Polityka prywatności
1. INFORMACJE OGÓLNE
.1. Niniejsza Polityka prywatności („Polityka”) opisuje, w jaki sposób FINAST sp. z o.o. („Usługodawca”), spółka prawa polskiego wpisana do rejestru przedsiębiorców KRS pod numerem 0001164432, o numerze NIP 5214111567, z siedzibą przy ul. Jana Heweliusza 11, lok. 811, 80-890 Gdańsk, Polska, przetwarza dane osobowe swoich klientów oraz potencjalnych klientów („Klient”), w jaki sposób dane te są pozyskiwane i wykorzystywane oraz jakie prawa i możliwości wyboru przysługują Klientowi w związku z przetwarzaniem jego danych osobowych.
1.2. Usługodawca prowadzi działalność jako Mała Instytucja Płatnicza pod numerem MIP 282/2025 i podlega nadzorowi Komisji Nadzoru Finansowego (KNF). Rejestr dostawców usług płatniczych jest dostępny pod adresem: https://e-rup.knf.gov.pl/index.html.
1.3. Usługi są świadczone wyłącznie na rzecz klientów biznesowych (osób prawnych) na terytorium Rzeczypospolitej Polskiej. Usługodawca nie świadczy Usług na rzecz konsumentów (osób fizycznych działających poza zakresem działalności gospodarczej).
1.4. Usługodawca zobowiązuje się do ochrony prywatności Klienta i przetwarza dane osobowe zgodnie z rozporządzeniem (UE) 2016/679 (ogólne rozporządzenie o ochronie danych, "RODO"), ustawą o usługach płatniczych oraz innymi właściwymi przepisami prawa.
1.5.Wszyscy pracownicy, przedstawiciele oraz osoby upoważnione mające dostęp do danych osobowych podlegają obowiązkowi zachowania poufności, który obowiązuje również po zakończeniu stosunku umownego.
2. PODSTAWA PRAWNA PRZETWARZANIA DANYCH OSOBOWYCH
2.1. Usługodawca zbiera i przetwarza dane osobowe wyłącznie w prawnie uzasadnionych celach oraz zgodnie z zasadami RODO i innymi właściwymi wymogami dotyczącymi ochrony danych.
2.2. Podstawy prawne przetwarzania mogą obejmować:
Wykonanie umowy. Usługodawca potrzebuje określonych danych w celu wykonania umowy i świadczenia Usług na rzecz Klienta, w tym otwierania i prowadzenia rachunków płatniczych oraz wykonywania transakcji płatniczych.
Wypełnienie obowiązków prawnych. Przetwarzanie jest niezbędne do wypełnienia obowiązków prawnych, w tym wymogów przeciwdziałania praniu pieniędzy (AML) i finansowaniu terroryzmu (CTF) wynikających z prawa polskiego, a także obowiązków wynikających z ustawy o usługach płatniczych oraz regulacji KNF.
Prawnie uzasadnione interesy. Przetwarzanie jest niezbędne do realizacji prawnie uzasadnionych interesów Usługodawcy lub strony trzeciej, takich jak zapobieganie oszustwom, monitorowanie bezpieczeństwa oraz dochodzenie lub obrona roszczeń.
Zgoda. Gdy Klient udzielił wyraźnej zgody na przetwarzanie jego danych osobowych w określonych celach, np. w celu komunikacji marketingowej.
2.3. Klient nie ma obowiązku podania danych osobowych; odmowa ich podania może jednak uniemożliwić otwarcie Rachunku lub korzystanie z Usług, ponieważ Usługodawca jest zobowiązany do spełnienia wymogów AML/KYC.
3. DANE OSOBOWE, KTÓRE ZBIERAMY I UDOSTĘPNIAMY
3.1. Kategorie danych osobowych
3.1.1. Informacje przekazywane bezpośrednio przez Klienta (jako podmiot gospodarczy):
Dane identyfikacyjne podmiotu. Nazwa podmiotu, forma prawna, numer rejestrowy (KRS), numer identyfikacji podatkowej (NIP), numer REGON oraz adres siedziby.
Dane reprezentanta / beneficjenta rzeczywistego. Imię, nazwisko, data urodzenia, obywatelstwo, kraj zamieszkania, stanowisko w spółce.
Dokumenty identyfikacyjne. Numer paszportu, numer dowodu osobistego, kopia dokumentu tożsamości.
Dane kontaktowe. Służbowy adres e-mail, służbowy numer telefonu.
Dane finansowe. Dane rachunku bankowego, dane transakcyjne.
3.1.2. Informacje zbierane w związku z korzystaniem z usługi i strony internetowej:
Dane techniczne. Adres IP, geolokalizacja na poziomie kraju, typ przeglądarki, system operacyjny, informacje o urządzeniu.
Dane transakcyjne. Metody płatności, kwoty transakcji, daty transakcji, dane odbiorcy, dane służące wykrywaniu oszustw.
