Informácie o spracúvaní osobných údajov

1.1. Bezpečnosť a ochrana osobných údajov používateľov webovej alebo mobilnej aplikácie Across Wealth (ďalej len „Aplikácia“) je kľúčovým predpokladom riadneho fungovania Aplikácie a možnosti používania služieb Prevádzkovateľa a Partnerov. Spoločnosť Across Wealth Creators s. r. o. spracúva osobné údaje v súlade so zákonom č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len „Zákon o ochrane osobných údajov“) a Nariadením Európskeho parlamentu a Rady (EÚ) 2016/679 (ďalej len „GDPR“). Tento dokument poskytuje informácie o tom, ako Prevádzkovateľ spracúva osobné údaje používateľov Aplikácie, na aké účely, na akých právnych základoch, komu údaje poskytuje a aké práva majú dotknuté osoby.

1.2. Prevádzkovateľom osobných údajov pri registrácii a používaní Aplikácie je:
Across Wealth Creators s. r. o.
sídlo: Zochova 3, 811 03 Bratislava
IČO: 54 222 851
zapísaná v Obchodnom registri Mestského súdu Bratislava III, oddiel: Sro, vložka č.: 157003/B
e-mail (GDPR kontakt): hello@across.sk
web: www.across.sk/online-investovanie, www.acrosscrowd.sk a https://app.across.sk

1.3. Prevádzkovateľ je zároveň:

• a) poskytovateľom služieb hromadného financovania podľa osobitných právnych predpisov,
• b) viazaným investičným agentom obchodníka s cennými papiermi s licenciou Národnej banky Slovenska, spoločnosťou Across Private Investments, o.c.p., a.s., so sídlom Zochova 3, 811 03 Bratislava, IČO: 35 763 388, zapísanou v Obchodnom registri Mestského súdu Bratislava III, oddiel: Sa, vložka č.: 2079/B (ďalej len „Investičný partner“),
• c) prevádzkovateľom Aplikácie, prostredníctvom ktorej používateľ nadväzuje a spravuje zmluvné vzťahy s Partnermi.

1.4. Prevádzkovateľ určil osobu zodpovednú za dohľad nad ochranou osobných údajov a plnení povinností podľa GDPR, ktorú možno kontaktovať na e-maile dpo@across.sk.

2.1. Rozsah spracúvaných osobných údajov závisí od toho, v akom rozsahu používate Aplikáciu (len registrácia, onboarding k Partnerom, využívanie investičných alebo crowdfundingových služieb a pod.).

2.2. Bežné osobné údaje. Prevádzkovateľ spracúva najmä tieto kategórie osobných údajov:

a) Identifikačné údaje
a. meno, priezvisko, titul,
b. dátum narodenia, štátna príslušnosť,
c. údaje z dokladu totožnosti (typ dokladu, číslo dokladu, orgán, dátum platnosti),
d. jedinečné identifikátory pridelené v rámci Aplikácie (používateľské ID, interné identifikátory).

b) Kontaktné a prihlasovacie údaje
a. e-mailová adresa,
b. telefónne číslo,
c. prihlasovacie údaje (užívateľské meno / e-mail, heslo – heslo je uchovávané v zahashovanej forme),
d. nastavenia používateľského profilu (jazyk, notifikácie a pod.).

c) Údaje získavané počas onboardingov a zmluvných procesov
a. osobné, socio-ekonomické, kontaktné údaje a preferencie, údaje získané z dokladu totožnosti, jeho scan, a fotku tváre,
b. údaje potrebné na plnenie povinností podľa AML/KYC predpisov (informácie o pôvode majetku, ekonomickej činnosti, politicky exponovanej osobe, daňovej rezidencie a pod.),
c. údaje súvisiace s vyhodnotením primeranosti alebo vhodnosti investovania (investičné znalosti a skúsenosti, finančná situácia, ciele a horizont investovania), ak sú získavané prostredníctvom Aplikácie,
d. údaje o zmluvách uzatvorených prostredníctvom Aplikácie (typ produktu, dátum uzatvorenia, stav zmluvného vzťahu).

