Administratorem danych osobowych jest KRTX SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ, ul. Zamknięta 10 / 1.6, 30-554 Kraków, NIP: 6463005126, REGON: 525697470, KRS: 0001044480, prowadząca kantor kryptowalut “Krypto Warszawa”. Przetwarzanie obejmuje realizację usług wymiany krypto–fiat, obowiązki AML/CFT, Travel Rule oraz wymogi informacyjne wobec klientów, zgodne z prawem UE i krajowym.
Cele i podstawy przetwarzania: realizacja umowy o świadczenie usług (art. 6 ust. 1 lit. b RODO), spełnienie obowiązków prawnych AML/CFT, Travel Rule i rachunkowości (art. 6 ust. 1 lit. c RODO), uzasadniony interes administratora w zapobieganiu nadużyciom i dochodzeniu roszczeń (art. 6 ust. 1 lit. f RODO), oraz – w zakresie marketingu – zgoda (art. 6 ust. 1 lit. a RODO). Wymogi AML/CFT obejmują identyfikację klienta (KYC), ocenę ryzyka oraz monitorowanie transakcji i zawiadomienia do GIIF.
Zakres przetwarzanych danych: dane identyfikacyjne (imię, nazwisko, PESEL/nr dokumentu), dane kontaktowe, dane transakcyjne, informacje o źródle środków i statusie PEP, oraz metadane wymagane Travel Rule przy transferach krypto, w tym dane nadawcy i odbiorcy w ramach IVMS101. Minimalizacja danych i szyfrowanie transmisji są stosowane zgodnie z przepisami.
Źródła danych: bezpośrednio od użytkownika, z rejestrów i baz zgodnych z AML (np. listy sankcyjne), od podmiotów obowiązanych w ramach wykonywania Travel Rule oraz w wyniku czynności weryfikacyjnych KYC. Travel Rule w UE obowiązuje od 30.12.2024 i ma pierwszeństwo nad kolizyjnymi regulacjami krajowymi.
Odbiorcy danych: dostawcy usług IT i KYC, banki i operatorzy płatności, partnerzy CASP/VASP w UE realizujący Travel Rule, organy publiczne (GIIF, KNF, sądy, organy ścigania) oraz doradcy prawni i audytorzy – wyłącznie w zakresie niezbędnym do realizacji celu. Wdrożone są polityki i procedury AML/CFT oraz rola AMLRO zgodna z wytycznymi nadzorczymi.
Przekazywanie poza EOG: co do zasady nie występuje, a jeśli jest konieczne, następuje na podstawie mechanizmów przewidzianych przez prawo UE (np. standardowe klauzule umowne) i z adekwatnymi zabezpieczeniami techniczno-organizacyjnymi.
Okres przechowywania: dane AML/CFT i transakcyjne przechowywane są przez okres wymagany przepisami, nie krótszy niż 5 lat od zakończenia relacji biznesowej, przy czym przepisy mogą przewidywać dłuższe retencje; dane kontraktowe do upływu terminów przedawnienia roszczeń, a dane marketingowe do czasu wycofania zgody.
Prawa osób: prawo dostępu, sprostowania, ograniczenia, sprzeciwu (w zakresie interesu prawnego), przenoszenia, usunięcia danych – z zastrzeżeniem ustawowych wyjątków AML/CFT i Travel Rule, które mogą ograniczać realizację niektórych praw w okresie wymaganej retencji. Skargi można kierować do Prezesa UODO.
Wymóg podania danych: podanie danych wymaganych przepisami AML/CFT i Travel Rule jest obowiązkowe dla zawarcia i realizacji umowy; odmowa uniemożliwia świadczenie usług kantoru.
Zautomatyzowane decyzje i profilowanie: stosowane mogą być reguły oceny ryzyka AML/CFT i monitoringu transakcji, skutkujące wzmożonym due diligence lub wstrzymaniem transakcji, zgodnie z prawem i wytycznymi nadzorczymi.
Środki bezpieczeństwa: szyfrowanie transmisji, kontrola dostępu, rejestry czynności, szkolenia personelu, testy bezpieczeństwa ICT zgodne z wymogami DORA dla podmiotów objętych zakresem, oraz procedury incydentowe.
Kontakt: w sprawach danych osobowych i realizacji praw prosimy o kontakt na adres Administratora lub dedykowany e‑mail DPO/RODO, jeśli powołano Inspektora Ochrony Danych.