Pravidlá ochrany súkromia v mobilných aplikáciách ČSOB Finančnej skupiny

Pravidlá ochrany súkromia v mobilných aplikáciách skupiny ČSOB (ďalej len „Pravidlá“)

Tieto Pravidlá bližšie vysvetľujú aké dáta spracúvajú mobilné aplikácie ČSOB o ich užívateľoch a ich zariadeniach. Tieto Pravidlá sa aplikujú súčasne so všeobecným Memorandom ochrany osobných údajov skupiny ČSOB (ďalej aj len „Memorandum“) a preberajú pojmy definované v Memorande.

Prevádzkovateľ

Prevádzkovateľom spracúvajúcim osobné údaje zodpovedným za konkrétnu mobilnú aplikáciu je tá spoločnosť skupiny ČSOB, ktorá je uvedená ako vývojár alebo developer v Google Play, Apple Store alebo inom online trhovisku. Ak je na tomto mieste uvedené „ČSOB Slovensko“ myslí sa tým ČSOB Banka, tak ako je definovaná v Memorande. ČSOB Banka je prevádzkovateľom a vlastníkom nasledovných mobilných aplikácií:

  • SmartBanking alebo SmartBanking SK;
  • ČSOB SmartToken;
  • ČSOB SmartPOS;
  • ČSOB SmartPOS - kľúč;
  • ČSOB mPOS;
  • ČSOB Fotoobhliadky

všetky vyššie uvedené aplikácia ďalej v tomto dokument spoločne aj len ako „Mobilné aplikácie“.

Tieto Pravidlá sa však vzťahujú aj na akékoľvek ďalšie mobilné aplikácie skupiny ČSOB, ak dané aplikácie alebo ich prevádzkovateľ odkazujú na tieto Pravidlá, alebo vo všeobecnosti na elektronické poskytovanie bankových alebo iných finančných služieb prostredníctvom mobilných aplikácií.

Kontaktné údaje a zodpovedná osoba

V ČSOB Banke pôsobí zodpovedná osoba (Data Protection Officer), ktorú môžete kontaktovať prostredníctvom nasledovných kontaktných údajov:

  • e-mailová adresa: dpo@csob.sk
  • písomne na adrese: Zodpovedná osoba / Data Protection Officer; Československá obchodná banka, a.s., Žižkova 11, Bratislava 811 02.

Bližšie informácie nájdete v Memorande.

Používanie Mobilných aplikácií

Mobilné aplikácie sú aktuálne určené a vyhradené pre klientov Banky resp. zástupcov klientov Banky alebo inej spoločnosti patriacej do skupiny ČSOB. Ich používanie je nevyhnutne podmienené uzatvorením príslušnej zmluvnej dokumentácie týkajúcej sa využívania danej finančnej služby (najčastejšie zmluva o vedení bežného účtu a zmluva o sprístupnení služieb elektronického bankovníctva). Používanie Mobilnej aplikácie aj jej funkcionalít môže byť regulované osobitnými obchodnými podmienkami alebo podmienkami používania, ktoré zverejňuje ČSOB a na ktoré obvykle odkazuje príslušná zmluva medzi inštitúciou a klientom.

Účely a právne základy spracúvania osobných údajov

K spracúvaniu osobných údajov v Mobilných aplikáciách dochádza primárne na nasledovné účely, tak ako sú vysvetlené v Memorande:

Právny základ Účel spracúvania
Poskytovanie finančných produktov a služieb Plnenie zmluvy (vrátane predzmluvných vzťahov), plnenie zákonnej povinnosti a oprávnené záujmy
Poskytovanie služieb informačnej spoločnosti Plnenie zmluvy (vrátane predzmluvných vzťahov) a oprávnené záujmy

 

Vo väčšine prípadov sú Mobilné aplikácie využívané a údaje v nich spracúvané na účely poskytnutia konkrétneho finančného produktu alebo služby, napríklad prístup k bežnému účtu alebo realizácia platobnej operácie. Avšak, niektoré funkcionality Mobilných aplikácií môžu súvisieť s poskytovaním finančných produktov a služieb nepriamo. Napríklad sprístupnenie niektorých doplnkových služieb (ako napríklad SmartSlužby+ alebo služby virtuálneho asistenta Kate) predstavujú služby informačnej spoločnosti. Pri ich využívaní dochádza k spracúvaniu osobných údajov na účely poskytovania služieb informačnej spoločnosti.

