IDnow GmbH – Informacja o ochronie prywatności w czasie weryfikacji tożsamości przez aplikację internetową lub mobilną

1. Wprowadzenie

IDnow GmbH („IDnow”) udostępnia platformę do weryfikacji tożsamości, która może posłużyć do weryfikacji dokumentów tożsamości (zwłaszcza paszportów, dowodów osobistych i praw jazdy) i dopasowania ich do osoby. IDnow oferuje tę usługę swoim partnerom biznesowym, takim jak banki, instytucje finansowe, towarzystwa ubezpieczeniowe, platformy internetowe, systemy car-sharingu, wypożyczalnie samochodów oraz operatorzy platform rozrywki („partnerzy”), którzy muszą wdrażać takie środki weryfikacyjne celem spełnienia wymogów prawnych (np. ustawy o przeciwdziałaniu praniu pieniędzy i ustawy o transporcie drogowym) lub poprawy ochrony tożsamości swoich użytkowników.

2. Cele/podstawy prawne

W trakcie weryfikacji tożsamości użytkownika IDnow występuje w charakterze „podmiotu przetwarzającego” zgodnie z definicją w art. 4 ust. 8 ogólnego rozporządzenia o ochronie danych osobowych (RODO). Oznacza to, że weryfikacja jest przeprowadzana w imieniu odnośnego partnera i IDnow działa wyłącznie na polecenie tego partnera. Partner decyduje też o tym, jakie dane należy zebrać w ramach procesu weryfikacji i jak IDnow ma te dane przetwarzać.

IDnow przetwarza dane na podstawie art. 6 ust. 1 pkt b RODO i zgodnie z umową zawartą z partnerem. Wszystkie dane zebrane przez IDnow są wykorzystywane wyłącznie do weryfikacji dokumentów tożsamości i/lub użytkownika. Dane będą wykorzystywane w innym celu wyłącznie za wyraźną zgodą użytkownika.

3. Zakres danych

Niektóre z danych osobowych niezbędnych do weryfikacji są zbierane przez partnera i przekazywane IDnow w celu rozpoczęcia tego procesu. Inne są wprowadzane przez użytkownika na stronie internetowej lub poprzez aplikację IDnow.

Zakres danych osobowych różni się zależnie od celu i podstawy prawnej weryfikacji prowadzonej na zlecenie partnera. Z uwagi na wymogi prawne więcej informacji potrzeba na przykład do otwarcia rachunku bankowego niż do prostej weryfikacji wieku. W ramach procesu weryfikacji fotografuje i nagrywa się użytkownika oraz jego dokumenty tożsamości.

IDnow zbiera zatem wszystkie dane osobowe zawarte w dokumentach tożsamości użytych do weryfikacji. Zależnie od poleceń wydanych przez partnera proces weryfikacji może też obejmować przetwarzanie dalszych danych, takich jak adres e-mail i numery telefonu. Zakres danych zbieranych przez IDnow przeważnie nie wykracza jednak poza zakres opisany w niniejszej Informacji.

Przed każdą weryfikacją partner (i czasami IDnow) informuje użytkownika o danych, które zostaną zebrane przez IDnow i przekazane partnerowi. Informacje te można znaleźć w ogólnych warunkach IDnow lub w ogólnych warunkach i informacji o ochronie prywatności partnera, dla którego ma być przeprowadzona weryfikacja.

W przypadku weryfikacji tożsamości użytkownika przez aplikację IDnow niezbędny będzie dostęp do mikrofonu i kamery użytkownika. Obejmuje to również dostęp do lampy błyskowej, którą włącza się, by poprawić widoczność hologramów na dokumentach tożsamości. Zweryfikowanie i nagranie tych zabezpieczeń jest absolutnie niezbędne, gdyż pozwala skutecznie zidentyfikować użytkownika i spełnić wymogi regulacyjne, nakładane na przykład przez organy nadzoru finansowego.

Przed rozpoczęciem weryfikacji aplikacja informuje użytkownika, że wymagany jest dostęp do mikrofonu i kamery, i użytkownik musi na ten dostęp wyrazić wyraźną zgodę w przypadku obu urządzeń. IDnow zbierze wyłącznie dane nagrane kamerą i mikrofonem w trakcie procesu weryfikacji, a także pewne ogólne dane nieosobowe o urządzeniu, potrzebne do celów diagnostycznych. W żadnym momencie IDnow nie uzyska dostępu do danych i zdjęć przechowywanych na smartfonach i tabletach.

4. Identyfikacja przez eID

IDnow prowadzi weryfikację przez eID z udziałem usługodawcy spełniającego wymogi § 2 (3) niemieckiej ustawy o dowodach osobistych, upoważnionego przez Federalny Urząd Administracji do żądania danych z elektronicznego dowodu tożsamości w znaczeniu § 21 niemieckiej ustawy o dowodach osobistych, po to by ustalić tożsamość drogą elektroniczną. Obecnie takim usługodawcą jest spółka AUTHADA GmbH (Julius-Reiber-Straße 15a, 64293 Darmstadt, Niemcy, e-mail: info@authada.de, nr tel.: +49 6151 - 2752 500), która zapewnia także niezbędne autonomiczne funkcjonalności aplikacji, działając w sposób niezależny zgodnie z wymogami prawa.

