Privacybeleid
Laatste update 7/10/2021
De bescherming van de persoonlijke levenssfeer, en meer bepaald de bescherming van de persoonsgegevens ongeoorloofde openbaarmaking of verwerking, is voor Keytrade Bank (hierna 'de Bank') van cruciaal belang.
Dit Privacybeleid ('Beleid') heeft tot doel u duidelijk en eenvoudig uit te leggen hoe de Bank uw persoonsgegevens verzamelt, verwerkt, wijzigt, overdraagt, bewaart, archiveert, raadpleegt en verwijdert.
Onder persoonsgegevens wordt alle informatie verstaan over een natuurlijke persoon die geïdentificeerd of identificeerbaar is, met name aan de hand van een identificator (kan een nummer zijn). Zodra een persoon kan worden geïdentificeerd op basis van de elementen waarover de verantwoordelijke voor de verwerking beschikt, is elk gegeven over die persoon (tegoeden, leeftijd, bankrekeningnummer, adres, enz.) een persoonsgegeven.
Dit Beleid is zowel van toepassing op de persoonsgegevens die aanvankelijk worden verzameld wanneer u de Website van de Bank bezoekt en/of een relatie aangaat met de Bank, als op de gegevens die de Bank later verkrijgt (bijvoorbeeld bij de inschrijving op aanvullende producten of diensten of bij een update van de oorspronkelijk meegedeelde gegevens).
De behandeling van uw persoonsgegevens is onderworpen aan de Europese verordening nr. 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens, de zogenaamde GDPR (of AVG), en aan alle voorschriften die van toepassing zijn op persoonsgegevens1 .
Voor meer informatie over de gegevensbescherming kunt u terecht bij de Gegevensbeschermingsautoriteit (https://www.gegevensbeschermingsautoriteit.be).
Dit Beleid wordt regelmatig bijgewerkt. De Bank verzoekt u regelmatig haar Website te raadplegen om kennis te nemen van de meest recente versie.
Alle termen die niet in dit Beleid zijn gedefinieerd en met een hoofdletter zijn geschreven, hebben de betekenis zoals bepaald in de Algemene Voorwaarden van de Bank.
1Onder andere:
- - Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens
- - Wet van 13 juni 2005 betreffende de elektronische communicatie
- - Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie)
Inhoudsopgave
- Wie is verantwoordelijk voor de verwerking van uw persoonsgegevens?
- Welke categorieën van persoonsgegevens worden behandeld?
- Wanneer verzamelt de Bank uw persoonsgegevens?
- In welke gevallen bent u verplicht om uw persoonsgegevens aan de Bank mee te delen?
-
Voor welke doeleinden en op welke wettelijke basis verwerkt de Bank uw persoonsgegevens?
-
Wettelijke verplichtingen
- Identificatie en Know Your Customer (KYC)
- Strafrechtelijke onderzoeken – vorderingen
- De rechterlijke beslissingen naleven
- Beslag op rekeningen
- Nalatenschappen en echtscheidingen
- SWG/FT
- Marktmisbruik (Verordening marktmisbruik)
- Markten voor financiële instrumenten (MiFID)
- Shareholder Rights Directive (SRD II)
- Schending van persoonsgegevens (GDPR)
- Uitoefening van uw GDPR-rechten
- Centraal aanspreekpunt ('CAP')
- Centrale voor Kredieten aan Particulieren ('CKP')
- Hypothecair krediet en consumentenkrediet
- Common Reporting Standard (CRS)
- Foreign Account Tax Compliance Act (FATCA) & Qualified Intermediary (QI)
- DAC 6
- Fonds de Garantie des dépôts et de résolution ('FGDR', Frans depositogarantiestelsel)
- Slapende rekeningen
- Controles van de overheid
- Contractuele relatie
-
Contractuele relatie – producten
- Rekeningenbeheer
- Bankkaarten (krediet & debet)
- Dienst voor rekeningaggregatie
- Cashback-service – Paylead
- Beursorders – bewaarnemers
- KEYPLAN & KEYPRIVATE
- Keytrade Pro – Saxo Bank
- Betaling van facturen – Zoomit
- Recuperatie van schuldvorderingen
- KEYHOME – Crefius
- KEYHOME – partners
- Verzekering Tak 21 en 23
- Klachten
- Contractuele relatie – communicatiemiddelen
- Gerechtvaardigd belang
- Toestemming
-
Wettelijke verplichtingen
- Reclameboodschappen
- Cookies en andere soortgelijke technologieën
- Profilering en geautomatiseerde beslissingen
-
Bewaartermijn
- Prospects
-
Cliënten
- Bewaartermijn van de identificatiegegevens
- Algemene bewaartermijn voor mondelinge en schriftelijke uitwisselingen
- Bewaartermijn van de informatie over de verrichtingen
- Bewaartermijn van beursorders
- Bewaartermijn van de gegevens in verband met een klacht of gerechtelijke procedure
- Bewaartermijn van de door de Bank geproduceerde gegevens (modellen, statistieken, enz.)