Dane dotyczące korzystania. Odwiedzane strony, interakcje ze Stroną, czas trwania wizyty, logi błędów, czasy odpowiedzi.
Rejestry komunikacji. Korespondencja pomiędzy Klientem a Usługodawcą (e-mail, czat, nagrania rozmów telefonicznych).
3.1.3. Informacje uzyskane z innych źródeł:
Rejestry publiczne. Krajowy Rejestr Sądowy (KRS), CEIDG, rejestry podatkowe.
Dostawcy usług AML/KYC. Listy sankcyjne, bazy osób zajmujących eksponowane stanowiska polityczne (PEP) oraz informacje o podwyższonym ryzyku dostępne w publicznych źródłach.
Instytucje finansowe. Dane dotyczące przetwarzania płatności, weryfikacja transakcji.
3.2. Udostępnianie danych
3.2.1. Usługodawca może udostępniać dane osobowe stronom trzecim wyłącznie, gdy jest to dozwolone prawem i niezbędne do wykonania obowiązków umownych lub regulacyjnych. Usługodawca zapewnia, aby takie podmioty zapewniały odpowiedni i porównywalny poziom ochrony danych.
3.2.2. Dane osobowe mogą być ujawniane w następujących okolicznościach:
partnerom lub dostawcom zaangażowanym w świadczenie, utrzymanie lub ulepszanie Usług (np. bankom, bankom korespondentom, procesorom płatności, dostawcom usług IT);
organom regulacyjnym i nadzorczym, w tym KNF i GIIF, oraz organom ścigania — jeżeli wymagają tego obowiązujące przepisy prawa;
zewnętrznym dostawcom usług wykonującym kontrole AML/KYC, wykrywanie oszustw lub weryfikację tożsamości;
w związku z restrukturyzacją przedsiębiorstwa, taką jak połączenia, przeniesienia aktywów, finansowanie, przejęcia lub likwidacja działalności.
3.2.3. Usługodawca nie sprzedaje ani nie wynajmuje danych osobowych Klienta stronom trzecim do celów marketingowych.
4. PRZEKAZYWANIE DANYCH POZA UE/EOG
4.1. Dane Klienta mogą być przekazywane do państw spoza UE/EOG, gdy jest to niezbędne do wykonania umowy, wypełnienia obowiązków prawnych lub gdy Klient wyraził uprzednią zgodę. Państwa te mogą mieć odmienne standardy ochrony danych.
4.2. We wszystkich przypadkach Usługodawca wdraża odpowiednie zabezpieczenia w celu zapewnienia zgodności z RODO, stosując:
decyzje Komisji Europejskiej stwierdzające odpowiedni stopień ochrony (dla państw zapewniających odpowiednie standardy ochrony danych);
standardowe klauzule umowne UE (SCC) przyjęte przez Komisję Europejską.
4.3. Kopię odpowiednich zabezpieczeń można uzyskać, kontaktując się z Usługodawcą.
5. ŚRODKI OCHRONY DANYCH
5.1. Wszystkie dane osobowe przetwarzane przez Usługodawcę są traktowane jako poufne i chronione za pomocą technicznych i organizacyjnych środków bezpieczeństwa, w tym:
szyfrowania danych podczas przesyłania i przechowywania;
kontroli dostępu i mechanizmów uwierzytelniania;
regularnych ocen bezpieczeństwa i testów podatności;
szkoleń pracowników z zakresu ochrony danych i poufności.
5.2. Systemy i infrastruktura są zabezpieczane za pomocą rozbudowanej architektury sieciowej i wewnętrznych kontroli bezpieczeństwa, które są regularnie przeglądane i aktualizowane.
5.3. Klienci korzystający z usług za pomocą danych logowania odpowiadają za zachowanie poufności i bezpieczeństwa swoich danych uwierzytelniających.
6. DOKŁADNOŚĆ DANYCH I OKRES PRZECHOWYWANIA
6.1. Usługodawca podejmuje odpowiednie działania, aby dane osobowe Klienta były dokładne, kompletne i aktualne w zakresie wymaganym dla celów, dla których są przetwarzane.
6.2. Klient odpowiada za poinformowanie Usługodawcy o wszelkich zmianach przekazanych informacji.
6.3. Dane osobowe są przechowywane przez okres utrzymywania przez Klienta relacji gospodarczej z Usługodawcą. Po zakończeniu tej relacji dane są przechowywane wyłącznie przez okres wymagany właściwymi przepisami prawa, w tym:
Obowiązki AML/CTF (polska ustawa AML). 5 lat po zakończeniu stosunków gospodarczych.
Obowiązki podatkowe (Ordynacja podatkowa). 5 lat od końca roku kalendarzowego, w którym powstał obowiązek podatkowy. Do 6 lat w przypadku roszczeń umownych.