d) Údaje o produktoch, službách a aktivitách v Aplikácii
a. informácie o využívaných produktoch a službách Partnerov a Prevádzkovateľa (napr. typ investičnej stratégie, crowdfundingové participácie, stavy účtov),
b. informácie o zadávaných pokynoch, žiadostiach a transakciách prostredníctvom Aplikácie,
c. údaje o stave a priebehu onboardingu k jednotlivým Partnerom,
d. údaje o komunikácii s klientskou a technickou podporou (obsah správy, kanál, čas, riešenie).

e) Technické a prevádzkové údaje
a. IP adresa, zariadenie, prehliadač, operačný systém,
b. logy prihlásení, bezpečnostné logy, záznamy o zmenách v účte,
c. nastavenia cookies a podobných technológií,
d. údaje o používaní Aplikácie (navigácia, kliknutia, čas strávený na obrazovkách),
e. údaje z nástrojov na analýzu a nahrávanie používateľských relácií (session recording); osobné údaje sú pri týchto záznamoch technicky obmedzené alebo anonymizované v plnom rozsahu.

f) Údaje pre marketingové aktivity a komunikáciu s užívateľom
a. základné identifikačné a kontaktné údaje (najmä meno, priezvisko, e-mail, telefónne číslo),
b. informácie o preferenciách komunikácie, súhlasoch a námietkach voči marketingu,
c. údaje o reakciách na kampane a notifikácie (otvorenie, kliknutie, odhlásenie).

2.3. Osobitné kategórie údajov (biometria). V súvislosti s procesmi identifikácie a overenia totožnosti na diaľku môže Prevádzkovateľ na základe osobitných právnych predpisov spracúvať:

• a) biometrické údaje tváre potrebné na overenie zhody medzi snímkou tváre a fotografiou na doklade,
• b) údaje získané z dokladu totožnosti prostredníctvom technológií optického rozpoznávania znakov (OCR).

2.4. Biometrické údaje sú spracúvané prostredníctvom špecializovaných technických riešení poskytovateľov KYC/AML služieb. Proces zahŕňa snímku tváre, kópiu dokladu totožnosti a test živosti, ktorý overuje, že snímok poskytuje reálna osoba. Výsledkom procesu je informácia o úspešnom alebo neúspešnom overení totožnosti, prípadne o potrebe opakovania alebo doplnenia identifikačného procesu. Prevádzkovateľ uchováva najmä základné identifikačné údaje a údaje z dokladov totožnosti, vybrané snímky (napr. foto dokladu a selfie) v rozsahu potrebnom na preukázanie splnenia povinností podľa osobitných predpisov a na účely AML/KYC. Od tohto je potrebné odlíšiť lokálne odomykanie aplikácie Across Wealth s využitím biometrických údajov – tieto biometrické autentifikácie spravuje operačný systém vášho zariadenia (Apple iOS, Google Android a pod.). Biometrické údaje zostávajú bezpečne uložené priamo vo vašom zariadení a Prevádzkovateľ k nim nemá prístup, neukladá ich ani nespracúva.

3.1. Osobné údaje spracúvame vždy na určitý, vopred určený účel a iba v nevyhnutnom rozsahu. Ak nám niektoré údaje neposkytnete, nemusíme byť schopní:

• a) zriadiť vám Používateľský účet,
• b) dokončiť onboarding k Partnerom,
• c) poskytovať vám služby Prevádzkovateľa alebo umožniť využívanie služieb Partnerov cez Aplikáciu.

