Dit Privacybeleid legt uit hoe Pionew Ireland Limited uw persoonsgegevens verzamelt, gebruikt, deelt en beschermt wanneer u gebruikmaakt van het Webot Platform.
Regelgevende status. Pionew Ireland Limited (handelend onder de naam “Webot”) is door de Central Bank of Ireland gemachtigd als aanbieder van cryptoactivadiensten overeenkomstig Verordening (EU) 2023/1114 (“MiCA”). Wij verwerken persoonsgegevens in overeenstemming met Verordening (EU) 2016/679 (“AVG”), de Ierse Data Protection Act 2018, MiCA, het EU-kader inzake antiwitwasbestrijding en terrorismefinanciering (AML/CFT), de Transfer of Funds Regulation (EU) 2023/1113, Verordening (EU) 2022/2554 (“DORA”) en Richtlijn (EU) 2023/2226 van de Raad (“DAC8”).
Snelle contactgegevens:
Gegevensbescherming: dpo@webot.eu
Klantenservice: service@webot.eu
1. Inleiding
Dit Privacybeleid is van toepassing op de persoonsgegevens die worden verwerkt door Pionew Ireland Limited (“Pionew”, “Webot”, “wij”, “ons” of “onze”) wanneer u www.webot.com/eu (de “Website”) bezoekt, onze mobiele applicatie gebruikt of anderszins toegang verkrijgt tot de cryptoactivadiensten die wij aanbieden als onder MiCA gemachtigde aanbieder van cryptoactivadiensten (gezamenlijk de “Diensten” die worden aangeboden via het “Platform”).
Dit Privacybeleid wordt door verwijzing opgenomen in onze Algemene Voorwaarden en maakt deel uit van onze overeenkomst met u. Begrippen met een hoofdletter die hierin niet zijn gedefinieerd, hebben de betekenis die daaraan is gegeven in de Algemene Voorwaarden. Door gebruik te maken van de Diensten erkent u dat u dit Privacybeleid hebt gelezen. Indien u niet akkoord gaat met enig onderdeel van dit Privacybeleid, dient u geen gebruik te maken van de Diensten.
Dit Privacybeleid wordt verstrekt in duidelijke en eenvoudige taal, op een duurzame gegevensdrager en kosteloos, overeenkomstig artikelen 12 tot en met 14 van de AVG. Wanneer in dit Privacybeleid wordt verwezen naar specifieke wet- of regelgeving, kunt u te allen tijde nadere informatie opvragen door contact op te nemen met onze Functionaris voor Gegevensbescherming via dpo@webot.eu.
2. Wie wij zijn (Verwerkingsverantwoordelijke)
De verwerkingsverantwoordelijke voor de verzameling en verwerking van uw persoonsgegevens in de zin van artikel 4(7) AVG is:
Pionew Ireland Limited
Office 01, Ground Floor, Penrose Two, Penrose Dock
Cork, Ierland T23 YY09
Gemachtigd door de Central Bank of Ireland als aanbieder van cryptoactivadiensten op 18 december 2025 overeenkomstig MiCA.
3. Definities
In dit Privacybeleid:
- “Cryptoactiva” heeft de betekenis zoals gedefinieerd in artikel 3(1)(5) van MiCA.
- “AVG” betekent Verordening (EU) 2016/679 (de Algemene Verordening Gegevensbescherming), aangevuld in Ierland door de Data Protection Act 2018.
- “Persoonsgegevens” betekent alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, zoals gedefinieerd in artikel 4(1) AVG.
- “Verwerking” heeft de betekenis zoals gedefinieerd in artikel 4(2) AVG.
- “Diensten” betekent de cryptoactivadiensten die wij aanbieden via het Platform, zoals beschreven in onze Algemene Voorwaarden (bewaring en administratie van cryptoactiva, exploitatie van een handelsplatform, uitwisseling van cryptoactiva tegen fiduciaire valuta en andere cryptoactiva, uitvoering van Orders namens cliënten, ontvangst en doorgifte van Orders, en het aanbieden van overdrachtsdiensten voor cryptoactiva namens cliënten).