6.4. Po upływie właściwego okresu przechowywania dane osobowe zostaną bezpiecznie usunięte lub zanonimizowane.
7. PRAWA KLIENTA
7.1. Na podstawie właściwych przepisów o ochronie danych Klientowi (działającemu jako podmiot gospodarczy) przysługują następujące prawa:
Prawo dostępu. Prawo do uzyskania potwierdzenia przetwarzania danych oraz kopii danych osobowych.
Prawo do sprostowania. Prawo do poprawienia nieprawidłowych lub niekompletnych informacji.
Prawo do usunięcia danych. Prawo do żądania usunięcia danych osobowych w określonych okolicznościach, np. gdy dane nie są już niezbędne do celów, dla których zostały zebrane.
Prawo do ograniczenia przetwarzania. Prawo do ograniczenia przetwarzania danych w zakresie dozwolonym przez RODO.
Prawo do przenoszenia danych. Prawo do otrzymania danych osobowych w ustrukturyzowanym, powszechnie używanym formacie lub żądania ich przekazania innemu administratorowi, gdy przetwarzanie odbywa się na podstawie zgody lub umowy oraz w sposób zautomatyzowany.
Prawo do wycofania zgody. W każdym czasie, bez wpływu na zgodność z prawem wcześniejszego przetwarzania.
Prawo do sprzeciwu. Prawo do sprzeciwu wobec przetwarzania opartego na prawnie uzasadnionych interesach.
Prawo do rezygnacji z marketingu. Poprzez użycie linku rezygnacji lub kontakt z Usługodawcą.
7.2. Klient może również wnieść skargę do organu nadzorczego - Prezesa Urzędu Ochrony Danych Osobowych (UODO), jeżeli uważa, że jego dane osobowe są przetwarzane z naruszeniem właściwych przepisów prawa.
8. WYKONYWANIE PRAW
8.1. W celu wykonania praw wynikających z niniejszej Polityki Klient może skontaktować się z Usługodawcą pod adresem e-mail support@finastpay.com.
8.2. Wnioski o dostęp do danych osobowych muszą być złożone na piśmie. Usługodawca odpowie w terminie jednego miesiąca, a w przypadku złożonych wniosków - w terminie trzech miesięcy. Może być wymagane potwierdzenie tożsamości lub umocowania do działania w imieniu podmiotu gospodarczego.
8.3. Niektóre wnioski mogą nie zostać uwzględnione w następujących sytuacjach:
jeżeli realizacja wniosku ujawniłaby dane osobowe innej osoby;
jeżeli Usługodawca jest zobowiązany przepisami prawa do przechowywania określonych danych (np. obowiązki AML);
jeżeli Usługodawca ma podstawę prawną do dalszego przetwarzania danych także po złożeniu wniosku przez Klienta.
9. PLIKI COOKIE
9.1. Gdy Klient uzyskuje dostęp do strony internetowej Usługodawcy lub korzysta z usług online, na urządzeniu Klienta mogą być zapisywane pliki cookie (za zgodą, gdy jest ona wymagana prawem). Pliki te pomagają poprawić jakość usług, zapamiętać preferencje użytkownika i zoptymalizować działanie platformy.
9.2. Więcej informacji o tym, jak Usługodawca używa plików cookie i podobnych technologii, znajduje się w Polityce plików cookie, która stanowi integralną część niniejszej Polityki prywatności.
10. ZEWNĘTRZNE STRONY INTERNETOWE
10.1. Strona internetowa Usługodawcy może zawierać linki do zewnętrznych stron lub usług. Chociaż Usługodawca dąży do odwoływania się wyłącznie do wiarygodnych źródeł, nie sprawuje nad nimi kontroli i nie ponosi odpowiedzialności za ich treści, standardy bezpieczeństwa ani praktyki prywatności.
10.2. Po przejściu na stronę podmiotu trzeciego Klient podlega politykom i regulaminom tego podmiotu. Usługodawca stanowczo zaleca zapoznanie się z tymi dokumentami przed udostępnieniem jakichkolwiek danych osobowych.
11. ZMIANY
11.1. Usługodawca może okresowo aktualizować lub zmieniać niniejszą Politykę prywatności. Najnowsza wersja będzie zawsze publikowana na stronie internetowej.
11.2. Klienci są zachęcani do okresowego przeglądania niniejszej Polityki, aby być na bieżąco z informacjami o tym, jak ich dane osobowe są przetwarzane i chronione.
11.3. W przypadku istotnych zmian Usługodawca poinformuje Klientów za pośrednictwem Strony lub pocztą elektroniczną.
12. DANE KONTAKTOWE
12.1. W przypadku pytań dotyczących niniejszej Polityki prywatności, przetwarzania danych osobowych lub wykonywania praw Klienta prosimy o kontakt:
FINAST sp. z o.o.
Adres: ul. Jana Heweliusza 11, lok. 811, 80-890 Gdańsk, Polska
E-mail: support@finastpay.com
KRS: 0001164432
NIP: 5214111567