3.2. Niektoré údaje sme povinní spracúvať aj na základe osobitných právnych predpisov, najmä:

• a) predpisy v oblasti kapitálového trhu a investičných služieb,
• b) predpisy v oblasti hromadného financovania,
• c) predpisy v oblasti predchádzania praniu špinavých peňazí a financovaniu terorizmu (AML/KYC),
• d) predpisy v oblasti účtovníctva, daní a archivácie.

3.3. Prehľad hlavných účelov a právnych základov

a) Registrácia a vedenie Používateľského účtu v Aplikácii
i) účel: vytvorenie a správa Používateľského účtu, autentifikácia používateľa, zabezpečenie prístupu do Aplikácie, evidencia nastavení a komunikácie,
ii) právny základ: plnenie zmluvy (čl. 6 ods. 1 písm. b) GDPR).

b) Onboarding a uzatváranie zmlúv s Partnermi
i) účel: získanie údajov potrebných na identifikáciu a overenie totožnosti, posúdenie vhodnosti alebo primeranosti investovania (ak sa realizuje cez Aplikáciu), spracovanie žiadosti o uzatvorenie zmluvy s Partnerom,
ii) právny základ: plnenie zmluvy a predzmluvných opatrení (čl. 6 ods. 1 písm. b) GDPR), alebo plnenie zákonných povinností podľa osobitných predpisov (najmä AML/KYC, regulácia finančného trhu a hromadného financovania – čl. 6 ods. 1 písm. c) GDPR).

c) Poskytovanie služieb hromadného financovania Prevádzkovateľom
i) účel: vedenie účtov a evidencií súvisiacich s participáciami, spracúvanie platieb, komunikácia s účastníkmi hromadného financovania,
ii) právny základ: plnenie zmluvy (čl. 6 ods. 1 písm. b) GDPR), plnenie zákonných povinností (najmä AML/KYC a regulácia hromadného financovania čl. 6 ods. 1 písm. c) GDPR).

d) Prevádzka, bezpečnosť a rozvoj Aplikácie
i) účel: zabezpečenie technického fungovania Aplikácie, ochrana proti zneužitiu, monitorovanie a riešenie incidentov, logovanie prístupov a úkonov, analýza používania Aplikácie, UX/UI analýza a zlepšovanie služieb,
ii) právny základ: oprávnený záujem Prevádzkovateľa (čl. 6 ods. 1 písm. f) GDPR) na bezpečnej, spoľahlivej a používateľsky priateľskej prevádzke Aplikácie.

e) Vyhodnocovania aktivity užívateľa
i) účel: sledovanie stavu onboardingu a využívania Aplikácie, pripomienky nedokončených krokov (napr. nedokončený onboarding, neodoslaný prvý vklad), zasielanie notifikácií súvisiacich s používaním Aplikácie a služieb Partnerov,
ii) právny základ: oprávnený záujem Prevádzkovateľa (čl. 6 ods. 1 písm. f) GDPR) na podpore efektívneho využívania Aplikácie a služieb.

f) Záznamy telefonickej komunikácie
i) účel: archivácia telefonickej komunikácie s klientom (najmä pri zadávaní a vykonávaní pokynov), preukazovanie obsahu komunikácie,
ii) právny základ: plnenie zákonných povinností (najmä AML/KYC, regulácia finančného trhu a hromadného financovania – čl. 6 ods. 1 písm. c) GDPR).

g) Bežná komunikácia, podpora a riešenie požiadaviek
i) účel: odpovedanie na otázky používateľov, riešenie reklamácií, technická a klientská podpora (vrátane prípadného postúpenia požiadavky Partnerovi), dokumentovanie komunikácie,
ii) právny základ: plnenie zmluvy (čl. 6 ods. 1 písm. b) GDPR), alebo oprávnený záujem Prevádzkovateľa (čl. 6 ods. 1 písm. f) GDPR) na riadnej starostlivosti o klienta.

