Datenschutzrichtlinie von Nexi
1. Der Datenschutz der Nutzer ist für die Nexi-Gruppe von grundlegender Bedeutung
Nexi stellt die Beziehung zum Kunden in den Mittelpunkt seiner Tätigkeit, indem es ab der Planungs- und Realisierungsphase seiner Dienstleistungen alle organisatorischen, technischen und Sicherheitsmaßnahmen vorsieht, die zum Schutz der personenbezogenen Daten der an ihrer Verwaltung beteiligten Personen (Kunden, Mitarbeiter und Lieferanten) erforderlich sind, in voller Übereinstimmung mit den Bestimmungen der Verordnung (EU) 2016/679 (DSGVO) und unter Anwendung der neuesten „Best Practices“ für die Nutzung der Informationssysteme, die dem reibungslosen Funktionieren der Dienste zugrunde liegen.
Unser Ziel ist es, jeden Tag das Vertrauen unserer Kunden zu gewinnen und zu stärken, basierend auf den folgenden Datenschutzgrundprinzipien:
- Transparenz: Wir bieten transparente Informationen über die Datenerhebung und -nutzung;
- Sicherheit: Wir schützen die uns anvertrauten Daten durch fortschrittliche Sicherheitstools;
- Kontrolle: Der Kunde hat die Kontrolle über seine Privatsphäre durch benutzerfreundliche Tools und klare Auswahlmöglichkeiten.
- Reporting: Wir bieten regelmäßige Informationen über mögliche Meldungen von Datenschutzverletzungen innerhalb der konsolidierten nichtfinanziellen Erklärung gemäß ital. Gesetzesdekret 254/2016.
Nexi ist im Bereich der Zahlungsdienstleistungen und der Verwaltung von elektronischem Geld tätig und bietet daher seinen Kunden und den Kunden der Partnerbanken und -gesellschaften Issuing- und Acquiring-Dienstleistungen für die Verwendung von Zahlungskarten (z. B. Transaktionsverwaltung) sowie Dienstleistungen im Zusammenhang mit dem Bankgeschäft (z. B. Überweisungsverwaltung) an.
Verweise auf Nexi-Dienste in dieser Richtlinie umfassen die Nutzung verschiedener Websites, Apps, Server und Geräte, die den Kunden zur Erbringung dieser Dienste zur Verfügung gestellt werden.
Mit dieser Richtlinie möchte Nexi die Zwecke und die Art und Weise der Verarbeitung personenbezogener Daten innerhalb der Gesellschaften der Gruppe erläutern.
2. Nexi erhobene personenbezogene Daten
Nexi sammelt die Daten des Kunden sowohl direkt von ihm (sog. Datenerhebung bei der betroffenen Person) als auch von Drittquellen (z. B. Partnerbanken für den Verkauf von Dienstleistungen an Endkunden, nationale und internationale Zahlungsnetzwerke usw.).
Im ersten Fall sammelt Nexi die Kundendaten sowohl bei der Vertragsunterzeichnung (z. B. allgemeine personenbezogene Daten - Identifikations- und Kontaktdaten, wirtschaftliche/finanzielle Daten – IBAN und Zahlungskarte usw.) als auch später auf der Grundlage und nach der Nutzung der erbrachten Dienstleistungen (z. B. Transaktionsdaten, Authentifizierungsdaten für die Nexi-Apps usw.) sowie bei der vom Kunden angeforderten Unterstützung für notwendige Klärungen oder zur Meldung von Problemen bei der Nutzung der erbrachten Dienstleistungen.
Nexi erfasst die Kundendaten auch von Dritten, sei es, um gesetzlichen Verpflichtungen nachzukommen, zum Beispiel aus öffentlichen oder privaten Datenbanken (z. B. Handelsregister, Cerved), die während der Zählung des Kunden gemäß den geltenden Vorschriften zur Bekämpfung der Geldwäsche zugelassen sind, oder im Rahmen des normalen Betriebs, zum Beispiel aus nationalen (PagoBANCOMAT) und internationalen (Visa, MasterCard usw.) Zahlungsnetzwerke, für die Autorisierung und Verbuchung der durchgeführten Transaktionen.