4. Persoonsgegevens die wij verzamelen
Wij verzamelen en verwerken de volgende categorieën persoonsgegevens, afhankelijk van hoe u met het Platform interacteert:
4.1 Identiteits- en contactgegevens
Volledige naam, geboortedatum en geboorteplaats, geslacht, nationaliteit, woonland, woonadres, e-mailadres, telefoonnummer en andere contactgegevens die u verstrekt.
4.2 Verificatie- en KYC-gegevens
Informatie die wordt verzameld in het kader van onze klantonderzoeksverplichtingen onder de EU AML/CFT-wetgeving, waaronder maar niet beperkt tot uw door de overheid afgegeven identiteitsdocument, bewijs van adres, een “selfie”-afbeelding of video voor liveness-controles, handtekening, biometrische vectoren afgeleid van identiteitsdocument- en liveness-gegevens (waar strikt noodzakelijk voor identificatie), nationaliteit, fiscale woonplaatsstatus en fiscale identificatienummers, informatie over herkomst van middelen en vermogen, arbeidsstatus, sector van tewerkstelling en informatie over de vraag of u (of iemand die nauw met u verbonden is) een politiek prominent persoon (“PEP”) of gesanctioneerde persoon bent.
4.3 Account- en authenticatiegegevens
Inloggegevens, Account-ID, Client-ID, Device-ID, instellingen voor tweefactorauthenticatie (2FA), beveiligingsvragen, IP-adres, sessietokens en herstelinformatie.
4.4 Transactie- en handelsgegevens
Informatie over uw Orders, transacties, bewaarsaldi, stortingen, opnames, overdrachten (waaronder inkomende en uitgaande overdrachten van cryptoactiva), tegenpartij-informatie vereist op grond van de Transfer of Funds Regulation (EU) 2023/1113, blockchain-walletadressen, transact hashes, netwerkmetadata, IBAN’s en bankrekeninggegevens voor fiat on/off-ramp, bedragen, valuta, data en uitvoeringslocaties.
4.5 Communicatie- en ondersteuningsgegevens
De inhoud van communicatie die u met ons voert (waaronder supportchat, e-mail, telefoongesprekken — die kunnen worden opgenomen voor kwaliteitsdoeleinden, training, geschillenbeslechting en naleving van wettelijke bewaarplichten — en andere kanalen), details van serviceverzoeken, klachtendossiers, taalvoorkeuren en alle overige informatie die u ervoor kiest met ons te delen.
4.6 Apparaat- en technische gegevens
IP-adres, apparaatidentificatie, apparaattype, versie en fabrikant van het besturingssysteem, browsertype en -versie, tijdzone, browsertaal, verwijzende URL, bezochte pagina’s, aangeklikte links, scroll- en klikgedrag, appversie, crashlogs en andere diagnostische informatie.
4.7 Marketing- en voorkeursgegevens
Uw marketingvoorkeuren, toestemmingsregistraties, reacties op enquêtes en feedback.
4.8 Informatie van derden
Wij ontvangen ook persoonsgegevens van derden, waaronder:
- aanbieders van identiteitsverificatie-, KYC- en biometrische diensten;
- aanbieders van blockchainanalyse en on-chain risicoanalyse (bijvoorbeeld voor sancties, fraude en AML-risicoscores van walletadressen);
- betaaldienstverleners, banken en fiat on/off-ramp-partners;
- aanbieders van sanctielijsten, watchlists, PEP- en adverse media-gegevens;
- krediet- en fraudereferentiebureaus;
- openbare bronnen (waaronder bedrijfsregisters, openbare blockchains en openbaar beschikbare media); en
- toezichthouders, wetshandhavingsinstanties en rechtbanken.
Wanneer wij persoonsgegevens rechtstreeks van u verzamelen, bent u verplicht de categorieën gegevens te verstrekken die als verplicht zijn gemarkeerd op het relevante verzamelpunt (bijvoorbeeld tijdens het openen van een Account). Indien u deze informatie niet verstrekt, kunnen wij mogelijk geen overeenkomst met u aangaan of uitvoeren, of niet voldoen aan onze wettelijke verplichtingen onder MiCA, AML/CFT-wetgeving of fiscale rapportagewetgeving (waaronder DAC8), en kunnen wij verplicht zijn u niet te onboarden of uw Account op te schorten of te sluiten.