Údaje získané prostredníctvom Mobilných aplikácií môžu byť za určitých okolností:

  • poskytnuté iným spoločnostiam patriacim do skupiny ČSOB;
  • spracúvané aj na ďalšie účely spracúvania (viď najmä zlučiteľné účely v Memorande, konkrétne: (i) účely priameho marketingu a PR; a (ii) bezpečnosť a vývoj IT systémov).

Tieto prípady a ďalšie účely spracúvania, právne základy a oprávnené záujmy sú uvedené a aktualizované v Memorande.

Sledované oprávnené záujmy

Pri viacerých účeloch spracúvania sa spoliehame aj na právny základ oprávneného záujmu podľa čl. 6 ods. 1 písm. f) GDPR. Úplný prehľad o sledovaných oprávnených záujmoch nájdete v Memorande. Avšak, pre spracúvanie osobných údajov týkajúce sa Mobilných aplikácií sú predovšetkým relevantné nasledujúce oprávnené záujmy, ktoré sledujeme:

  • Výskum, vývoj a vylepšovanie finančných produktov a služieb;
  • Výskum, vývoj a vylepšovanie aplikácií a služieb.

Neustále skúmame ako vylepšiť naše služby a Mobilné aplikácie. Aby sme mohli prinášať inovácie a nové funkcionality v rámci Mobilných aplikácií tak v záujme zvyšovania ich bezpečnosti ako aj zvyšovania ich zákazníckej atraktivity, potrebujeme spracúvať a analyzovať údaje o ich používaní. Ide o nevyhnutnú súčasť prevádzky a vývoja každej mobilnej aplikácie. Daný vývoj nemá nič spoločné s predajom dát, ktorý nevykonávame a nesúvisí ani s využívaním dát na cielenie reklamy (ktoré vykonáme v rámci iných účelov na základe samostatných právnych základov). V niektorých prípadoch napríklad nevyhnutne potrebujeme použiť vzorku dát na testovanie novej funkcionality aplikácie. Zároveň, náš virtuálny asistent Kate (v rámci poskytovania služieb informačnej spoločnosti) potrebuje dostatok dát k budovaniu svojej inteligencie tak, aby mohol predvídať a navrhovať nové modely a prípady jeho využitia. Tieto navrhované modely ČSOB Banka porovnáva, testuje a konvaliduje pred ich nasadením do praxe.

Ako dotknutá osoba máte právo z dôvodov Vašej konkrétnej situácie namietať proti spracúvaniu svojich osobných údajov na základe oprávneného záujmu vrátane namietania proti súvisiacemu profilovaniu podľa čl. 21 GDPR. Rovnaké právo máte aj voči spracúvaniu na účely priameho marketingu, vrátane profilovania.

Spracúvané dáta a povolenia

Podľa pravidiel spoločnosti Google Mobilné aplikácie získavajú aj niektoré z tzv. „personal and sensitive information“ (tzn. osobné a citlivé informácie). Podľa spoločnosti Google medzi také informácie patria okrem iného: akékoľvek osobné údaje; finančné alebo platobné údaje; autentifikačné informácie; alebo senzorové údaje týkajúce sa fotoaparátu. Samozrejme, akékoľvek údaje, ktoré sami zadáte, vyplníte alebo načítate v rámci Mobilných aplikácií budú spracúvanými údajmi.

Ak Mobilné aplikácie požadujú prístup k statusu zariadenia (smartfónu), dané povolenie prístupu je nevyhnutné pre používanie Mobilnej aplikácie. Povolenie používame vo funkciách:

  • zisťovanie statusu zariadenia pre rôzne bezpečnostné prvky,
  • zisťovanie prístupu k root oprávneniam,
  • zisťovanie jedinečného identifikátora zariadenia, potrebného pre generovanie bezpečnostných certifikačných kľúčov a ďalších prvkov,
  • možnosť telefonovania priamo z aplikácie na predvolené kontaktné čísla banky ako je Helpdesk ČSOB a kontaktné centrum.

Mobilné aplikácie na základe tohto povolenia žiadnym spôsobom nezneužívajú telefónne hovory, nepristupujú k histórii volaní alebo obsahu prenášaných správ.