- Bewaartermijn van de video's van de bewakingscamera's
- Veiligheidsmaatregelen rond de gegevens
- Wat zijn uw rechten?
- Hoe oefent u uw rechten uit?
- Bij wie kunt u terecht bij klachten?
1. Wie is verantwoordelijk voor de verwerking van uw persoonsgegevens?
Keytrade Bank, Belgisch bijkantoor van Arkéa Direct Bank SA (Frankrijk), gevestigd Vorstlaan 100, 1170 Brussel, ingeschreven in de KBO onder het nummer BE 0879.257.191, is de verwerkingsverantwoordelijke van uw persoonsgegevens.
Als bijkantoor van Arkéa Direct Bank SA (Frankrijk), zelf dochteronderneming van Crédit Mutuel Arkéa, maakt de Bank deel uit van de groep Crédit Mutuel Arkéa.
Binnen Keytrade Bank is het DPO Team verantwoordelijk voor de dagelijkse opvolging van problemen in verband met de GDPR (eerste aanspreekpunt) en de naleving van de regelgeving die van toepassing is op de persoonsgegevens.
Als u vragen hebt, een verzoek wilt indienen om een van uw GDPR-rechten uit te oefenen of als u geconfronteerd wordt met een probleem met uw persoonsgegevens, kunt u contact opnemen met ons DPO Team via e-mail naardpo@keytradebank.com of per brief naar Vorstlaan 100, 1170 Brussel.
Keytrade Bank heeft een functionaris voor gegevensbescherming ('DPO' - Data Protection Officer) aangesteld die met name tot taak heeft de Bank te informeren en te adviseren over alle kwesties in verband met de bescherming van de persoonsgegevens. U kunt contact opnemen met de functionaris voor gegevensbescherming:
- - Per post: Mevrouw de functionaris voor gegevensbescherming – Crédit Mutuel Arkéa – 1 rue Louis Lichou, 29808 Brest Cedex 9, France
- - Via e-mail:protectiondesdonnees@arkea.com
2. Welke categorieën van persoonsgegevens worden behandeld?
Dit zijn de verschillende categorieën persoonsgegevens die de Bank verzamelt in het kader van de bankrelatie of wanneer u met haar in contact komt:
- - Identificatiegegevens: uw naam, voornamen, adres, identiteitskaartnummer, rijksregisternummer, e-mailadres, telefoonnummer, login.
- - Transactiegegevens: alle gegevens over uw bank- en beurstransacties, zoals uw rekeningnummers, kaartnummers, bankmededelingen, geldopnames, overschrijvingen via uw rekeningen, eventuele niet-terugbetalingen van uw krediet bij de Bank, enz.
- - Financiële gegevens: uw facturen, loonfiches, inkomsten, de waarde van uw roerende of onroerende goederen, uw terugbetalingscapaciteit, de herkomst van uw kapitaal of vermogen.
- - Gegevens over uw burgerlijke stand: uw naam, voornamen, leeftijd, geslacht, geboortedatum, geboorteplaats, burgerlijke staat en nationaliteit.
- - Gegevens over uw gezinssamenstelling: uw gezinstoestand, informatie over de andere gezinsleden.
- - Gegevens over uw kennis- en ervaringsniveau of uw beleggersprofiel: uw kennis en ervaring op het gebied van financiële instrumenten en uw financiële situatie, inclusief uw vermogen om verliezen te dragen, uw beleggingsdoelstellingen en uw risicotolerantie.
- - De gegevens van de tevredenheidsenquêtes of die afkomstig zijn van uw interacties met de Bank.
- - Audiovisuele en elektronische gegevens: beelden van de bewakingscamera's in onze kantoren, telefoonopnames van de cliëntendienst of registraties van uw communicaties per e-mail.
- - Gegevens over uw rechtsbekwaamheid om bepaalde contracten af te sluiten of bepaalde handelingen te stellen: in collectieve schuldenregeling, faillissement, onbekwaam, geregistreerd in het negatieve luik van de Centrale voor Kredieten aan Particulieren van de Nationale Bank van België.
- - Gegevens verkregen via cookies en andere gelijkaardige technologieën: IP-adres, de versie van uw browser, uw gedrag op de website, het aantal keren dat u de Transactiesite hebt bezocht (logs). Lees onze Cookies Policy voor meer informatie.
3. Wanneer verzamelt de Bank uw persoonsgegevens?
De Bank verzamelt persoonsgegevens die op u betrekking hebben op basis van de verschillende, hieronder vermelde bronnen.
4. In welke gevallen bent u verplicht om uw persoonsgegevens aan de Bank mee te delen?
De Bank verbindt zich ertoe u enkel de gegevens te vragen, zowel bij de opening van de bankrelatie als bij de inschrijving op een dienst en/of product, die zij nodig heeft om uw aanvraag naar behoren te analyseren (Privacy by default). Om ervoor te zorgen dat het principe van Privacy by default wordt nageleefd, dient elke vraag naar informatie gericht aan cliënten en prospects (bv. bij de inschrijving op een onlineproduct) te worden nagezien door het DPO Team, dat zich sterk maakt te kunnen verantwoorden waarom elk gevraagd gegeven noodzakelijk is voor het doel waarvoor het wordt verzameld.