h) Marketing a hromadná e-mailová korešpondencia Prevádzkovateľa
i) účel: zasielanie informácií o produktoch a službách Prevádzkovateľa a o novinkách v Aplikácii (napr. newsletter),
ii) právny základ: oprávnený záujem Prevádzkovateľa (čl. 6 ods. 1 písm. f) GDPR) vo vzťahu k existujúcim používateľom, s možnosťou kedykoľvek namietať, v odôvodnených prípadoch aj súhlas (čl. 6 ods. 1 písm. a) GDPR), ak sa vyžaduje podľa osobitných predpisov.

i) Skupinový marketingový súhlas v rámci spoločností v skupine Across Group
i) účel: marketingová komunikácia (ponuky produktov a služieb) ďalších spoločností zo skupiny Across Group mimo Aplikácie (napr. telefonické kontaktovanie, e-mail, iné kanály),
ii) právny základ: súhlas dotknutej osoby (čl. 6 ods. 1 písm. a) GDPR). Používateľ môže súhlas kedykoľvek odvolať v Aplikácii alebo prostredníctvom kontaktných údajov Prevádzkovateľa.

j) Plnenie zákonných povinností
i) účel: vedenie účtovných a daňových evidencií, plnenie povinností podľa AML/KYC predpisov, regulácie finančného trhu, predpisov týkajúcich sa hromadného financovania, poskytovanie súčinnosti orgánom dohľadu a orgánom verejnej moci,
ii) právny základ: plnenie zákonných povinností Prevádzkovateľa (čl. 6 ods. 1 písm. c) GDPR).

k) Uplatňovanie právnych nárokov a ochrana práv Prevádzkovateľa
i) účel: uplatňovanie, preukazovanie a obhajoba právnych nárokov Prevádzkovateľa (napr. v súdnych, správnych, rozhodcovských alebo iných konaniach), predchádzanie podvodom a zneužitiu,
ii) právny základ: oprávnený záujem Prevádzkovateľa (čl. 6 ods. 1 písm. f) GDPR), prípadne plnenie zákonných povinností (čl. 6 ods. 1 písm. c) GDPR).

l) Cookies a podobné technológie
i) účel: zabezpečenie funkčnosti, bezpečnosti a optimalizácie webového rozhrania a mobilnej aplikácie, meranie návštevnosti a používania a profilovanie pre cielenú reklamu,
ii) právny základ: pri funkčných (technicky nevyhnutných) cookies/identifikátoroch plnenie zmluvy (čl. 6 ods. 1 písm. b) GDPR) a oprávnený záujem Prevádzkovateľa na fungovaní Aplikácie (čl. 6 ods. 1 písm. f) GDPR), bez možnosti odmietnutia; pri štatistických a marketingových kategóriách súhlas dotknutej osoby (čl. 6 ods. 1 písm. a) GDPR). Pri webovom rozhraní udeľujete súhlas prostredníctvom cookie lišty a môžete ho kedykoľvek odvolať v nastaveniach prehliadača; pri mobilnej aplikácii spravujete súhlas cez systémové nastavenia zariadenia.

4.1. Osobné údaje môžu byť poskytované alebo sprístupňované nasledovným kategóriám príjemcov:

a) Partneri Prevádzkovateľa
i) Investičný partner a iní partneri, ktorých produkty a služby sú sprístupnené v Aplikácii; títo partneri vystupujú ako samostatní prevádzkovatelia a spracúvajú osobné údaje na vlastné účely podľa svojich zásad ochrany osobných údajov.

b) Poskytovatelia technických a podporných služieb (spracovatelia)
i) poskytovatelia IT infraštruktúry a cloudových služieb,
ii) poskytovatelia služieb identifikácie a overenia totožnosti (vrátane OCR a biometrických riešení),
iii) poskytovatelia systémov správy identít a autentifikácie (prihlasovanie, multifaktorové overenie),
iv) poskytovatelia SMS a e-mailových brán,
v) poskytovatelia nástrojov pre analytiku, meranie návštevnosti a nahrávanie používateľských relácií,
vi) poskytovatelia nástrojov pre marketingovú komunikáciu a kampane.
S týmito subjektmi má Prevádzkovateľ uzatvorené zmluvy o spracúvaní osobných údajov podľa čl. 28 GDPR.