Ak Mobilné aplikácie požadujú prístup k fotoaparátu / kamere mobilného zariadenia, robia tak buď s cieľom umožniť vykonanie platby naskenovaním napr. QR kódu, poštovej poukážky, IBAN alebo čiarového kódu, s cieľom overenia Vašej identity napr. pri zakladaní účtu bez prítomnosti na pobočke alebo na odoslanie fotografie alebo snímky obrazovky pri priamej komunikácii s ČSOB. Ak nám umožníte tento prístup, nezakladá to naše právo pristupovať k fotografiám uloženým v zariadení, o ktoré sa nemusíte obávať.

Ak Mobilné aplikácie vyžadujú využitie funkcionality FaceID na zariadeniach Apple, ČSOB nemá prístup k samotnej fotografii ani k žiadnym biometrickým údajom. Tieto zostávajú spracúvané len prostredníctvom Vášho mobilného zariadenia a spoločnosťou Apple, Inc. ČSOB sa prostredníctvom FaceID prakticky pýta Vášho mobilného zariadenia, či ste to naozaj Vy. Používanie FaceID môžete prostredníctvom nastavení Vášho zariadenia úplne zakázať alebo povoliť/zakázať len vo vzťahu ku konkrétnym aplikáciám. Viac informácií o FaceID ako aj o nastavení danej funkcionalite nájdete tu:

Ak Mobilné aplikácie spracúvajú GPS polohu zariadenia, robia tak buď z dôvodu, aby zisťovali anomálie indikujúce podvodné správanie alebo iné škodlivé činnosti, aby umožnili funkcionalitu, ktorá je priamo naviazaná na polohu zariadenia alebo z dôvodu zvýšenia bezpečnosti služieb. Prípadne môže poloha súvisieť s využívaním SmartSlužieb+ (napr. objednanie parkovacieho lístka) alebo odporúčaním virtuálneho asistenta Kate (napr. objednanie služby na konkrétnu adresu). Takisto môže poloha slúžiť na zobrazenie zoznamu najbližších pobočiek a bankomatov zoradených podľa vzdialenosti od zariadenia, zobrazenie pobočiek a bankomatov na mape, vzhľadom na polohu zariadenia, identifikáciu polohy pri nahlasovaní poistnej udalosti, navigácii k najbližšej pobočke alebo bankomatu ČSOB. Užívateľ aplikácie môže kedykoľvek povoliť alebo zakázať zaznamenávanie GPS polohu zariadenia, čo má samozrejme vplyv na dané funkcionality, ale nie na využívanie iných funkcionalít Mobilných aplikácií.

Ak Mobilné aplikácie žiadajú povolenie k prístupu k SMS, povolenie je nepovinné, akciu je možné vykonať aj manuálne. Dané povolenie však umožňuje spracovať SMS kľúč v správe odoslanej z ČSOB a použiť ho pre automatické načítanie počas aktivačného procesu aplikácie.

Povolenie prístupu ku kontaktom je nepovinné, bez neho však nie je možné využívať funkciu zjednodušenia dobíjania mobilného kreditu, s ktorou je možné vybrať telefónne číslo priamo z telefónneho zoznamu uloženého v zariadení.

Povolenie prístupu k ukladaciemu priestoru je nepovinné, bez neho však nie je možné využívať funkcie použitia uložených súborov s QR kódom pre funkciu Skener ani generovanie a uloženie PDF súborov pre použite mimo aplikácie, napr. odoslanie PDF potvrdenia o platbe.

Okrem toho mobilné aplikácie spracúvajú prihlasovacie údaje užívateľa, identifikačné alebo overovacie údaje, údaje týkajúce sa používania aplikácií a najmä zadávania príkazov alebo pokynov vo vzťahu k platobným funkcionalitám a všetky bežne spracúvané osobné údaje v bankovom prostredí (ako napr. zostatky na účte, pohyby, platby, a pod.). Dodatočné informácie o prístupe Mobilných aplikácií k Vašim dátam sú prehľadne uvedené aj v popise danej aplikácie v Google Play, App Store alebo iných online trhoviskách.

Zdroj získania údajov

Mobilné aplikácie získavajú údaje predovšetkým priamo od Vás resp. komunikáciou s Vaším zariadením. V prípade, že si prostredníctvom Mobilných aplikácii zakladáte bežný účet, Vaše osobné údaje získavame aj z verejných registrov (v rámci Vašej identifikácie). V rámci využívania SmartSlužieb+ získavame niektoré údaje o Vás aj od našich partnerov, ak si cez aplikáciu SmartBanking zakúpite alebo objednáte službu alebo tovar daného partnera. Pre bližšie informácie odkazujeme na Memorandum.