Het merendeel van die gegevens wordt gevraagd opdat de Bank de geldende regelgeving inzake persoonsgegevens (wet tot voorkoming van het witwassen van geld, MiFID, verordening betreffende marktmisbruik, verordening nr. 596/2014, enz.) zou kunnen naleven.
U hebt uiteraard het recht om te weigeren die informatie mee te delen, maar als die weigering de Bank belet om haar wettelijke verplichtingen na te komen, zal ze u de dienst en/of het product moeten ontzeggen.
Aangezien de Bank een onlinebank is, heeft ze een e-mailadres nodig om u informatie toe te sturen die ze verplicht is u te bezorgen. Zonder e-mailadres en gsm-nummer om de opening van de bankrelatie te valideren, kan de Bank geen bankrelatie openen.
Als een gegeven wettelijk niet vereist is, geeft de Bank dat aan en kunt u uw aanvraag voor producten en/of diensten voortzetten zonder dat gegeven mee te delen. Die gegevens zijn vooral bedoeld om uw ervaring als cliënt te verbeteren (personalisatie van uw cliëntomgeving: een foto toevoegen, een naam geven aan uw rekeningen, aanpassing van de visualisatie van uw cliëntruimte, enz.).
5. Voor welke doeleinden en op welke wettelijke basis verwerkt de Bank uw persoonsgegevens?
In het deel hierna verduidelijkt de Bank welke verschillende behandelingen van persoonsgegevens zij uitvoert. In het algemeen verwerkt de Bank uw gegevens op de volgende wettelijke basissen:
- - om alle wettelijke en reglementaire bepalingen na te leven die de Bank worden opgelegd;
- - in het kader van de uitvoering van de overeenkomst of het nemen van precontractuele maatregelen;
- - om redenen waarvoor de Bank een gerechtvaardigd belang heeft, met behoud van het evenwicht tussen dat gerechtvaardigd belang en uw privacy;
- - wanneer u toestemming hebt gegeven voor een of meer specifieke doeleinden.
6. Reclameboodschappen
Afhankelijk van de datum waarop u de bankrelatie hebt geopend, hebt u al dan niet uw toestemming kunnen geven voor de ontvangst van reclameboodschappen.
Als u bij de relatieopening toestemming hebt gegeven voor de ontvangst van reclameboodschappen, verwerkt de Bank uw persoonsgegevens, en in het bijzonder uw contactgegevens, om u dergelijke berichten te bezorgen (opt-in). Als u geen toestemming hebt gegeven bij de opening van de bankrelatie, zal de Bank u geen reclameboodschappen sturen en uw gegevens daartoe niet verwerken (opt-out).
Als de Bank u bij de relatieopening niet om uw toestemming heeft gevraagd, baseert ze zich op het gerechtvaardigde belang voor de verzending van reclameboodschappen (soft opt-in). U kunt een kopie vragen van de analyse van het gerechtvaardigde belang uitgevoerd door de Bank.
Concreet betekent dit dat u bijvoorbeeld in de volgende gevallen kunt worden gecontacteerd:
- - voor producten of diensten waarvoor u belangstelling hebt getoond (bijvoorbeeld door voor een infosessie in te schrijven of door een simulatie van het product of de dienst te maken);
- - wanneer de Bank producten of diensten commercialiseert die volgens haar analyses beantwoorden aan uw behoeften; de Bank analyseert de resultaten van haar marketingactiviteiten om de doeltreffendheid van haar campagnes te meten en u als cliënt bijgevolg relevantere diensten en producten te kunnen aanbieden.
In het kader van haar reclameboodschappen kan de Bank u contacteren via e-mail, telefoon (sms en oproep) of de gewone post. De Bank kiest de meest geschikte en minst intrusieve communicatiemethode op basis van het doel van de communicatie. Om u te informeren over (nieuwe) producten en diensten verkiest de Bank e-mail.
Elke reclameboodschap die de Bank verstuurt, bevat een link waarmee u gemakkelijk uw toestemming kunt intrekken of specifieke voorkeuren kunt ingeven.
U kunt ook op elk moment aangeven dat u geen reclameboodschappen meer wilt ontvangen door in te loggen op de Transactiesite > Voorkeuren > Persoonsgegevens > Communicatie. Als u uw toestemming hebt ingetrokken, zal de Bank in geen geval uw gegevens verwerken.
De Bank verstuurt geen reclameboodschappen als u geen actieve bankrelatie met haar hebt (prospects en cliënten van wie de rekeningen zijn afgesloten zijn dus uitgesloten).