Schließlich sammelt Nexi die Navigationsdaten der Benutzer seiner institutionellen Website, die Daten der Portale und Apps durch die Verwendung von Cookies, sowohl Daten technischer, analytischer oder statistischer Art, die ihrer Natur nach keine Zustimmung erfordern, als auch Profilingsdaten zu Marketingzwecken, die im Gegensatz zu den ersteren die ausdrückliche Zustimmung des Benutzers erfordern, um installiert zu werden.
3. Art und Weise der Verwendung personenbezogener Daten
Nexi sammelt und verarbeitet die Daten und Informationen, die für die Erbringung seiner Dienstleistungen und die Erfüllung der entsprechenden gesetzlichen Verpflichtungen erforderlich sind, für die es nicht erforderlich ist, die Zustimmung der betroffenen Person einzuholen.
Für bestimmte Arten von Aktivitäten, z. B. für Marketingaktionen, holt Nexi die ausdrückliche Zustimmung der betroffenen Personen ein.
In einigen Fällen können die Daten ohne Zustimmung der betroffenen Person verwendet werden, um statistische Analysen und quantitative und qualitative Analysen durchzuführen, auch zur Verwaltung spezifischer Bedürfnisse von Nexi (berechtigtes Interesse), einschließlich, aber nicht beschränkt auf die Analyse des Betriebs seiner Kunden, um sein Angebot an den Zielmarkt anzupassen, die Analyse der Leistung seiner Anwendungen, die Suche nach neuen technologischen Lösungen zur Verbesserung der Kundenerfahrung usw. Die aus den Analysen resultierenden Ergebnisse sind aggregierter Art und werden von Nexi verwendet, um die Trends der angebotenen Produkte und/oder Dienstleistungen zu untersuchen und zu identifizieren, neue Produkte und/oder Dienstleistungen zu untersuchen und zu entwickeln und die Werbemaßnahmen zu verbessern, die auf die Bedürfnisse und Erwartungen der Kunden abgestimmt sind.
Nexi kann die erhobenen Daten und Informationen auch für andere Zwecke als die, für die sie erhoben wurden, verwenden, z. B. für Marketingmaßnahmen, um die Anwendung der in den geltenden Datenschutzgesetzen festgelegten Grundsätze zu gewährleisten, insbesondere die Verpflichtung, die betroffene Person über diese anderen Zwecke und ihre Rechte zu informieren, einschließlich des Widerspruchsrechts.
Die Verarbeitung personenbezogener Daten für die oben genannten Zwecke umfasst aufgrund der Art der erbrachten Dienstleistungen hauptsächlich automatisierte Verarbeitungsmethoden, verzichtet jedoch nicht auf manuelle Verarbeitungen, die von entsprechend autorisiertem Personal durchgeführt werden; die beiden Modalitäten ergänzen sich gegenseitig für die Erbringung der Dienstleistungen selbst.
Die automatisierte Verarbeitung basiert auf dem Einsatz der besten auf dem Markt verfügbaren Technologien und der Einführung mehrerer Sicherheitssysteme (z. B. Firewalls, Anmeldeinformationen, Token usw.), um den Verlust oder die - auch unbeabsichtigte und/oder vorübergehende - Nichtverfügbarkeit der verarbeiteten personenbezogenen Daten zu vermeiden. Zu diesem Zweck hat Nexi spezielle interne Verfahren für die anfängliche Entwicklung und Implementierung von Anwendungen eingerichtet, die auf mehreren Berechtigungsstufen für die Aktivierung in der Produktionsumgebung basieren, um die Erreichung dieses Ziels zu gewährleisten.
Die manuelle Verarbeitung basiert auf Verfahren, die
von Nexi für sein eigenes Personal und für das Personal von Dritten festgelegt wurden, auf das die Gesellschaften der Gruppe zurückgreifen können, unterstützt durch ständige allgemeine und spezialisierte Schulungen, die je nach den zugewiesenen Aufgaben sowohl aus der Ferne als auch im Klassenzimmer durchgeführt werden.
Die Daten werden vorwiegend elektronisch verarbeitet; es verbleiben jedoch noch Verarbeitungen von Papierdokumenten, beispielsweise im Zusammenhang mit der Bearbeitung von Beschwerden und Beanstandungen usw.
Nexi teilt die erfassten personenbezogenen Daten mit Lieferanten, die in seinem Namen arbeiten und gemäß Art. 28 der DSGVO als Auftragsverarbeiter ernannt wurden, oder mit anderen autonomen Datenverantwortlichen, sowohl für betriebliche Zwecke (z. B. Zahlungsnetzwerke) als auch für rechtliche Verpflichtungen (z. B. Finanzamt).