Doba spracúvania údajov

K spracúvaniu Vašich údajov prirodzene prichádza počas doby, kedy je Mobilná aplikácia nainštalovaná a používaná vo Vašom zariadení. Vo vzťahu k všeobecným dobám uchovávania osobných údajov odkazujeme na Memorandum.

Príjemcovia osobných údajov

K spracúvaným údajom majú prístup poverení zamestnanci ČSOB Banky a overení dodávatelia v oblasti bezpečnosti alebo softvérovej podpory. Ak je to nevyhnutné pre splnenie účelov spracúvania a sú splnené ďalšie podmienky dovoľujúci daný postup, k Vašim údajom môžu mať prístup aj iné spoločnosti v rámci skupiny ČSOB. Memorandum detailne vysvetľuje (okrem iného) spoločne vymedzené účely spoločností patriacich do skupiny ČSOB, kedy vystupujeme ako spoloční prevádzkovatelia. Ohľadne ďalších všeobecných príjemcov odkazujeme na Memorandum.

Príjemcom Vašich údajov v rámci ČSOB SmartSlužieb+ sú aj naši partneri, ktorých zoznam nájdete v špecifických zmluvných Podmienkach pre poskytovanie služby ČSOB SmartSlužby+. Vaše údaje vždy poskytujeme partnerom len ak výslovne prostredníctvom aplikácie ČSOB SmartBanking požiadate o zakúpenie alebo využitie služby nášho partnera. Dbáme o to, aby sme Vám pred samotným poskytnutím údajov partnerovi zobrazili informácie o tom, ako daný partner spracúva osobné údaje. Nad daným zdieľaním preto máte kontrolu. Daní partneri vystupujú pri spracúvaní Vašich osobných údajov ako samostatní prevádzkovatelia a ich účely spracúvania sú popísané v ich vlastných informáciách, pravidlách a podmienkach, na ktoré odkazujeme.

Cezhraničný prenos osobných údajov

Cezhraničný prenos osobných údajov do tretích krajín (t.j. krajín mimo EÚ, Nórska, Islandu a Lichtenštajnska) v priamo súvislosti s Mobilnými aplikáciami nerealizuje. Aplikácie sú totiž hostované na serveroch ČSOB Banky nachádzajúcich sa v EÚ.

Práva dotknutej osoby pri spracúvaní osobných údajov

Každý užívateľ Mobilnej aplikácie má také isté práva dotknutej osoby pri spracúvaní jeho osobných údajov ako každý iný klient skupiny ČSOB. Odkazujeme preto v plnej miere na Memorandum, ktoré detailne vysvetľuje každé právo dotknutej osoby podľa GDPR. Svoje práva viete realizovať aj prostredníctvom systémových povolení Vášho zariadenia, ale aj prostredníctvom nastavení jednotlivých Mobilných aplikácií (viď „Nastavenia“).

Automatizované individuálne rozhodovanie a profilovanie

Ako informujeme v Memorande, ČSOB Banka využíva viaceré algoritmické metódy a postupy, ktoré podľa našej vnútornej analýzy spadajú pod čl. 22 GDPR. Dané spracúvanie údajov prebieha predovšetkým na core systémoch banky, ktoré aj keď sú prepojené s Mobilnými aplikáciami, predstavujú samostatné systémy odlišné od Mobilných aplikácií. Informujeme o nich preto v rámci Memoranda (ide o rizikový profil klienta, povolené prečerpanie a rizikový model banky / poisťovne). Hlavným prípadom použitia automatizovaného individuálneho rozhodovania podľa čl. 22 GDPR v súvislosti s Mobilnými aplikáciami je Virtuálny asistent Kate.