7. Cookies en andere soortgelijke technologieën
Algemeen genomen zijn cookies kleine gegevensbestanden die op uw toestel worden opgeslagen. Ze kunnen verschillende functies hebben. De Bank gebruikt cookies op haar Website en in haar App om deze beter te laten werken, om ze uw voorkeuren te laten onthouden of om u informatie te geven waarvan de Bank denkt dat ze interessant of nuttig kan zijn voor u. De Bank gebruikt de door de cookies geregistreerde gegevens ook om statistieken over haar Website aan te maken en de prestaties en inhoud ervan te verbeteren.
Lees de Cookies Policy (https://www.keytradebank.be/nl/gebruik-cookies/) van de Bank voor meer informatie over het gebruik van cookies.
8. Profilering en geautomatiseerde beslissingen
Profilering bestaat erin uw persoonsgegevens automatisch te verwerken om bepaalde persoonlijke aspecten te beoordelen, zoals uw interesses, uw persoonlijke voorkeuren, enz.
Om u bepaalde producten en diensten snel en efficiënt aan te bieden, kunnen uw persoonsgegevens af en toe gedeeltelijk of volledig geautomatiseerd worden verwerkt, wat een beslissing met juridische gevolgen voor u kan meebrengen of een aanzienlijke impact op u kan hebben. Het gaat dan om geautomatiseerde beslissingen.
Er moet een onderscheid worden gemaakt tussen drie vormen van profilering:
- - profilering in het algemeen (zonder juridische gevolgen voor u);
- - menselijke besluitvorming op basis van de resultaten van een profilering (zonder juridische gevolgen voor u);
- - een volledig geautomatiseerde beslissing (met juridische of andere belangrijke gevolgen voor u).
8.1 Profilering in het algemeen
De Bank commercialiseert een uitgebreid gamma financiële producten en diensten (spaarrekeningen, beleggingsdiensten, pensioensparen, verzekeringen, hypothecaire kredieten, consumentenkredieten, enz.). Om de producten en diensten te identificeren die werkelijk aan uw behoeften beantwoorden, past de Bank profilering toe op basis van bepaalde van uw persoonsgegevens.
Dankzij profilering is de Bank in staat om reclameboodschappen op maat op te stellen en de verzending te beperken tot berichten waarvan zij stellig overtuigd is dat ze voor u relevant zijn. De producten en diensten blijven toegankelijk voor alle cliënten van de Bank, behalve bij wettelijke uitsluiting, zelfs als er bij de profilering niet werd vastgesteld dat de producten overeenstemmen met de behoeften of interesses van bepaalde categorieën van cliënten.
U kunt zich te allen tijde verzetten tegen profilering voor marketingdoeleinden door in te loggen op de Transactiesite > Voorkeuren > Persoonsgegevens > Communicatie. Elke reclameboodschap bevat ook een link waarmee u zich gemakkelijk kunt verzetten tegen profilering voor marketingdoeleinden.
De Bank doet ook aan anonieme profilering voor andere doeleinden zoals:
- - statistische doeleinden;
- - om het gedrag en de behoeften van de cliënten van de Bank beter te begrijpen en de diensten te verbeteren;
- - om het surfgedrag van de bezoekers van de Website van de Bank te analyseren.
Wanneer de Bank zich baseert op het gerechtvaardigde belang voor de profilering, beoordeelt zij vooraf en aandachtig het gerechtvaardigde belang om te bepalen of het verdedigbaar is om de profilering door te voeren en neemt zij in alle gevallen de nodige maatregelen om de eventuele impact op uw rechten en vrijheden te beperken.
8.2 Menselijke beslissing gebaseerd op profileringsresultaten
Dat is het geval wanneer een aanvraag wordt ingediend voor een hypothecair krediet of een kredietkaart. De beslissing van de dossierbeheerder om u al dan niet een lening of krediet toe te kennen, zal deels gebaseerd zijn op het resultaat van de profilering die door een algoritme wordt gerealiseerd. Dat algoritme maakt gebruik van de gegevens die u aan de Bank meedeelt in het kader van uw kredietaanvraag en van externe gegevens (Centrale voor Kredieten aan Particulieren). Het beoordeelt uw terugbetalingscapaciteit voor de lening of het krediet die/dat u aanvraagt en is bedoeld om de dossierbeheerder in staat te stellen snel en niet-discriminerend te beslissen.
8.3 Geautomatiseerde besluitvorming met juridische of andere belangrijke gevolgen voor u
Een volledig geautomatiseerde beslissing is een beslissing die wordt genomen ten aanzien van een persoon, via een algoritme dat wordt toegepast op zijn persoonsgegevens, zonder dat er mensen bij het proces betrokken zijn (overweging 71 en art. 22 van de GDPR).
Dat is het geval voor de simulaties KEYHOME en KEYPRIVATE die beschikbaar zijn op de Website van de Bank. In geval van weigering door het algoritme, om welke reden ook, is dit een beslissing die voor u rechtsgevolgen kan hebben.
In sommige gevallen gebeurt de beslissing om geen kredietkaart toe te kennen ook op basis van een volledig geautomatiseerd proces. Het algoritme houdt rekening met verschillende elementen van uw aanvraag en raadpleegt het bestand van de Centrale voor Kredieten aan Particulieren om te bepalen of het de aanvraag moet weigeren.