5. Waarom wij uw persoonsgegevens verwerken en onze rechtsgrondslag
Wij verwerken uw persoonsgegevens uitsluitend wanneer wij beschikken over een geldige rechtsgrondslag overeenkomstig artikel 6 AVG (en voor bijzondere categorieën persoonsgegevens artikel 9 AVG). De belangrijkste doeleinden en rechtsgrondslagen zijn hieronder uiteengezet.
| Doel | Rechtsgrondslag | Categorieën gegevens |
| Openen van Accounts, authenticatie, onboarding, voortdurende accounttoegang en levering van de Diensten (bewaring, exploitatie handelsplatform, uitwisseling, uitvoering en ontvangst/doorgifte van Orders, overdrachtsdiensten). | Artikel 6(1)(b) AVG — uitvoering van een overeenkomst. | Identiteits- en contactgegevens; account- en authenticatiegegevens; transactie- en handelsgegevens; communicatie- en ondersteuningsgegevens. |
| Klantonderzoek (KYC), voortdurende monitoring, transactiemonitoring, sanctie- en PEP-screening, melding van verdachte activiteiten en overige AML/CFT-verplichtingen onder EU- en Ierse wetgeving (waaronder de Criminal Justice (Money Laundering and Terrorist Financing) Act 2010, zoals gewijzigd). | Artikel 6(1)(c) AVG — wettelijke verplichting. Artikel 9(2)(g) voor eventuele biometrische gegevens, op grond van zwaarwegend algemeen belang. | Identiteits- en contactgegevens; verificatie- en KYC-gegevens (waaronder biometrische vectoren indien van toepassing); transactie- en handelsgegevens; informatie van derden. |
| Naleving van MiCA-verplichtingen als aanbieder van cryptoactivadiensten, waaronder bewaarplichten, bewaaroverzichten (artikel 75 MiCA), marktmisbruiktoezicht (Titel VI MiCA), orderuitvoeringsregistraties (artikel 78 MiCA), beheer van belangenconflicten (artikel 72 MiCA) en klachtenafhandeling (artikel 71 MiCA en Gedelegeerde Verordening (EU) 2025/294 van de Commissie). | Artikel 6(1)(c) AVG — wettelijke verplichting. | Identiteits- en contactgegevens; account- en authenticatiegegevens; transactie- en handelsgegevens; communicatie- en ondersteuningsgegevens. |
| Naleving van de Transfer of Funds Regulation (EU) 2023/1113 (“Travel Rule”), waaronder verzending en ontvangst van informatie over verzender en begunstigde van overdrachten van cryptoactiva. | Artikel 6(1)(c) AVG — wettelijke verplichting. | Identiteits- en contactgegevens; transactie- en handelsgegevens. |
| Fiscale en rapportageverplichtingen, waaronder verplichtingen onder DAC8 (Richtlijn (EU) 2023/2226) en andere Ierse en EU-kaders voor fiscale rapportage. | Artikel 6(1)(c) AVG — wettelijke verplichting. | Identiteits- en contactgegevens; verificatie- en KYC-gegevens (fiscale woonplaats, TIN); transactie- en handelsgegevens. |
| ICT-risicobeheer, operationele weerbaarheid, fraudepreventie, detectie van marktmisbruik, detectie en respons op beveiligingsincidenten, overeenkomstig DORA (Verordening (EU) 2022/2554) en ons interne beveiligingskader. | Artikel 6(1)(c) AVG — wettelijke verplichting; en artikel 6(1)(f) AVG — gerechtvaardigde belangen bij bescherming van de veiligheid en integriteit van het Platform, onze cliënten en onze onderneming. | Account- en authenticatiegegevens; transactie- en handelsgegevens; apparaat- en technische gegevens; informatie van derden (waaronder blockchainanalyse). |
| Klantenservice, klachtenafhandeling, geschillenbeslechting en het instellen, uitoefenen of verdedigen van rechtsvorderingen. | Artikel 6(1)(b) AVG — uitvoering van een overeenkomst; artikel 6(1)(c) AVG — wettelijke verplichting; en artikel 6(1)(f) AVG — gerechtvaardigde belangen bij verdediging en handhaving van onze wettelijke rechten. | Alle relevante categorieën gegevens. |
