Data Protetction

1. PSA is the processor for your bank in connection with data processing for your debit card or credit card

PSA performs the role of central service provider (processor) on behalf of Austrian banks, thereby providing technical systems to support the issuing of cards, payment media for mobile phones (e.g. debit card mobile) and the processing of transactions.

If you have any questions concerning the processing of personal data in connection with your debit card or credit card (e.g. in connection with payments using debit cards and cash withdrawals), we ask you to contact your bank.

2. Who is responsible for data processing? Who can you turn to?

The organisation responsible for processing your data is:
PSA Payment Services Austria GmbH (‘PSA’)
Handelskai 92, Gate 2
1200 Vienna
Email: This email address is being protected from spambots. You need JavaScript enabled to view it.
https://www.psa.at/impressum

If you have any questions on data protection or wish to assert your rights, please email This email address is being protected from spambots. You need JavaScript enabled to view it. or write to PSA Payment Services Austria GmbH, z.H. Datenschutz, Handelskai 92, Gate 2, 1200 Vienna.

You can also contact our Data Security Officer by emailing This email address is being protected from spambots. You need JavaScript enabled to view it. or writing to PSA Payment Services Austria GmbH, Handelskai 92, Gate 2, 1200 Vienna.

3. As the responsible entity, what data does PSA process, and for what purpose?

We only collect personal data required for the implementation and processing of our services, and data which you voluntarily provide to us. As the responsible entity, PSA processes the personal data of:

  1. Contracting partners and their employees in the context of the initiation and processing of contracts or the development and ongoing enhancement of payment solutions for the purpose of fulfilling specific contractual obligations;
    • Data processed: ‘name’, ‘contact details’, ‘customer data’
  • Legal basis: Fulfilment of contractual obligations (in accordance with article 6 subsection 1(b) of the GDPR) and legitimate interests (article 6 subsection 1(f) of the GDPR), namely the upholding of location-independent communications and the maintenance of business contacts.
  1. Participants in events organised by PSA and associated activities relating to the organisation of such events (forwarding of personalised invitations and correspondence with participants);
    • Data processed: ‘name’, ‘contact details’, ‘affiliated company’
  • Legal basis: legitimate interests (article 6 subsection 1(f) of the GDPR), namely information/event management and efficient internal and external communications in this regard.
  1. Persons recorded in the context of video surveillance at ATM machines operated by PSA for the purpose of collecting evidence of criminal offences or ensuring compliance with ordinances, whereby video surveillance footage will only be evaluated by official decree in case of an emergency;
    • Data processed: ‘role of the individual’, ‘image data’, ‘place and date of recording’, ‘card data’
  • Legal basis: Fulfilment of contractual obligations (article 6 subsection 1(b) of the GDPR), compliance with legal obligations (article 6 subsection 1(c) of the GDPR) and legitimate interests (article 6 subsection 1(f) of the GDPR), namely an interest in the prevention of theft, burglary, misuse of non-cash payment means and criminal property damage and the preservation of evidence to enforce legal claims and report to the police.
  1. Card data in the context of legal and supervisory obligations aimed at preventing money laundering and the financing of terrorism as well as fraud, and at facilitating reports to the Austrian Financial Intelligence Unit of the Criminal Intelligence Service (BKA) in certain suspected cases in line with article 16 of the FM-GwG (Financial Markets Anti-Money Laundering Act);
    • Data processed: ‘card data’, ‘transaction data’, ‘device data’
    • Legal basis: fulfilment of contractual obligations (in accordance with article 6 subsection 1(c) of the GDPR) and legitimate interests (article 6 subsection 1(f) of the GDPR), namely the prevention of money laundering, the financing of terrorism and fraud.
  2. Persons recorded in the context of video surveillance on the office premises of PSA with a view to protecting the properly of PSA as well as third-party data stored by PSA;
    • Data processed: ‘role of the individual’, ‘image data’, ‘place and date of recording’
    • Legal basis: legitimate interests (article 6 subsection 1(f) of the GDPR), namely the protection of property and data stored by PSA as well as the assertion and enforcement of claims under civil law.
       