Wanneer het om een volledig geautomatiseerde beslissing gaat, krijgt u onmiddellijk een antwoord op uw aanvraag.
In alle gevallen waarin een geautomatiseerde beslissing juridische of andere belangrijke gevolgen voor u heeft, hebt u het recht om een menselijke tussenkomst te vragen en uitleg te krijgen over de beslissing die na een dergelijke evaluatie wordt genomen en kunt u deze beslissing eventueel betwisten.
9. Bewaartermijn
Wat de bewaartermijnen betreft, moet er een onderscheid worden gemaakt tussen actief en gearchiveerd. De gegevens van de cliënten met betrekking tot hun bankrelatie en de producten waarop ze hebben ingetekend, worden op actieve basis bewaard en dit zolang ze het product gebruiken of de bankrelatie niet is afgesloten. Zodra alle bankrelaties van een cliënt zijn beëindigd, worden al zijn gegevens overgebracht naar de gearchiveerde database. Wanneer een cliënt niet langer een product geniet, worden alleen de gegevens over dat product gearchiveerd. Wanneer de gegevens in een gearchiveerde database worden geplaatst, verwerkt de Bank deze gegevens niet meer, behoudens reglementaire verplichting in die zin, en beperkt ze zich tot de bewaring ervan.
De Bank ziet erop toe dat ze uw persoonsgegevens niet langer bewaart dan noodzakelijk is voor de verwerking waarvoor ze werden verzameld.
Bij de beoordeling van de bewaartermijn van uw gearchiveerde persoonsgegevens houdt de Bank rekening met de toepasselijke reglementaire vereisten (bv. de vereisten die voortvloeien uit de SWG/FT-wet).
9.1 Prospects
Uw persoonsgegevens (informatie over uw rekeningopening en de schriftelijke en mondelinge uitwisselingen) als prospect worden maximaal één jaar bewaard. Daarna worden uw gegevens automatisch uit onze database verwijderd.
9.2 Cliënten
De Bank past verschillende bewaartermijnen toe op de persoonsgegevens afhankelijk van de toepasselijke reglementaire bepaling en de betrokken documenten. Wanneer op een document een bijzondere bewaartermijn van toepassing is, wordt die bewaartermijn verduidelijkt in het punt over dat document (reportings).
In dit deel vindt u een uiteenzetting van de verschillende bewaartermijnen die de Bank heeft aangenomen en van de gegevens waarop de bewaartermijn van toepassing is.
9.2.1 Bewaartermijn van de identificatiegegevens
Uw identificatiegegevens worden bewaard gedurende tien jaar vanaf de datum van beëindiging van al uw bankrelaties met de Bank (art. 60 SWG/FT-wet). Die termijn kan in sommige gevallen worden verlengd, bijvoorbeeld als u uw bankrelatie beëindigt maar een lopend hypothecair krediet hebt of bij een geschil (tot na afloop van het geschil).
9.2.2 Algemene bewaartermijn voor mondelinge en schriftelijke uitwisselingen
De Bank past een algemene bewaartermijn van één jaar toe voor alle uitwisselingen (telefoon, elektronische en papieren briefwisseling) die ze met haar cliënten heeft en dit voor bewijsdoeleinden en voor zover geen enkele reglementering een langere bewaring van het gegeven rechtvaardigt (zie hierna).
De Bank baseert zich op artikel 5.1 c) van de GDPR en op overweging 39 van diezelfde verordening en op het feit dat de eerste uitwisselingen over een specifiek probleem een beter inzicht geven in de oorsprong en de eventuele oplossingen die de Bank voorstelt om de algemene termijn van een jaar te rechtvaardigen.
U kunt op elk moment een kopie vragen van de telefonische en schriftelijke uitwisselingen die u met de bank hebt gevoerd, op voorwaarde dat u uw aanvraag indient binnen de bewaartermijn die in dit beleid is vermeld. De Bank kan niet verplicht worden om een document voor te leggen dat zij heeft verwijderd met inachtneming van de toepasselijke reglementaire termijn.
9.2.3 Bewaartermijn van de informatie over de verrichtingen
Overeenkomstig artikel 60 van de SWG/FT-wet wordt de informatie over een specifieke verrichting bewaard gedurende een termijn van tien jaar vanaf de verrichtingsdatum.
Concreet: als uw telefonische of schriftelijke oproep in ons informaticasysteem wordt geclassificeerd als gekoppeld aan een specifieke verrichting in de zin van artikel 60 van voormelde wet, wordt niet de algemene termijn van een jaar toegepast, maar wel de termijn van tien jaar.
9.2.4 Bewaartermijn van beursorders
Alle informatie die onder de Verordening Marktmisbruik en de MiFID-richtlijn valt, wordt gedurende een termijn van vijf jaar bewaard.