SmartSlužby+

SmartSlužby+ sú špecifické služby informačnej spoločnosti, ktoré slúžia ako doplnkové služby k finančným produktom a službám, ktoré primárne poskytujeme. Pravidlá a podmienky ich poskytovania ČSOB určuje prostredníctvom osobitných Podmienok pre poskytovanie služby ČSOB SmartSlužby+. Prostredníctvom aplikácie ČSOB SmartBanking sa môžete rozhodnúť zakúpiť si produkt alebo službu našich partnerov (tretích strán). ČSOB Banka nezodpovedá za poskytovanie daného produktu alebo služby, iba za bezstarostné obstaranie danej služby prostredníctvom našej aplikácie. Na základe zmluvných vzťahov s každým z našich partnerov má každá strana vymedzené postavenie ako samostatný prevádzkovateľ v zmysle čl. 4 ods. 7 GDPR. Vaše údaje týkajúce sa objednania produktu alebo služby partnera musíme nevyhnutne poskytnúť danému partnerovi, aby mohlo dôjsť k realizovaniu alebo poskytnutiu produktu alebo služby z jeho strany. Všetko spracúvanie údajov na strane ČSOB Banky je nevyhnutné pre plnenie špecifických zmluvných podmienok týkajúcich sa SmartSlužieb+.

V niektorých prípadoch aplikácia ČSOB SmartBanking poskytuje iba „web view“ rozhranie na zobrazenie obsahu tretej strany. V takom prípade nedochádza k spracúvaniu zobrazených údajov na našej strane, ale na strane partnera. Ide predovšetkým o služby zobrazovania spravodajstva alebo udalostí, nad ktorými nemáme kontrolu. Ak aplikácia ČSOB SmartBanking zobrazuje údaje o Vami zakúpenom produkte alebo službe u tretej strany (ako napr. cestovný alebo parkovací lístok), tieto údaje spracúvame priamo na základe údajov poskytnutých od partnera. Partner zodpovedá za aktuálnosť, správnosť a zákonnosť nám poskytovaných údajov, ktoré preberáme v dobrej viere.

Virtuálny asistent Kate

Nášho virtuálneho asistenta voláme Kate. Ide o špecifické služby informačnej spoločnosti, ktoré takisto slúžia ako doplnkového služby k finančným produktom a službám, ktoré primárne poskytujeme. Kate funguje len ako súčasť aplikácie ČSOB SmartBanking, aj keď pracuje aj s dátami získanými z iných systémov banky. Aktivácia Kate prebieha akceptáciou všeobecných obchodných podmienok elektronického bankovníctva a teda spracúvanie osobných údajov zo strany Kate prebieha na právnom základe plnenia zmluvy s dotknutou osobou. Existujú dva typy Kate: aktívna a reaktívna. Východzie nastavenie Kate je aktívne, kedy užívateľ aplikácie má možnosť využívať plnú funkcionalitu a najmä aktívne odporúčania Kate založené na automatizovanom individuálnom rozhodovaní. Aktívnu Kate môže každý klient kedykoľvek vypnúť, kedy sa Kate stáva reaktívnou a poskytuje len veľmi obmedzenú a jednoduchú funkcionalitu (blízku obyčajnému chatbotu). V každom prípade, Kate predstavuje umelú inteligenciu, ktorú skupina KBC neustále vyvíja ďalej pod ľudským dohľadom a s najvyššou mierou bezpečnostných opatrení. Kate nerozhoduje sama o tom, aké dáta bude spracúvať, avšak je navrhnutá tak, aby sama navrhovala modely a scenáre pre benefit klientov (napr. odporučiť zakúpenie konkrétnej služby alebo inej úrovne predplatenia služby v ČSOB alebo u partnera, ak by to malo vzhľadom na využívanie produktov ekonomický zmysel pre klienta). Kate nie je marketingový nástroj, avšak ak klient má udelený platný marketingový súhlas alebo máme iný právny základ na cielenie reklamy (§ 116 zákona o elektronických komunikáciách), Kate môže aktívne navrhovať alebo odporúčať zakúpenie alebo objednanie produktov alebo služieb, ktoré vzhľadom na analyzované dáta majú pre klienta zmysel.

Zmeny týchto Pravidiel

Vyhradzujeme si právo jednostranne zmeniť, doplniť a upraviť tieto Pravidlá, pričom na podstatné zmeny dotknuté osoby vhodným spôsobom upozorníme napr. oznámením v mobilnej aplikácii alebo na webstránke. Ak zmeny nie sú zásadného charakteru, zverejníme novú verziu Pravidiel na tom istom mieste bez ďalšieho oznámenia.