Die Lieferanten müssen die Daten ausschließlich zur Ausführung des ihnen von Nexi erteilten Auftrags verarbeiten und Nexi selbst über alle zur Einhaltung der DSGVO getroffenen Betriebsmaßnahmen informieren, wie zum Beispiel die Führung eines eigenen Verzeichnisses der Verarbeitungstätigkeiten, die Ernennung zum Verantwortlichen für eventuelle Sublieferanten, die für eventuelle Datenübertragungen ins Ausland getroffenen Vertragsklauseln usw. Alle Lieferanten unterliegen in jedem Fall regelmäßigen Kontrollen durch Nexi zur Bewertung des Datenschutzrisikos.
4. Art des Zugriffs und der Kontrolle der personenbezogenen Daten der betroffenen Person
Die betroffenen Personen können die von Nexi erhobenen personenbezogenen Daten kontrollieren und ihre Datenschutzrechte ausüben, indem sie sich über die im Abschnitt zum Datenschutz der Website www.nexigroup.com von Zeit zu Zeit zur Verfügung gestellten und beworbenen Kanäle an den Datenschutzbeauftragten (Data Protection Officer) wenden, den Nexi im Leiter der Compliance & AML-Funktion identifiziert hat.
Die betroffenen Personen können insbesondere den Zugang zu den sie betreffenden Daten, deren Berichtigung, Vervollständigung oder Löschung, die Einschränkung der Verarbeitung in den in Artikel 18 der DSGVO vorgesehenen Fällen sowie den Widerspruch gegen die Verarbeitung gemäß Artikel 21 der DSGVO verlangen.
Darüber hinaus können die betroffenen Personen das Recht auf Datenübertragbarkeit gemäß Art. 20 der DSGVO ausüben, d. h. das Recht, die Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und, sofern technisch möglich, ungehindert an einen anderen Verantwortlichen zu übermitteln.
Schließlich haben die betroffenen Personen das Recht, eine Beschwerde bei der Aufsichtsbehörde für den Schutz personenbezogener Daten einzureichen.
5. Datenlöschung
Die erfassten Daten werden von Nexi nur so lange aufbewahrt, wie es für die Erbringung der Dienstleistungen, für die sie gespeichert wurden, erforderlich ist, und daher nach Beendigung ihrer spezifischen Verwendung gelöscht, in Übereinstimmung mit den Anforderungen der DSGVO und anderen gesetzlichen Verpflichtungen (z. B. Art. 2220 des ital. Bürgerlichen Gesetzbuchs über die Verwaltung der Vertragsunterlagen), in der Regel nach 10 Jahren nach Beendigung der fortlaufenden Beziehung oder früher, wenn diese Daten für bestimmte Aktivitäten wie z. B. die Verwaltung von Streitigkeiten in Bezug auf Zahlungsnetzwerke verwendet wurden.
6. Sicherheitsmaßnahmen
Für den ordnungsgemäßen und sicheren Umgang mit personenbezogenen Daten, die von der Gesellschaft erhoben, verarbeitet, gespeichert oder anderweitig verarbeitet werden, hat Nexi ein Datenschutz-Governance-System eingerichtet, das die Anwendung der von Zeit zu Zeit geltenden gesetzlichen Anforderungen und der getroffenen Sicherheitsmaßnahmen unter Einhaltung des Grundsatzes der Rechenschaftspflicht (nach Art. 24 DSGVO) gewährleistet.
Das Governance-System besteht aus Richtlinien, Vorschriften, Betriebsverfahren und Handbüchern, die regelmäßig aktualisiert werden, um die neuesten gesetzlichen Bestimmungen im diesen Bereich und in Übereinstimmung mit der Organisationsstruktur der Gesellschaft umzusetzen.
Die von der Gesellschaft getroffenen Sicherheitsmaßnahmen sind organisatorischer, verfahrenstechnischer und technischer Art und werden hauptsächlich von den zuständigen Funktionen unter der Aufsicht des Datenschutzbeauftragten angeordnet.