Concreet: als u een order telefonisch of schriftelijk op de beurs plaatst, bewaart de Bank de gegevens van dat order gedurende een termijn van vijf jaar vanaf de invoeging van het order op de beurs (en niet de algemene termijn van een jaar).
9.2.5 Bewaartermijn van de gegevens in verband met een klacht of gerechtelijke procedure
Als u officieel een klacht indient bij de afdeling Quality Care, bij Ombudsfin of bij een advocaat of als uw klacht het voorwerp uitmaakt van een gerechtelijke of arbitrageprocedure, bewaart de Bank de gegevens over de klacht en/of gerechtelijke procedure gedurende een termijn van tien jaar vanaf de afsluiting van de klacht of de gerechtelijke procedure.
9.2.6 Bewaartermijn van de door de Bank geproduceerde gegevens (modellen, statistieken, enz.)
Voor statistieken, modellen, inschrijvingslijsten voor seminars en andere informatie die de Bank op basis van de gegevens van haar cliënten aanmaakt, wordt een algemene termijn van twee jaar toegepast. De termijn van twee jaar is gerechtvaardigd omdat de modellen en statistieken het voorwerp moeten uitmaken van een empirische controle en eventueel moeten worden verfijnd op basis van de gedane vaststellingen zodat de Bank haar diensten voortdurend kan verbeteren en beter kan inspelen op de verwachtingen van haar cliënten.
9.2.7 Bewaartermijn van de video's van de bewakingscamera's
De gegevens verzameld via de bewakingscamera's worden gedurende een kortere periode bewaard (voortschrijdende periode van een maand voor de beelden van de bewakingscamera's, behalve als de inhoud van het beeld een langere bewaartermijn rechtvaardigt).
10. Veiligheidsmaatregelen rond de gegevens
10.1 Ons veiligheidssysteem
10.1.1 Controle van de veiligheid van de informaticasystemen
De Bank neemt de nodige maatregelen om ervoor te zorgen dat de vertrouwelijkheid van uw gegevens is gewaarborgd. Daartoe controleert de Bank op geregelde tijdstippen of haar informaticasystemen een passend beschermingsniveau garanderen. Daarnaast machtigt de Bank bepaalde derden om tevens de veiligheid van haar informaticasystemen te controleren.
10.1.2 Privacy by design
Bij elk project waarbij persoonsgegevens worden behandeld, controleert het DPO Team of de GDPR-beginselen worden nageleefd (o.a. enkel de gegevens verwerken die nodig zijn om het doel te bereiken – Privacy by default) en vergewist zich ervan dat de passende technische en organisatorische maatregelen, conform de geldende internationale regels en normen en die welke door de Groupe Crédit Mutuel Arkéa worden aanbevolen, werden ingevoerd (Privacy by design). Het project kan pas gecommercialiseerd en toegankelijk zijn voor klanten nadat het gevalideerd is door het DPO Team.
Elke wijziging in de behandeling van de persoonsgegevens maakt ook het voorwerp uit van een beknoptere analyse van het DPO Team.
Zo zorgt de Bank ervoor dat passende technische en organisatorische maatregelen worden genomen om uw persoonsgegevens op passende wijze te beveiligen tegen verlies, wijzigingen of openbaarmaking aan onbevoegden.
Als de Bank evenwel een incident vaststelt met een impact op uw rechten en vrijheden, zorgt zij ervoor dat, volgens het door de regelgeving opgelegde kader, de Gegevensbeschermingsautoriteit (GBA) hiervan zo snel mogelijk op de hoogte wordt gebracht, dat de betrokkenen worden ingelicht en dat de nodige maatregelen worden getroffen opdat de gevolgen voor de betrokkenen zo beperkt mogelijk blijven.
10.1.3 Overdracht naar partners (afzonderlijke verwerker en verwerkingsverantwoordelijke)
Zoals u in dit Beleid hebt gelezen, doet de Bank voor bepaalde diensten een beroep op gespecialiseerde partners die optreden als afzonderlijke verwerkers of verwerkingsverantwoordelijken. De Bank ziet erop toe dat uw persoonsgegevens worden beschermd door het opnemen van passende bepalingen in haar contracten met deze partners en doet enkel een beroep op partners die passende technische en organisatorische maatregelen treffen. Zo nodig vult de Bank de contracten en documentatie van de partner aan met andere passende maatregelen (jaarlijkse vragenlijst, controle ter plaatse, enz.).
Wanneer persoonsgegevens aan een partner moeten worden overgedragen, dient het DPO Team de overdracht te analyseren vóór de uitvoering ervan en erop toe te zien dat de Bank de partner alleen de persoonsgegevens ter beschikking stelt die noodzakelijk zijn om zijn opdracht tot een goed einde te brengen (Privacy by default).
De Bank deelt uw persoonsgegevens in geen geval mee aan derden zonder dat er een specifiek doel is dat de overdracht ervan rechtvaardigt.