4. What are the sources of such data?
  1. Personal data of contracting partners and their employees is collected in the context of the initiation and processing of contracts (‘name’, ‘contact details’, ‘customer data’).
  2. In the context of participation in events organised by PSA, the personal data of event participants is collected through notification by the respective organisation (e.g. bank) at which the person is employed (‘name’, ‘contact details’, ‘affiliated company’).
  3. Personal data in the context of video surveillance at ATM machines operated by PSA is collected at the actual ATMs (‘role of the individual’, ‘image data’, ‘place and date of recording’, ‘card data’).
  4. Personal data in the context of fulfilling legal and supervisory obligations is collected via the actual ATM or device (‘card data’, ‘transaction data’, ‘device data’).
  5. Personal data in the context of video surveillance on the office premises is collected in the actual offices of PSA (‘role of the individual’, ‘image data’, ‘place and date of recording’).
5. Processor

Processor

The processor commissioned by PSA processes your data where necessary to perform their specific services. PSA contractually obliges its processors to uphold the confidentiality and security of all personal data. At present, PSA uses the following processor:

  • Antares NetlogiX Netzwerkberatung GmbH

We have taken suitable technical and organisational steps to protect your personal data. In particular, these measures include provisions to guard against unauthorised access of any kind to your personal data alongside controls on data entry, processing and availability.

MS Teams

PSA offers the option of communicating via Microsoft Teams, a video conferencing tool supplied by Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown Dublin 18, Ireland (‘Microsoft Ireland’).

When you use Microsoft Teams, it is possible that personal data may be transmitted to the USA. In order to comply with the requirements of article 46ff of the GDPR, Microsoft Ireland has concluded standard data protection clauses with group sub-processors headquartered in third countries.

For more information on data processing in connection with the use of Microsoft Teams and the Data Protection Addendum agreed between ourselves and Microsoft, please visit:

https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA

Using Microsoft Teams is not a requirement for communicating with PSA. As an alternative, PSA offers personal meetings and telephone conferences. Where Microsoft Teams is used for communication, Microsoft Ireland will act as processor. For this reason, data is processed on the basis of the fulfilment of contractual obligations (article 6 subsection 1(b) of the GDPR).

Recipient

Owing to legal obligations aimed at detecting criminal offences, preventing money laundering and the financing of terrorism and combating fraud, data is sent to the following recipients:

  • Law enforcement agencies/courts
  • Austrian Financial Intelligence Unit of the Criminal Intelligence Service (BKA).
6. For how long is personal data stored?
  • Contract processing: 15 years
  • Events: 15 years
  • Video surveillance at ATM machines: 90 days
  • Legal obligation in accordance with the FM-GwG (Financial Markets Anti-Money Laundering Act): 10 years
  • Video surveillance on office premises: 72 hours
7. As an affected person, what are my rights?

We would like to remind you that in the first instance, questions concerning rights in connection with the processing of personal data linked to your debit card or credit card should be addressed to your bank as your contractual partner and the entity responsible for data processing.

At all times, you have the right to be informed of the data we store; you also have the right to the rectification or deletion of such data, and to restrict or object to the processing thereof (where data is processed on the basis of a public interest or to uphold a legitimate interest). Furthermore, you have the right to data portability in accordance with the requirements of data protection law.

To this end, please email This email address is being protected from spambots. You need JavaScript enabled to view it. or write to PSA Payment Services Austria GmbH, z.H. Datenschutz, Handelskai 92, Gate 2, 1200 Vienna.

In the unlikely event that your right to the lawful processing of your data is breached in spite of our duty to process your data in line with legal requirements, please contact us by post or email as shown above so that we can address your concerns.

You also have the right to lodge a complaint with the Austrian data protection authority (Österreichische Datenschutzbehörde, Barichgasse 40-42, 1030 Vienna) or another data supervisory authority within the European Union (especially in the place where you live or work).

8. Am I obliged to supply data?

Although you are not legally obliged to supply us with data, we may be unable to provide services for you if you decline to provide us with your data.

Where data processing is performed with your consent, you may permanently revoke your consent at any time. To do so, please email This email address is being protected from spambots. You need JavaScript enabled to view it. or write to PSA Payment Services Austria GmbH, z.H. Datenschutz, Handelskai 92, Gate 2, 1200 Vienna. However, please note that without your consent, we are unable to provide services.

9. Information on automated decision-making, including profiling

PSA does not process personal data as part of automated decision-making processes; no profiling is performed. 

10. Updating of data protection information

Owing to rapid developments in technology, legislation and case law, it may be necessary to amend this privacy policy from time to time. For this reason, please be sure to refer to the current version on our web site.

1. Für Datenverarbeitungen im Zusammenhang mit Ihrer Debit-/Bankomat®Karte oder Kreditkarte ist PSA Auftragsverarbeiter Ihrer Bank

PSA nimmt für österreichische Kreditinstitute die Rolle des zentralen Dienstleisters (Auftragsverarbeiters) ein, der die technischen Systeme zur Ausgabe der Karten, Bezahlmedien auf Mobiltelefonen (zB Bankomat®Karte mobil) bzw zur Verarbeitung von Transaktionen zur Verfügung stellt.

