktywne. Gdy usuniesz swoje konto, dane Twojego konta bankowego i transakcji zostają usunięte.
Możesz też w każdej chwili wycofać poszczególne zgody bankowe; wówczas przestajemy pobierać dane z tego banku.
7. Bezpieczeństwo
Dane są szyfrowane w tranzycie i w spoczynku. Hosting działa w centrach danych z certyfikatem ISO/IEC 27001:2022, za europejską ochroną przed DDoS.
Widzisz lukę w zabezpieczeniach? Zgłoś ją na [email protected]. Potwierdzamy zgłoszenia w ciągu 48 godzin i prosimy o koordynację z nami przed publicznym ujawnieniem.
8. Twoje prawa
Na mocy RODO masz prawo do dostępu, sprostowania, usunięcia, przenoszenia danych, ograniczenia przetwarzania oraz sprzeciwu. Aby skorzystać z któregokolwiek z nich, napisz na [email protected].
Jeśli uważasz, że przetwarzamy Twoje dane niezgodnie z prawem, możesz złożyć skargę do Datatilsynet, duńskiego organu ochrony danych (datatilsynet.dk).
9. Powiadomienia o wygaśnięciu zgody
Zgodnie z PSD2 zgody bankowe okresowo wygasają i muszą być odnawiane. Wysyłamy Ci e-mail, zanim zgoda wygaśnie, aby synchronizacja przebiegała bez przerw. To powiadomienia operacyjne, nie marketing, wysyłane na podstawie naszego prawnie uzasadnionego interesu w utrzymaniu działania usługi dla Ciebie.
10. Zmiany niniejszej polityki
Jeśli zmienimy tę politykę w sposób istotny — na przykład dodając podmiot przetwarzający lub nowy cel — powiadomimy Cię e-mailem, zanim zmiana wejdzie w życie. Data u góry zawsze odzwierciedla aktualną wersję.
11. Kontakt
- Prywatność i wnioski RODO: [email protected]
- Wsparcie ogólne: [email protected]
- Zgłoszenia bezpieczeństwa: [email protected]