Wanneer de Bank werkt met verwerkers buiten de Europese Economische Ruimte (EER), neemt zij passende maatregelen (Modelcontractbepalingen, technische en organisatorische maatregelen en gegevensbeschermingseffectbeoordeling – art. 35 en 46 GDPR) om te garanderen dat uw persoonsgegevens in het land van bestemming naar behoren beschermd zijn. In dat geval stelt de Bank (bv. door contractuele maatregelen en controles op de geïmplementeerde technische en organisatorische maatregelen) zeker dat de persoonsgegevens worden verwerkt volgens hetzelfde veiligheidsniveau als vereist door de Europese regelgeving.
10.1.4 Interne toegang tot uw gegevens
Overeenkomstig de reglementering heeft de Bank procedures uitgewerkt om ervoor te zorgen dat alleen de gegevens die nodig zijn om de taken van de medewerker uit te voeren, voor hem toegankelijk zijn.
Zo zijn bijvoorbeeld de gegevens over hypothecaire kredieten enkel toegankelijk voor de medewerkers van de departementen die met deze dienst belast zijn.
10.1.5 Opleiding en sensibilisering van het personeel
Alle medewerkers van de Bank worden via een jaarlijkse opleiding gesensibiliseerd voor de bescherming van de persoonsgegevens. De Bank ziet erop toe dat haar medewerkers de deontologische code met de richtlijnen voor de behandeling van persoonsgegevens naleven.
10.2 De maatregelen die u kunt nemen
Gegevensbeveiliging is een zaak van iedereen.
U kunt zelf ook bijdragen aan de beveiliging van uw persoonsgegevens door de onderstaande tips te volgen:
- - Gebruik het recentste besturingssysteem op uw toestel en installeer alle veiligheidsupdates.
- - Gebruik de recentste versie van uw browser en installeer alle veiligheidsupdates.
- - Installeer een antivirus-, antispyware- en firewall-toepassing en stel uw voorkeuren zo in dat ze regelmatig worden geüpdatet.
- - Laat uw toestel en uw inlogmiddelen niet onbewaakt achter.
- - Log uit als u de Transactiesite of app niet meer gebruikt.
- - Zorg ervoor dat uw codes geheim blijven.
- - Log alleen in via een toestel dat u vertrouwt en vermijd om gedeelde toestellen te gebruiken voor gevoelige transacties.
De Bank zal u nooit per e-mail of telefoon (sms/app's, enz.) vragen naar nummers van rekeningen, krediet- of debetkaarten, wachtwoorden of codes. Geef deze informatie dus nooit op enige manier en onder geen enkel voorwendsel door! Als u naar de Bank belt, moet zij u mogelijk identificeren. Zij zal dit doen door bepaalde persoonlijke vragen te stellen.
11. Wat zijn uw rechten?
11.1 Recht op inzage
U hebt recht op inzage in de persoonsgegevens die op u betrekking hebben en die door de Bank worden verwerkt.
De Bank neemt alle nodige maatregelen om ervoor te zorgen dat uw persoonsgegevens correct, up-to-date, volledig en relevant zijn. Daarom vraagt de Bank u om haar elke wijziging (verhuizing, nieuwe identiteitskaart, toevoeging van een nieuwe nationaliteit, enz.) mee te delen. Als u vaststelt dat uw gegevens onjuist of onvolledig zijn, kunt u ons om een rectificatie vragen (zie 'Hoe oefent u uw rechten uit?').
11.2 Recht op rectificatie
U kunt bepaalde persoonsgegevens zelf wijzigen door in te loggen op de Transactiesite > Mijn voorkeuren > Persoonsgegevens > Communicatie. Voor bepaalde wijzigingen van persoonsgegevens die u invoert, raadpleegt de Bank het Rijksregister omdat de Bank zich ervan moet vergewissen dat de ingevoerde wijziging overeenstemt met de officiële databases.
Voor de gegevens die u niet zelf kunt wijzigen op de Transactiesite beschikt u ook over een recht op rectificatie in geval van vergissing of weglating. Stuur in dat geval een e-mail naardpo@keytradebank.com met duidelijke vermelding van de redenen waarom u vindt dat de gegevens moeten worden rechtgezet en met toevoeging van eventuele bewijsstukken.
Als de Bank uw gegevens corrigeert en ze eerder met een derde had gedeeld, zal zij die laatste ook op de hoogte brengen.
11.3 Recht op vergetelheid
In welbepaalde gevallen biedt de wetgeving u de mogelijkheid om uw persoonsgegevens uit de database van de Bank te laten verwijderen.
Dat is met name het geval als de gegevens niet meer nodig zijn voor de doeleinden waarvoor de Bank ze heeft verzameld, als de verwerking van uw gegevens uitsluitend op uw toestemming berust en u beslist om deze in te trekken of als u zich verzet tegen de verwerking van uw gegevens en als er voor de Bank geen wettige redenen zijn die voorrang hebben op die van u (bijvoorbeeld omdat u uw persoonsgegevens hebt meegedeeld om een hypothecair krediet aan te vragen dat u uiteindelijk niet hebt afgesloten).