Sollten Sie Fragen zur Verarbeitung personenbezogener Daten im Zusammenhang mit Ihrer Debit-/Bankomat®Karte oder Kreditkarte haben – zB im Rahmen von Zahlungen mit Bankomat®Karten sowie bei Bargeldbehebungen – bitten wir Sie, sich an Ihre Bank zu wenden.
 

2. Wer ist für die Datenverarbeitung verantwortlich und an wen können Sie sich wenden?

Für die Verarbeitung Ihrer Daten verantwortlich ist die

PSA Payment Services Austria GmbH ("PSA")
Handelskai 92, Gate 2
1200 Wien

E-Mail: This email address is being protected from spambots. You need JavaScript enabled to view it.
https://www.psa.at/impressum

Für Fragen zum Datenschutz oder die Geltendmachung von Betroffenenrechten wenden Sie sich bitte an This email address is being protected from spambots. You need JavaScript enabled to view it. oder per Post an PSA Payment Services Austria GmbH, zH Datenschutz, Handelskai 92, Gate 2, 1200 Wien.

Unseren Datenschutzbeauftragten erreichen Sie unter der E-Mailadresse This email address is being protected from spambots. You need JavaScript enabled to view it. oder per Post unter PSA Payment Services Austria GmbH, Handelskai 92, Gate 2, 1200 Wien.
 

3. Welche Daten werden von PSA als Verantwortlicher zu welchem Zweck verarbeitet?

Es werden nur solche personenbezogenen Daten erhoben, die für die Durchführung und Abwicklung unserer Leistungen erforderlich sind oder die Sie uns freiwillig zur Verfügung gestellt haben. PSA verarbeitet als Verantwortlicher personenbezogene Daten von:

  1. Vertragspartnern sowie deren Mitarbeitern im Rahmen der Vertragsanbahnung und –abwicklung oder der Entwicklung und laufenden Weiterentwicklung von Zahlungslösungen zum Zweck der Erfüllung der jeweiligen vertraglichen Verpflichtungen;
    • verarbeitete Daten: "Name", "Kontaktdaten", "Kundendaten"
    • Rechtsgrundlage: Erfüllung vertraglicher Pflichten (Art 6 Abs 1 lit b DSGVO), berechtigte Interessen (Art 6 Abs 1 lit f DSGVO), nämlich die Aufrechterhaltung ortsunabhängiger Kommunikation und die Pflege geschäftlicher Kontakte.
       
  2. Teilnehmern an von der PSA organisierten Veranstaltungen und damit verbundenen Aktivitäten zur Organisation dieser Veranstaltungen (Übermittlung personalisierter Einladungen und Korrespondenz mit den Teilnehmern);
    • verarbeitete Daten: "Name", "Kontaktdaten", "zugehöriges Unternehmen"
    • Rechtsgrundlage: berechtigte Interessen (Art 6 Abs 1 lit f DSGVO), nämlich das Informations- und Veranstaltungsmanagement sowie die interne und externe Kommunikation in diesen Belangen effizient zu gestalten.
       
  3. im Rahmen der Videoüberwachung aufgenommenen Personen an von PSA als Verantwortlicher betriebenen Bankomaten® zur Sammlung von Beweisen bei Straftaten oder zum Nachweis von Verfügungen, wobei eine Auswertung der Videoüberwachung nur auf behördliche Anordnung im Anlassfall erfolgt;
    • verarbeitete Daten: "Rolle der Person", "Bilddaten", "Ort und Datum der Aufnahme", "Kartendaten"
    • Rechtsgrundlage: Erfüllung vertraglicher Pflichten (Art 6 Abs 1 lit b DSGVO), Erfüllung rechtlicher Verpflichtungen (Art 6 Abs 1 lit c DSGVO), berechtigte Interessen (Art 6 Abs 1 lit f DSGVO)], nämlich das Interesse an der Prävention von Diebstahl, Einbruchsdiebstahl, Missbrauch unbarer Zahlungsmittel, Sachbeschädigung und der Beweissicherung zur Durchsetzung von Rechtsansprüchen und Erstattung polizeilicher Anzeigen.
       