CSOB Group Mobile Application Privacy Policy (hereinafter referred to as the "Policy")

These rules explain in more detail what data is processed by CSOB mobile applications about their users and their devices. These rules apply simultaneously with the general Privacy Memorandum of the CSOB Group (hereinafter also referred to as the "Memorandum") and adopt the terms defined in the Memorandum.

Controller

The controller processing personal data responsible for a specific mobile application is the CSOB Group company that is listed as the developer or developer in Google Play, Apple Store or another online marketplace. If "CSOB Slovakia" is mentioned herein, it means CSOB Bank as defined in the Memorandum.

ČSOB Banka is the controller and owner of the following mobile applications:

  • SmartBanking or SmartBanking SK;
  • CSOB SmartToken;
  • CSOB SmartPOS;
  • CSOB SmartPOS - key;
  • CSOB mPOS;
  • CSOB Photo Inspections

All of the aforementioned applications are collectively referred to in this document as the "Mobile Applications".

However, these Rules shall also apply to any other mobile applications of the CSOB Group if the said applications or their controller refer to these Rules or, in general, to the electronic provision of banking or other financial services via mobile applications.

Contact details and responsible person:

ČSOB Bank has a Data Protection Officer who can be contacted using the following contact details:

  • e-mail address: dpo@csob.sk
  • in writing to: Data Protection Officer; Československá obchodná banka, a.s., Žižkova 11, Bratislava 811 02.

For more information, please refer to the Memorandum.

Using Mobile Applications

Mobile applications are currently intended and reserved for the Bank's clients or representatives of the Bank's clients or another company belonging to the ČSOB Group. Their use is necessarily conditional upon the conclusion of the relevant contractual documentation relating to the use of a given financial service (most often a current account agreement and an agreement on access to electronic banking services). The use of the Mobile Application and its functionalities may be regulated by specific terms and conditions or conditions of use published by CSOB and usually referred to in the relevant contract between the institution and the client.

Purposes and legal grounds for processing personal data

The processing of personal data in the Mobile Applications occurs primarily for the following purposes as explained in the Memorandum:

Purpose of processing Legal basis
Provision of financial products and services Performance of the contract (including pre-contractual relations), fulfilment of legal obligations and legitimate interests
Provision of information society services Performance of the contract (including pre-contractual relations) and legitimate interests

In most cases, Mobile Applications are used and the data in them is processed for the purpose of providing a specific financial product or service, such as accessing a current account or making a payment transaction. However, some functionalities of Mobile Applications may be indirectly related to the provision of financial products and services. For example, the making available of certain additional services (such as SmartServices+ or Kate virtual assistant services) constitute information society services. Their use involves the processing of personal data for the purposes of providing information society services.

Data collected through the Mobile Applications may, in certain circumstances:

  • provided to other companies belonging to the ČSOB Group;
  • also processed for other processing purposes (see in particular the compatible purposes in the Memorandum, namely: (i) direct marketing and PR purposes; and (ii) security and development of IT systems).

These cases and other processing purposes, legal bases and legitimate interests are set out and updated in the Memorandum.

Legitimate interests pursued

We also rely on the legal basis of legitimate interest under Article 6(1)(f) of the GDPR for a number of processing purposes. For a full overview of the legitimate interests pursued, please refer to the Memorandum. However, the following legitimate interests that we pursue are primarily relevant to the processing of personal data relating to Mobile Application:

  • Research, development and improvement of financial products and services;
  • Research, development and enhancement of applications and services.

We are constantly exploring how to improve our services and Mobile Applications. In order to bring innovation and new functionality to the Mobile Applications, both to improve their security and to increase their customer appeal, we need to process and analyse usage data. This is an essential part of the operation and development of any mobile application. The development in question has nothing to do with the sale of data, which we do not carry out, nor is it related to the use of data for advertising targeting (which we carry out for other purposes on a separate legal basis). In some cases, for example, we necessarily need to use a sample of data to test new functionality of an application. At the same time, our virtual assistant Kate (in the context of providing information society services) needs sufficient data to build its intelligence so that it can anticipate and design new models and use cases. These proposed models are compared, tested and convalidated by CSOB Bank before being deployed in practice.

As a data subject, you have the right, on grounds relating to your particular situation, to object to the processing of your personal data on the basis of legitimate interest, including objecting to related profiling pursuant to Article 21 of the GDPR. You also have the same right to object to processing for direct marketing purposes, including profiling.