De Bank kan uw persoonsgegevens echter bewaren wanneer zij nodig zijn voor de instelling, uitoefening of onderbouwing van een rechtsvordering of voor de naleving van haar wettelijke verplichtingen (zie 'Bewaartermijn').
11.4 Recht op beperking van de verwerking
Met dit recht van bezwaar kunt u de Bank vragen om de verwerking van uw persoonsgegevens tijdelijk stop te zetten in welbepaalde gevallen zoals vastgelegd in de regelgeving.
Die blokkering kan worden aangevraagd:
- - wanneer de betrokken gegevens onjuist, onvolledig, dubbelzinnig of verstreken zijn, gedurende de tijd die de Bank nodig heeft om de juistheid van uw gegevens na te kijken;
- - wanneer u van mening bent dat de verzameling, verwerking, mededeling of bewaring van de gegevens verboden is;
- - wanneer de gegevens niet meer nodig zijn voor de verwezenlijking van de doelstellingen van de verwerking;
- - tijdens de periode die de Bank nodig heeft om de gegrondheid van een verzoek tot bezwaar te onderzoeken.
Als u van dat recht hebt gebruikgemaakt, mag de Bank uw gegevens bewaren maar niet meer verwerken, tenzij met uw toestemming of voor de vaststelling, uitoefening of verdediging van haar rechten (of die van een andere persoon) of in de door de regelgeving bepaalde gevallen.
11.5 Recht op overdraagbaarheid van gegevens
Krachtens dit recht kunt u de Bank vragen dat ze uw persoonsgegevens aan u overmaakt of rechtstreeks doorstuurt naar een andere verwerkingsverantwoordelijke, wanneer dat voor de Bank technisch mogelijk is. Dit recht betreft alleen de gegevens die u zelf aan de Bank hebt verstrekt en die automatisch zijn verwerkt op basis van het contract of uw toestemming.
U kunt een aanvraag doen via het volgende formulier
11.6 Recht om uw toestemming in te trekken
Wanneer de verwerking van uw gegevens op uw toestemming berust, hebt u het recht om uw toestemming te allen tijde in te trekken. Die intrekking heeft echter geen invloed op de rechtmatigheid van de verwerking die plaatsvond in de periode voorafgaand aan de intrekking van uw toestemming.
11.7 Recht op bezwaar
U hebt bovendien ook het recht om vanwege redenen die verband houden met uw specifieke situatie bezwaar te maken tegen elke verwerking van uw persoonsgegevens op basis van het gerechtvaardigd belang van de Bank. Er wordt echter geen gevolg gegeven aan uw verzoek als er legitieme en dwingende redenen zijn die zwaarder wegen dan uw belangen, rechten en vrijheden of als de verwerking van uw gegevens vereist is voor de vaststelling, uitoefening of verdediging van de rechten van de Bank voor de rechtbanken.
Bovendien hebt u altijd het recht om u kosteloos en zonder verantwoording te verzetten tegen de verwerking van uw persoonsgegevens voor marketingdoeleinden (zie 'Reclameboodschappen'). In dat geval worden uw gegevens niet meer voor dat doel gebruikt.
12. Hoe oefent u uw rechten uit?
Cliënten kunnen hun aanvraag via hun geauthenticeerde e-mailadres (dus het e-mailadres dat ze bij de opening van hun rekening hebben opgegeven of elk e-mailadres dat ze later hebben meegedeeld en dat door de Bank werd gevalideerd) richten aandpo@keytradebank.com, zonder dat er een kopie van hun identiteitskaart moet worden meegestuurd.
Als u geen toegang meer hebt tot uw geauthenticeerde e-mailadres of geen cliënt bent, moet u om uw rechten uit te oefenen uw aanvraag samen met een leesbare kopie van de voor- en achterkant van uw identiteitskaart aan de Bank bezorgen op het e-mailadresdpo@keytradebank.com.
Na ontvangst van uw volledige aanvraag zal de Bank de gegrondheid ervan analyseren en, indien u gemachtigd bent om het ingeroepen recht uit te oefenen, zo snel mogelijk de nodige maatregelen treffen.
De Bank zal u in elk geval binnen een termijn van een maand antwoorden. Als uw aanvraag complex blijkt te zijn, zal de Bank u daarover binnen een termijn van een maand informeren en zal ze u binnen maximaal twee bijkomende maanden de gevraagde elementen bezorgen.
Voor elke extra kopie of bijkomende informatie die wordt gevraagd in het kader van de uitoefening van uw recht op inzage in uw persoonsgegevens, is de Bank gemachtigd om u een redelijk bedrag aan te rekenen voor de administratiekosten.
13 Bij wie kunt u terecht bij klachten?
Bij een klacht over de verwerking van uw persoonsgegevens kunt u een bemiddelingsverzoek indienen bij de Gegevensbeschermingsautoriteit op het volgende adres:
Gegevensbeschermingsautoriteit
Drukpersstraat 35
1000 Brussel
Tel. +32 2 274 48 00
E-mail: contact@apd-gba.be