  4. Kartendaten im Rahmen gesetzlicher und aufsichtsrechtlicher Verpflichtungen zur Verhinderung von Geldwäsche und Terrorismusfinanzierung bzw. zur Betrugsprävention, für Meldungen an die österreichische Geldwäschemeldestelle des BKA in bestimmten Verdachtsfällen nach § 16 FM-GwG;
    • verarbeitete Daten: "Kartendaten", "Transaktionsdaten", "Gerätedaten"
    • Rechtsgrundlage: Erfüllung rechtlicher Verpflichtungen (Art 6 Abs 1 lit c DSGVO) und berechtigte Interessen (Art 6 Abs 1 lit f DSGVO), nämlich die Verhinderung von Geldwäsche und Terrorismusfinanzierung und Betrug.
       
  5. im Rahmen der Videoüberwachung in den Büroräumlichkeiten der PSA aufgenommenen Personen zum Schutz des Eigentums der PSA und der bei PSA gespeicherten Daten Dritter;
    • verarbeitete Daten: "Rolle der Person", "Bilddaten", "Ort und Datum der Aufnahme"
    • Rechtsgrundlage: berechtigte Interessen (Art 6 Abs 1 lit f DSGVO), nämlich den Eigentumsschutz und den Schutz der bei PSA gespeicherten Daten sowie Geltendmachung und Durchsetzung zivilrechtlicher Ansprüche.
       

4. Aus welchen Quellen stammen diese Daten?

  1. Personenbezogene Daten von Vertragspartnern sowie deren Mitarbeiter werden im Rahmen der Vertragsanbahnung und -abwicklung erhoben ("Name", "Kontaktdaten", "Kundendaten").
  2. Personenbezogene Daten von Veranstaltungsteilnehmern werden im Rahmen der Teilnahme an den von der PSA organisierten Veranstaltungen über Mitteilung durch das jeweilige Unternehmen (zB Kreditinstitut), bei dem die Person beschäftigt ist, erhoben ("Name", "Kontaktdaten", "zugehöriges Unternehmen").
  3. Personenbezogene Daten im Rahmen der Videoüberwachung an von PSA als Verantwortlicher betriebenen Bankomaten®, werden direkt am Bankomaten® erhoben ("Rolle der Person", "Bilddaten", "Ort und Datum der Aufnahme", "Kartendaten").
  4. Personenbezogene Daten im Rahmen der Erfüllung gesetzlicher und aufsichtsrechtlicher Verpflichtungen werden direkt am Bankomaten® oder am Gerät erhoben ("Kartendaten", "Transaktionsdaten", "Gerätedaten").
  5. Personenbezogene Daten im Rahmen der Videoüberwachung in den Büroräumlichkeiten werden direkt in den Büroräumlichkeiten der PSA erhoben ("Rolle der Person", "Bilddaten", "Ort und Datum der Aufnahme").
     

5. Auftragsverarbeiter

Auftragsverarbeiter

Von PSA beauftragte Auftragsverarbeiter verarbeiten Ihre Daten, sofern sie diese zur Erfüllung ihrer jeweiligen Leistung benötigen. PSA verpflichtet ihre Auftragsverarbeiter vertraglich dazu, die Vertraulichkeit und die Sicherheit der personenbezogenen Daten zu gewährleisten. Derzeit bedient sich PSA folgendem Auftragsverarbeiter:

  • Antares NetlogiX Netzwerkberatung GmbH

Zum Schutz Ihrer personenbezogenen Daten haben wir entsprechende technische und organisatorische Maßnahmen getroffen. Diese Maßnahmen umfassen insbesondere Vorkehrungen zum Schutz vor unbefugtem Zutritt, Zugang oder Zugriff auf Ihre personenbezogenen Daten, sowie Eingabe-, Auftragsverarbeiter- und Verfügbarkeitskontrollen.

MS Teams

PSA bietet die Möglichkeit an, über „Microsoft Teams“ zu kommunizieren. Dabei handelt es sich um ein Videokonferenz-Tool, bereitgestellt von der Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown Dublin 18, Ireland (kurz: Microsoft Ireland).

Bei der Verwendung von „Microsoft Teams“ kann es zu einer Übermittlung personenbezogener Daten in die USA kommen. Microsoft Ireland hat mit den konzerneigenen Subauftragsverarbeitern, die ihren Sitz in Drittländern haben, Standarddatenschutzklauseln abgeschlossen, um den Vorgaben der Art 46 ff DSGVO zu entsprechen.