c) Spoločnosti zo skupiny Across Group
i) za predpokladu udelenia skupinového marketingového súhlasu alebo ak je to nevyhnutné na plnenie zmluvných alebo zákonných povinností.

d) Orgány verejnej moci a iné oprávnené subjekty
i) napr. orgány činné v trestnom konaní, súdy, orgány dohľadu (napr. Národná banka Slovenska), daňové orgány, Úrad na ochranu osobných údajov SR, alebo iné orgány verejnej moci, ak to vyžaduje právny predpis alebo rozhodnutie príslušného orgánu.

5.1. Prevádzkovateľ v zásade neuskutočňuje prenos osobných údajov do tretích krajín mimo Európskeho hospodárskeho priestoru. Ak by v budúcnosti došlo k zapojeniu spracovateľa alebo príjemcu so sídlom mimo EHP, Prevádzkovateľ zabezpečí, aby takýto prenos prebiehal len za podmienok stanovených GDPR (najmä na základe rozhodnutia o primeranosti alebo štandardných zmluvných doložiek). V obmedzenom rozsahu môže dôjsť k prenosom osobných údajov do tretích krajín mimo EHP, ktoré zabezpečujeme prostredníctvom štandardných zmluvných doložiek Európskej komisie alebo iných primeraných záruk podľa GDPR. Osobitne pri plnení zákonnej povinnosti FATCA podľa zákona č. 359/2015 Z. z. postupuje Investičný partner finančné údaje klientov s daňovým domicilom v USA cez Finančnú správu SR daňovému úradu USA (IRS).

6.1. Osobné údaje uchovávame najdlhšie počas doby, ktorá je potrebná na dosiahnutie účelu, na ktorý boli získané, alebo počas doby, ktorú vyžadujú osobitné právne predpisy, nasledovne:

6.2. Údaje súvisiace s registráciou a používaním Používateľského účtu uchovávame počas trvania zmluvného vzťahu a spravidla 3 roky po jeho skončení, ak nevyplýva dlhšia lehota z osobitných predpisov,

6.3. Údaje spracúvané na účely plnenia zákonných povinností (najmä AML/KYC, finančná regulácia, účtovníctvo a dane) uchovávame po dobu stanovenú príslušnými právnymi predpismi (spravidla 5 až 10 rokov od skončenia zmluvného vzťahu alebo transakcie; konkrétne 5 rokov pre crowdfundingové údaje podľa Nariadenia (EÚ) 2020/1503 a 5 až 10 rokov pre KYC/AML údaje podľa zákona č. 566/2001 Z. z. (ZCP), zákona č. 297/2008 Z. z. (AML zákon) a účtovných a daňových predpisov),

6.4. Údaje spracúvané na základe oprávneného záujmu na marketing a analytiku uchovávame spravidla počas trvania zmluvného vzťahu a najviac 3 roky po jeho skončení, ak proti takému spracúvaniu nebola podaná námietka,

6.5. Údaje spracúvané na základe súhlasu uchovávame do odvolania súhlasu alebo do uplynutia lehoty uvedenej pri danom súhlase, pokiaľ neexistuje iný právny základ na ich ďalšie spracúvanie.