Processed data and permissions

Under Google's policy, the Mobile Applications also collect some of what is known as "personal and sensitive information" (i.e., personal and sensitive information). According to Google, such information includes, but is not limited to any personal information; financial or payment information; authentication information; or camera sensor data. Of course, any data that you enter, fill in or upload yourself within the Mobile Applications will be processed data.

If the Mobile Applications request access to the status of a device (smartphone), that access permission is necessary to use the Mobile Application. We use the permission in the functions:

  • detecting device status for various security features,
  • to detect access to root permissions,
  • detecting the unique identifier of the device needed for generating security certification keys and other elements,
  • the ability to make phone calls directly from the application to the bank's default contact numbers such as the CSOB Helpdesk and Contact Centre.

Mobile Applications under this permission do not abuse phone calls, access call history or the content of transmitted messages in any way.

If the Mobile Applications request access to the camera/camcorder of a mobile device, they do so either to enable you to make a payment by scanning e.g., a QR code, postal order, IBAN or barcode, to verify your identity e.g. when setting up an account without being present in a branch or to send a photo or screenshot when communicating directly with CSOB. If you allow us this access, this does not give us the right to access photographs stored on your device, which you do not need to worry about.

If Mobile Applications require the use of FaceID functionality on Apple devices, CSOB does not have access to the photo itself or any biometric data. These remain processed only through your mobile device and by Apple, Inc. Through FaceID, CSOB is effectively asking your mobile device if it is really you. You can completely disable or enable/disable the use of FaceID through your device settings only in relation to specific applications. More information about FaceID as well as the settings for this functionality can be found here:

When Mobile Applications process a device's GPS location, they do so either to detect anomalies indicating fraudulent behaviour or other malicious activity, to enable functionality that is directly tied to the device's location, or to enhance the security of the Services. Alternatively, location may be related to the use of SmartServices+ (e.g., ordering a parking ticket) or the recommendation of Kate's virtual assistant (e.g., ordering service to a specific address). Location may also be used to display a list of the nearest branches and ATMs sorted by distance from the device, to display branches and ATMs on a map relative to the location of the device, to identify the location when reporting an insurance claim, to navigate to the nearest ČSOB branch or ATM. The user of the Application may enable or disable the recording of the GPS location of the device at any time, which of course affects the given functionalities, but not the use of other functionalities of the Mobile Applications.

If the Mobile Applications request permission to access SMS, the permission is optional, the action can also be performed manually. However, the given permission allows to process the SMS key in the message sent from CSOB and use it for automatic retrieval during the application activation process.

The permission to access contacts is optional, but without it is not possible to use the mobile credit top-up facilitation function, with which it is possible to select a phone number directly from the phonebook stored on the device.

Allowing access to storage is optional, but without it, you cannot use the functionality to use saved QR code files for the Scanner function or to generate and save PDF files for use outside the application, e.g. to send a PDF receipt of payment.

In addition, the mobile Applications process user login, identification or authentication data, data relating to the use of the applications and in particular to entering orders or instructions in relation to the payment functionalities and any personal data commonly processed in a banking environment (such as account balances, movements, payments, etc.).

Additional information about the Mobile Applications access to your data is also clearly set out in the description of the app in question on Google Play, the App Store or other online marketplaces.

Source of data

Mobile applications primarily collect data directly from you or by communicating with your device. If you create a current account through the Mobile Applications, we also obtain your personal data from public registers (as part of your identification). As part of your use of SmartServices+, we also obtain some information about you from our partners if you purchase or order a service or goods from that partner through the SmartBanking App. For more information, please refer to the Memorandum.

Data processing period

The processing of your data naturally occurs during the time that the Mobile Application is installed and used on your device. We refer to the Memorandum in relation to general retention periods.

Recipients of personal data

Authorised employees of ČSOB Bank and verified suppliers in the field of security or software support have access to the processed data. If it is necessary for the fulfilment of the purposes of the processing and other conditions permitting the procedure are met, other companies within the CSOB Group may also have access to your data. The Memorandum explains in detail (among other things) the jointly defined purposes of the companies belonging to the CSOB group when we act as joint controllers. We refer to the Memorandum for other general recipients.

The recipients of your data within the scope of CSOB SmartServices+ are also our partners, a list of which can be found in the specific Terms and Conditions for the provision of the CSOB SmartServices+ service. We only ever provide your data to partners if you explicitly request to purchase or use our partner's service via the CSOB SmartBanking application. We take care to show you information about how the partner processes personal data before providing the data to the partner. You therefore have control over the sharing in question. The partners in question act as independent controllers when processing your personal data and their processing purposes are described in their own information, rules and conditions, to which we refer.