Unter besonderer Berücksichtigung der Definition und Umsetzung technischer Maßnahmen werden die Compliance-Funktion und der Datenschutzbeauftragte von der CISO Area unterstützt, der Unternehmensfunktion, die für die Kontrolle von Informationssicherheitsthemen, die Steuerung von Business-Continuity- und Security-Incident-Management-Prozessen, die Überprüfung der Anwendung von Sicherheitsstandards und -prozessen verantwortlich ist.
Die wichtigsten Sicherheitsmaßnahmen decken alle Aspekte der Daten- und Informationssicherheit ab, wie sie von den wichtigsten Industriestandards festgelegt werden, z. B.: sichere Softwareentwicklung und -wartung, Backup- und Disaster Recovery-Management, Verwaltung des physischen und logischen Zugriffs, Schutz vor externen Angriffen (z. B. Firewalls, Anti-Malware, ...) usw.
In Bezug auf die Verarbeitung von Daten und Unterlagen in Papierform werden Ad-hoc-Sicherheitsmaßnahmen mit besonderem Bezug auf deren Verwendung und sichere Aufbewahrung (z. B. Clean Desk Policy), den Schutz vor dem Verlust der Integrität, die gesetzeskonforme Entsorgung bei Beendigung ihrer Nützlichkeit und Notwendigkeit usw. ergriffen.
Die Festlegung der Sicherheitsmaßnahmen erfolgt auf der Grundlage eines risikobasierten Ansatzes unter Beachtung der Grundsätze der Rechenschaftspflicht, der Privacy by Design und Privacy by Default sowie unter Berücksichtigung anderer anwendbarer Industriestandards und -vorschriften, wie zum Beispiel der Sicherheitsanforderungen, die von der PCI-DSS-Zertifizierung der Gesellschaft vorgesehen sind, da sie sich oft überschneiden und sich gegenseitig kompensieren. Diese Maßnahmen werden überprüft und gegebenenfalls aktualisiert, um sicherzustellen, dass die Verarbeitung in Übereinstimmung mit den geltenden Datenschutzgesetzen erfolgt.
Last update: 31 March 2021
Informationen über die Verarbeitung personenbezogener Daten beim Surfen auf der Website www.nexigroup.com
Nachfolgend finden Sie eine Erklärung gemäß den Artikeln 13 und 14 der Verordnung (EU) Nr. 2016/679 („DSGVO“ oder „Datenschutzrichtlinie“) über die Verarbeitung personenbezogener Daten von Nutzern, die die Website www.nexigroup.com besuchen und mit den Webdiensten von Nexi interagieren. Die Erklärung bezieht sich nur auf diese Nexi-Website und gilt nicht für andere Websites außerhalb von Nexi, die über unsere Links aufgerufen werden können. Diese Erklärung stellt zusammen mit der Cookie-Richtlinie die „Datenschutzrichtlinie“ der Website von Nexi dar und kann aktualisiert werden.
1. Erhobene personenbezogene Daten
Die für den Betrieb dieser Website verwendeten Computersysteme und Softwareverfahren erfassen während ihres normalen Betriebs einige Daten, deren Übertragung bei der Verwendung von Internet-Kommunikationsprotokollen automatisch erfolgt und die, nicht mit interessierten und identifizierten Benutzern in Verbindung gebracht werden. Hierbei handelt es sich insbesondere um Daten über die IP-Adressen oder Domain-Namen der Computer, die von den Benutzern verwendet werden, die sich mit der Website verbinden, sowie um andere technische Informationen, die automatisch von Verbindungsverwaltungsprogrammen gesendet werden. Diese Daten werden nur verwendet, um die Verbindung herzustellen. Abgesehen von den Angaben zu den Navigationsdaten steht es dem Benutzer frei, die in den entsprechenden elektronischen Formularen in den Bereichen der Website angegebenen personenbezogenen Daten bereitzustellen, die für bestimmte Dienste auf Anfrage bereitgestellt werden. Es wird jedoch darauf hingewiesen, dass ihre Nichtbereitstellung dazu führen kann, dass die angeforderte Dienstleistung nicht erbracht werden kann.