| Verbetering van het Platform, gebruiksanalyses, probleemoplossing, testen van nieuwe functies en geaggregeerde en geanonimiseerde productanalyses. | Artikel 6(1)(f) AVG — gerechtvaardigde belangen bij exploitatie, beveiliging, verbetering en ontwikkeling van het Platform, afgewogen tegen uw rechten en vrijheden. | Account- en authenticatiegegevens; transactie- en handelsgegevens; apparaat- en technische gegevens; communicatie- en ondersteuningsgegevens (waar mogelijk in gepseudonimiseerde of geaggregeerde vorm). |
| Direct marketing van onze eigen producten en diensten aan bestaande cliënten (waar toegestaan), en marketing aan potentiële cliënten op basis van toestemming. | Artikel 6(1)(a) AVG — toestemming; of artikel 6(1)(f) AVG — gerechtvaardigd belang, indien u een bestaande cliënt bent en geen bezwaar hebt gemaakt. U kunt te allen tijde bezwaar maken of uw toestemming intrekken (zie Sectie 17). | Identiteits- en contactgegevens; marketing- en voorkeursgegevens; apparaat- en technische gegevens. |
| Gebruik van cookies en vergelijkbare technologieën die niet strikt noodzakelijk zijn, waaronder analyse- en marketingcookies. | Artikel 6(1)(a) AVG — toestemming (overeenkomstig de ePrivacy-richtlijn 2002/58/EG en S.I. No. 336/2011). | Apparaat- en technische gegevens; marketing- en voorkeursgegevens. |
| Naleving van gerechtelijke bevelen, rechtmatige verzoeken van overheidsinstanties en andere wettelijke verplichtingen waaraan wij onderworpen zijn. | Artikel 6(1)(c) AVG — wettelijke verplichting. | Alle categorieën gegevens, voor zover vereist door het betreffende bevel of verzoek. |
| Bedrijfstransacties (waaronder een voorgenomen fusie, overname, verkoop of reorganisatie van onze onderneming of activa). | Artikel 6(1)(f) AVG — gerechtvaardigde belangen bij het voeren en beschermen van onze onderneming. | Alle categorieën gegevens, op need-to-know basis en onder vertrouwelijkheid. |
Wanneer wij ons baseren op artikel 6(1)(f) AVG (gerechtvaardigd belang), hebben wij een belangenafweging uitgevoerd om te waarborgen dat onze belangen niet zwaarder wegen dan uw belangen, rechten of vrijheden. U kunt nadere informatie over die beoordeling opvragen door contact op te nemen met onze DPO via dpo@webot.eu.
[Vertaling ingekort wegens lengtebeperking van het chatvenster — vervolg omvat Secties 6 t/m 20 in dezelfde stijl en structuur.]
6. Bijzondere categorieën persoonsgegevens
Wij streven er niet naar om “bijzondere categorieën” van persoonsgegevens te verzamelen in de zin van artikel 9 AVG (zoals gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, lidmaatschap van een vakbond, genetische gegevens, gezondheidsgegevens of gegevens over iemands seksleven of seksuele geaardheid blijken).
Bij het aanbieden van de Diensten kunnen wij echter beperkte biometrische gegevens verzamelen en verwerken ten behoeve van identiteitsverificatie en de preventie van fraude, identiteitsdiefstal en witwassen. Wanneer wij dit doen, baseren wij ons op artikel 9(2)(g) AVG (zwaarwegend algemeen belang), aangezien de verwerking noodzakelijk is om te voldoen aan onze verplichtingen onder de EU AML/CFT- en MiCA-kaders. Biometrische vectoren worden uitsluitend verwerkt voor zover strikt noodzakelijk, worden gescheiden gehouden van andere identificatoren en worden verwijderd overeenkomstig ons bewaarschema.
Wij leiden uit uw transactiegegevens geen conclusies af over uw politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, vakbondslidmaatschap, gezondheid, seksleven of seksuele geaardheid. Onze medewerkers mogen op grond van intern beleid dergelijke conclusies niet afleiden of analyseren uit transactiegegevens.