Cross-border transfer of personal data

Cross-border transfer of personal data to third countries (i.e., countries outside the EU, Norway, Iceland and Liechtenstein) is not carried out in direct connection with the Mobile Applications. The Applications are hosted on CSOB Bank's servers located in the EU.

Rights of the data subject in the processing of personal data

Each user of the Mobile Application has the same rights of a data subject in the processing of his/her personal data as any other client of the CSOB Group. We therefore refer in full to the Memorandum, which explains in detail each data subject's right under the GDPR. You can also exercise your rights through the system permissions of your device, but also through the settings of the individual Mobile Applications (see "Settings").

Automated individual decision-making and profiling

As we inform you in the Memorandum, CSOB Bank uses a number of algorithmic methods and procedures which, according to our internal analysis, fall under Article 22 of the GDPR. The data processing in question takes place primarily on the Bank's core systems, which, although interconnected with the Mobile Applications, are separate systems distinct from the Mobile Applications. We therefore inform about them in the context of the Memorandum (these are the risk profile of the customer, the permitted overdraft and the risk model of the bank/insurance company). The main use case for automated individual decision making under Article 22 GDPR in relation to Mobile Applications is Kate's Virtual Assistant.

SmartSlužby+

SmartServices+ are specific information society services that serve as complementary services to the financial products and services we primarily provide. The rules and conditions of their provision are determined by ČSOB through specific Terms and Conditions for the provision of ČSOB SmartServices+.

Through the CSOB SmartBanking application, you can choose to purchase a product or service from our partners (third parties). ČSOB Bank is not responsible for the provision of a given product or service, only for the hassle-free procurement of a given service through our application. Based on the contractual relationships with each of our partners, each party has a defined status as an independent controller within the meaning of Article 4(7) of the GDPR. We must necessarily provide your data relating to the ordering of a product or service of a partner to that partner in order for the implementation or provision of the product or service by that partner to take place. All data processing on the part of ČSOB Bank is necessary for the fulfilment of the specific contractual terms and conditions relating to SmartServices+.

In some cases, the CSOB SmartBanking application only provides a "web view" interface to view third party content. In this case, the processing of the displayed data does not take place on our side, but on the partner's side. These are primarily services for displaying news or events over which we have no control.

If the ČSOB SmartBanking application displays data about a product or service you have purchased from a third party (such as a ticket or parking ticket), we process this data directly on the basis of the data provided by the partner. The partner is responsible for the timeliness, correctness and legality of the data provided to us, which we accept in good faith.

Virtual assistant Kate

We call our virtual assistant Kate. This is a specific information company service that also serves as a complementary service to the financial products and services we primarily provide. Kate works only as part of the ČSOB SmartBanking application, although it also works with data obtained from other systems of the bank. Activation of Kate takes place by accepting the General Terms and Conditions of Electronic Banking and, therefore, the processing of personal data by Kate takes place on the legal basis of the performance of a contract with the data subject. There are two types of Kate: active and reactive. The default setting of Kate is active, where the user of the application is able to use the full functionality and in particular the active recommendations of Kate based on automated individual decision-making. Active Kate can be turned off by any client at any time, at which point Kate becomes reactive and provides only very limited and simple functionality (close to a regular chatbot). In any case, Kate represents the artificial intelligence that the KBC Group is continuously developing further under human supervision and with the highest level of security measures. Kate does not decide on its own what data it will process, but it is designed to suggest models and scenarios on its own for the benefit of clients (e.g., to recommend the purchase of a specific service or a different level of subscription service at CSOB or with a partner, if this would make economic sense for the client given the use of the products). Kate is not a marketing tool, however, if the client has granted valid marketing consent or we have another legal basis for targeting advertising (Section 116 of the Electronic Communications Act), Kate may actively suggest or recommend the purchase or subscription of products or services that make sense for the client given the data analysed.

Changes to this Policy

We reserve the right to unilaterally amend, supplement and modify these Rules, and we will notify affected persons of material changes in an appropriate manner, e.g., by means of a notice in the mobile application or on the website. If the changes are not of a material nature, we will publish the new version of the Rules in the same place without further notice.