Usługa identyfikacji zintegrowana z aplikacją wykorzystuje funkcję NFC w urządzeniu mobilnym użytkownika, by skomunikować się z chipem jego niemieckiego elektronicznego dowodu osobistego i odczytać oraz przetransmitować dane wymagane do ustalenia tożsamości drogą elektroniczną. Aby ustalić tożsamość, użytkownik musi postępować zgodnie z poleceniami w aplikacji i przyłożyć swój niemiecki elektroniczny dowód osobisty do urządzenia mobilnego.

Na żądanie użytkownik musi wpisać numer PIN. Dzięki temu dane identyfikacyjne zostaną przetransmitowane i nastąpi weryfikacja rządowego upoważnienia do odczytu chipa. Jeżeli użytkownik nie dokonał jeszcze zmiany tak zwanego PIN-u transportowego, aplikacja poleci mu to zrobić, by mógł kontynuować ustalanie tożsamości.

Sama aplikacja w ogóle nie będzie przechowywać numeru PIN, PIN-u transportowego ani danych z dowodu osobistego.

Dane uzyskane w drodze usługi identyfikacji są przekazywane do IDnow i usuwane z serwerów usługodawcy niezwłocznie po przekazaniu.

5. Ujawnienie osobom trzecim

IDnow korzysta w procesie weryfikacji z usług spółek zewnętrznych, takich jak centra telefoniczne i centra danych, a w przypadku usługi eID – z usług dostawcy upoważnionego przez Federalny Urząd Administracji (Bundesverwaltungsamt). Te spółki zewnętrzne mają siedziby na terenie Niemiec lub państwa członkowskiego Unii Europejskiej.

Po zakończeniu procesu weryfikacji dane zebrane i przetworzone w ramach identyfikacji zostaną przekazane partnerowi lub udostępnione mu do pobrania w systemie IDnow. Zakres przekazanych danych zależy od ustaleń umownych między partnerem i IDnow. Mogą to być dane dotyczące całego procesu weryfikacji lub zwykłe potwierdzenie skutecznej weryfikacji.

Podczas korzystania z usługi eSign dane są przekazywane także dostawcy usług zaufania w celu wygenerowania kwalifikowanego podpisu elektronicznego zgodnie z rozporządzeniem eIDAS.

6. Okres przechowywania

Ponieważ IDnow przetwarza dane zebrane w procesie identyfikacji w imieniu partnera, okres przechowywania jest zgodny z poleceniem wydanym przez odpowiedniego partnera. Zazwyczaj dane są jednak usuwane z serwerów IDnow po upływie 90 dni, chyba że partner zażąda, by usunięto je wcześniej.

Jeśli identyfikacja zostanie anulowana lub nie da jednoznacznego wyniku, dane zebrane bezpośrednio w procesie weryfikacji zostaną automatycznie usunięte najpóźniej po 7 dniach. Niezależnie od powyższego partner mógł przekazać IDnow także inne dane osobowe celem rozpoczęcia procesu. Te dane zostaną usunięte po upływie okresu uzgodnionego z partnerem w umowie (zwykle po 90 dniach).

Partner może je jednak usunąć kiedy indziej, gdyż obowiązują go ustawowe okresy przechowywania (określone np. w ustawie o przeciwdziałaniu praniu pieniędzy). Więcej informacji na temat zakresu przechowywanych danych i okresu ich przechowywania można znaleźć w informacji o ochronie prywatności właściwego partnera.

7. Bezpieczeństwo danych

Informacje na temat bezpieczeństwa danych znajdują się tutaj.

8. Prawa osób, których dane dotyczą

Zgodnie z art. 12–22 RODO osoby, których dane dotyczą, mają pełne prawo żądać dostępu do swoich danych osobowych, a także żądać sprostowania, ograniczenia przetwarzania i usunięcia tych danych.

Jako że IDnow dokonuje identyfikacji jako podmiot przetwarzający, który występuje w imieniu każdego partnera (art. 4 ust. 8 RODO) i działa wyłącznie na jego polecenie, IDnow nie jest uprawnione do honorowania praw osób, których dane dotyczą, bez zgody lub polecenia danego partnera (art. 28 RODO).

IDnow niezwłocznie zapewni partnerowi pełne wsparcie celem uhonorowania praw osób, których dane dotyczą, gdy tylko otrzyma takie polecenie.

9. Dane kontaktowe

W razie jakichkolwiek pytań dotyczących niniejszej Informacji o ochronie prywatności prosimy o kontakt z naszym zespołem ds. obsługi klienta. Dodatkowe dane kontaktowe znajdują się na podstronie z informacjami prawnymi.



Stan: czerwiec 2020 r.

Polityka prywatności Informacje prawne FAQ Obsługa klienta