Nähere Informationen zur Datenverarbeitung im Zusammenhang mit der Verwendung von „Microsoft Teams“ und dem zwischen uns und Microsoft vereinbarten Data Protection Addendum sind abrufbar unter:

https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA

Die Verwendung von „Microsoft Teams“ ist keine Voraussetzung, um mit PSA zu kommunizieren. Als Alternative bietet PSA persönliche Besprechungen und Telefonkonferenzen an. Sofern über „Microsoft Teams“ kommuniziert wird, wird Microsoft Ireland zum Auftragsverarbeiter. Die Datenverarbeitung erfolgt daher auf Grundlage der Erfüllung vertraglicher Pflichten (Art 6 Abs 1 lit b DSGVO).

Empfänger

Aufgrund gesetzlicher Verpflichtungen, welche der Aufdeckung von Straftaten bzw. der Verhinderung von Geldwäsche und Terrorismusfinanzierung sowie der Betrugsbekämpfung dienen, werden Daten an folgende Empfänger ausgefolgt:

  • Strafverfolgungsbehörden/Gerichte
  • österreichische Geldwäschemeldestelle des BKA.
     

6. Wie lange werden personenbezogene Daten gespeichert?

  • iZm Vertragsabwicklung: 15 Jahre
  • iZm Veranstaltungen: 15 Jahre
  • iZm Videoüberwachung an Bankomaten: 90 Tage
  • iZm gesetzlichen Pflichten nach dem FM-GwG: 10 Jahre
  • iZm Videoüberwachung in den Büroräumlichkeiten: 72 Stunden
     

7. Welche Rechte stehen mir als Betroffener zu?

Wir möchten nochmals darauf hinweisen, dass Rechte und Fragen im Zusammenhang mit der Verarbeitung personenbezogener Daten Ihrer Debit-/Bankomat®Karte oder Kreditkarte primär an Ihre Bank als Ihren Vertragspartner und Verantwortlicher für die Datenverarbeitung zu richten sind.

Sie haben jederzeit ein Recht auf Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung Ihrer gespeicherten Daten, ein Widerspruchsrecht (sofern die Datenverarbeitung auf Grundlage eines öffentlichen Interesses oder zur Wahrung des berechtigten Interesses erfolgt) gegen die Verarbeitung sowie ein Recht auf Datenübertragbarkeit nach den Voraussetzungen des Datenschutzrechts.

Hierfür können Sie sich per E-Mail an This email address is being protected from spambots. You need JavaScript enabled to view it. oder per Post an PSA Payment Services Austria GmbH, zH Datenschutz, Handelskai 92, Gate 2, 1200 Wien wenden.

Sollte es, trotz unserer Verpflichtung Ihre Daten rechtmäßig zu verarbeiten, wider Erwarten zu einer Verletzung Ihres Rechtes auf rechtmäßige Verarbeitung Ihrer Daten kommen, setzen Sie sich bitte mit uns postalisch oder per E-Mail unter den vorgenannten Kontaktdaten in Verbindung, damit wir über Ihre Bedenken erfahren und diese behandeln können.

Sie haben aber auch das Recht, eine Beschwerde bei der Österreichischen Datenschutzbehörde (Barichgasse 40-42, 1030 Wien) oder bei einer anderen Datenschutz-Aufsichtsbehörde in der Europäischen Union, insbesondere an Ihrem Aufenthaltsort oder an Ihrem Arbeitsort, zu erheben.
 

8. Bin ich zur Bereitstellung von Daten verpflichtet?

Sie sind gesetzlich nicht verpflichtet, uns Ihre Daten bereitzustellen. So Sie uns Ihre Daten nicht zur Verfügung stellen, können wir jedoch allenfalls unsere Leistungen für Sie nicht erbringen.

Sofern die Datenverarbeitung auf Ihrer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen. Für einen Widerruf können Sie sich an die E-Mailadresse (E-Mailadresse This email address is being protected from spambots. You need JavaScript enabled to view it.) oder per Post an PSA Payment Services Austria GmbH, zH Datenschutz, Handelskai 92, Gate 2, 1200 Wien wenden. Allenfalls können wir jedoch ohne Ihre Einwilligung unsere jeweilige Leistung nicht für Sie erbringen.
 

9. Informationen zu automatisierter Entscheidungsfindung einschließlich Profiling

PSA verarbeitet keine personenbezogenen Daten in automatisierten Entscheidungsverfahren. Ein Profiling findet nicht statt. 
 

10. Aktualisierung Datenschutzinformation

Aufgrund der rasanten Entwicklung der Technologie, der Gesetzgebung und der Rechtsprechung, kann es notwendig sein, gelegentlich Änderungen an dieser Datenschutzinformation vorzunehmen. Bitte lesen Sie daher immer die jeweils aktuelle Version auf unserer Webseite.

Downloads

Quicklinks