2. Modalitäten und Zwecke der Verarbeitung
Eventuell erhobene Daten werden mit automatisierten Tools für Zwecke im Zusammenhang mit der Navigation auf dieser Website verarbeitet und nur so lange aufbewahrt, wie dies zur Erreichung der Zwecke, für die sie erhoben wurden, unbedingt erforderlich ist. Die Verarbeitung dieser Daten ist notwendig, um die Nutzung der Website zu ermöglichen. Die Systeme sind mit angemessenen und notwendigen Sicherheitsmaßnahmen ausgestattet, um Datenverlust, illegale oder unsachgemäße Verwendung und unbefugten Zugriff zu verhindern. Als Teil der personalisierten Dienste für seine Nutzer verwendet Nexi Tools wie „Cookies“. Ein Cookie ist eine kurze Textdatei, die bei jedem Besuch einer Website an Ihren Browser gesendet und gegebenenfalls auf Ihrem Computer (alternativ auf Ihrem Smartphone oder einem anderen für den Zugriff auf das Internet verwendeten Tool) gespeichert wird. Die auf Ihrem Computer gespeicherten Cookies können nicht verwendet werden, um Daten von Ihrer Festplatte abzurufen, Computerviren zu übertragen oder Ihre E-Mail-Adresse zu identifizieren und zu verwenden. Jedes Cookie ist einzigartig in Bezug auf den Browser und das Gerät, mit dem Sie auf die institutionelle Website von Nexi zugreifen. Einige der von den Cookies ausgeführten Funktionen können auch durch andere Technologien eingesetzt werden; mit dem Begriff „Cookies“ in diesem Dokument möchten wir auf Cookies und alle ähnlichen Technologien verweisen. Weitere Informationen über die von Nexi verwendeten Cookies und deren Verwaltung im Browser finden Sie in der entsprechenden Richtlinie.
3. Rechte betroffener Personen
Die Nutzer, auf die sich die gegebenenfalls erhobenen personenbezogenen Daten beziehen, haben jederzeit das Recht, eine Bestätigung darüber zu erhalten, ob diese Daten vorhanden sind oder nicht, und deren Inhalt und Herkunft zu erfahren, deren Richtigkeit zu überprüfen oder deren Ergänzung oder Aktualisierung oder die Berichtigung, Löschung, Übertragbarkeit und Einschränkung der Verarbeitung gemäß Art. 15 ff. der DSGVO zu verlangen. Bei den Verarbeitungen, die auf einer Einwilligung beruhen, können die Nutzer ihre zuvor erteilte Einwilligung jederzeit und frei widerrufen. Die oben genannten Rechte können ausgeübt werden, indem Sie eine schriftliche Mitteilung an das Büro des Datenschutzbeauftragten, c/o Nexi Payments S.p.A., Corso Sempione 55, 20149 Mailand, oder eine E-Mail an die E-Mail-Adresse DPO@nexi.it senden.
Schließlich haben die Nutzer das Recht, eine Beschwerde bei der Aufsichtsbehörde für den Schutz personenbezogener Daten einzureichen..
4. Übermittlung von Daten ins Ausland
Eventuell erhobene Daten, die beim Surfen auf der Website erfasst werden, werden nicht ins Ausland übertragen; im Falle einer solchen Notwendigkeit, insbesondere in Bezug auf die Übermittlung von Daten außerhalb des Europäischen Wirtschaftsraums, obliegt es Nexi, alle erforderlichen Maßnahmen zu ergreifen, damit diese Verarbeitung den geltenden Datenschutzbestimmungen entspricht (Kapitel V der DSGVO).
5. Datenverantwortlicher
Die Verarbeitung im Zusammenhang mit den Webdiensten dieser Website erfolgt durch die Mitarbeiter von Nexi, die als autorisierte Datenverarbeiter ernannt wurden, oder durch externe Personen, die mit der Wartung oder technischen Verwaltung der Website beauftragt sind und die ihrerseits gemäß Artikel 28 der DSGVO vom Datenverantwortlichen als Auftragsverarbeiter ernannt wurden, falls erforderlich. Die Daten aus dem Webdienst werden nicht verbreitet.
Der Datenverantwortliche ist Nexi S.p.A. mit Sitz in Corso Sempione, 55, 20149 Mailand. Der Datenschutzbeauftragte (Data Protection Officer) kann bei Nexi Payments S.p.A. kontaktiert werden, indem Sie an die E-Mail-Adresse DPO@nexi.it schreiben oder eine schriftliche Anfrage an Nexi Payments S.p.A., Büro des Data Protection Officer, Corso Sempione 55, 20149 Mailand, senden.
Last update: June 2021