6.6. Po uplynutí príslušných lehôt Prevádzkovateľ osobné údaje bezpečne vymaže alebo anonymizuje.

7.1. Ako dotknutá osoba máte v súvislosti so spracúvaním osobných údajov tieto práva:

a) Právo na prístup
Máte právo získať potvrdenie, či Prevádzkovateľ spracúva vaše osobné údaje, a ak áno, máte právo získať prístup k týmto údajom a informáciám o ich spracúvaní (vrátane prípadných nahrávok telefonickej komunikácie).

b) Právo na opravu
Ak sú vaše osobné údaje nepresné alebo neúplné, máte právo požadovať ich opravu alebo doplnenie.

c) Právo na vymazanie (právo na zabudnutie)
Za určitých okolností máte právo požadovať vymazanie svojich osobných údajov, napríklad ak už nie sú potrebné na účely, na ktoré boli získané, alebo ak ste odvolali súhlas a neexistuje iný právny základ spracúvania. Toto právo však nie je absolútne – Prevádzkovateľ môže byť povinný údaje naďalej uchovávať, ak to vyžadujú právne predpisy alebo ak sú potrebné na uplatňovanie právnych nárokov. Vymazanie účtu je možné iniciovať priamo z nastavení mobilnej aplikácie; v prípade existujúcich zákonných povinností (najmä AML/KYC, regulácia finančného trhu) zostávajú príslušné transakčné a zmluvné záznamy archivované po dobu vyžadovanú právnymi predpismi.

d) Právo na obmedzenie spracúvania
Za určitých okolností máte právo požadovať obmedzenie spracúvania (napr. počas obdobia, keď sa overuje presnosť údajov alebo posudzuje oprávnenosť námietky).

e) Právo na prenosnosť údajov
V rozsahu, v akom sú osobné údaje spracúvané automatizovane na základe vášho súhlasu alebo zmluvy, máte právo získať tieto údaje v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a preniesť ich k inému prevádzkovateľovi, prípadne požadovať priamy prenos, ak je technicky možný.

f) Právo namietať
Máte právo namietať proti spracúvaniu osobných údajov, ktoré je založené na oprávnenom záujme Prevádzkovateľa (vrátane profilovania), najmä voči spracúvaniu na účely priameho marketingu. V takom prípade Prevádzkovateľ prestane osobné údaje na daný účel spracúvať, pokiaľ nepreukáže závažné oprávnené dôvody, ktoré prevažujú nad vašimi záujmami, právami a slobodami, alebo ak spracúvanie nie je potrebné na uplatňovanie právnych nárokov. V prípade spracúvania osobných údajov na účely priameho marketingu však Prevádzkovateľ spracúvanie vždy zastaví, bez výnimky a posúdenia.

g) Právo odvolať súhlas
Ak je spracúvanie založené na vašom súhlase, máte právo tento súhlas kedykoľvek odvolať, a to bez vplyvu na zákonnosť spracúvania pred odvolaním.

h) Právo podať sťažnosť dozornému orgánu
Ak sa domnievate, že spracúvanie vašich osobných údajov je v rozpore s právnymi predpismi, máte právo podať sťažnosť na Úrad na ochranu osobných údajov SR, Hraničná 12, 820 07 Bratislava, web: dataprotection.gov.sk.

8.1. Svoje práva si môžete uplatniť:

• a) písomne na adrese sídla Prevádzkovateľa,
• b) e-mailom na adrese hello@across.sk,
• c) prostredníctvom funkcionalít Aplikácie, ak sú na tento účel sprístupnené.

8.2. Prevádzkovateľ sa snaží vybaviť žiadosti bez zbytočného odkladu, najneskôr však do 1 mesiaca od ich doručenia. V odôvodnených prípadoch možno túto lehotu predĺžiť, o čom bude dotknutá osoba informovaná.

9.1. Prevádzkovateľ môže tieto Zásady primerane aktualizovať, najmä v prípade zmeny právnych predpisov, obchodného modelu alebo technických riešení Aplikácie. Aktualizované znenie bude vždy zverejnené na webovom sídle Prevádzkovateľa a/alebo v Aplikácii.

9.2. Používaním Aplikácie po nadobudnutí účinnosti aktualizovaných týchto informácií o spracúvaní osobných údajov beriete tieto zmeny na vedomie.