7. Kinderen
De Website, het Platform en de Diensten zijn niet gericht op personen jonger dan 18 jaar en mogen niet door hen worden gebruikt. Wij verzamelen niet bewust persoonsgegevens van minderjarigen. Indien wij daadwerkelijk kennis verkrijgen dat wij persoonsgegevens hebben verzameld van een persoon jonger dan 18 jaar, zullen wij deze gegevens onmiddellijk verwijderen (tenzij wij wettelijk verplicht zijn dergelijke gegevens te bewaren) en stappen ondernemen om het betreffende Account uit te schakelen. Indien u een ouder of voogd bent en van mening bent dat wij persoonsgegevens van een minderjarige bewaren, neem dan contact op met onze DPO via dpo@webot.eu.
8. Ontvangers van uw persoonsgegevens
Wij delen persoonsgegevens met de hieronder vermelde categorieën ontvangers, uitsluitend op need-to-know basis en alleen voor de doeleinden die in dit Privacybeleid zijn beschreven. Alle ontvangers zijn onderworpen aan vertrouwelijkheidsverplichtingen en, wanneer zij optreden als verwerker namens ons, aan een schriftelijke verwerkersovereenkomst die voldoet aan artikel 28 AVG.
8.1 Gelieerde ondernemingen binnen onze bedrijvengroep
Andere ondernemingen binnen de bedrijvengroep waartoe Pionew Ireland Limited behoort, wanneer dit noodzakelijk is voor gecentraliseerde functies zoals compliance, beveiliging, risicobeheer of technologische ondersteuning. Elke dergelijke overdracht is onderworpen aan interne afspraken inzake gegevensdeling en, wanneer de overdracht buiten de EER plaatsvindt, aan de waarborgen beschreven in Sectie 9.
8.2 Dienstverleners en verwerkers
Zorgvuldig geselecteerde externe dienstverleners die handelen volgens onze instructies, waaronder:
- aanbieders van cloud computing-, hosting- en opslagdiensten (bijvoorbeeld Amazon Web Services);
- aanbieders van identiteitsverificatie-, KYC- en biometrische diensten;
- aanbieders van blockchainanalyse en on-chain risicoanalyse (bijvoorbeeld voor sancties, fraude en AML-risicoscores van walletadressen);
- aanbieders van sanctie-, PEP-, watchlist- en adverse media-gegevens;
- platforms voor klantenondersteuning, ticketing en communicatie;
- aanbieders van analytics, business intelligence en productanalyse (bijvoorbeeld Snowflake, Mode Analytics, Appsflyer, Amplitude, Google Analytics);
- aanbieders van e-mail-, sms- en pushnotificatiediensten;
- aanbieders van fraudepreventie en cyberbeveiliging;
- bankpartners en fiat on/off-ramp-partners; en
- professionele adviseurs (juridisch, accountancy, audit en consultancy).
8.3 Tegenpartijen onder de Transfer of Funds Regulation
Wanneer u cryptoactiva verzendt of ontvangt, delen wij met de aanbieder van cryptoactivadiensten van de verzender of begunstigde de informatie die vereist is op grond van de Transfer of Funds Regulation (EU) 2023/1113. Dergelijke andere aanbieders van cryptoactivadiensten handelen als onafhankelijke verwerkingsverantwoordelijken met betrekking tot de gegevens die zij ontvangen.
8.4 Overheidsinstanties
Wij kunnen persoonsgegevens verstrekken aan de Central Bank of Ireland, de Irish Data Protection Commission, de Revenue Commissioners (waaronder voor DAC8-doeleinden), An Garda Síochána, de Financial Intelligence Unit Ireland, rechtbanken, belastingautoriteiten en andere bevoegde toezichthoudende, gerechtelijke of handhavingsinstanties, wanneer wij daartoe wettelijk verplicht zijn of wanneer wij daarvoor gerechtvaardigde gronden hebben (bijvoorbeeld om te voldoen aan een gerechtelijk bevel, een rechtmatig verzoek of om onze rechten, eigendommen of veiligheid te beschermen).
8.5 Bedrijfstransacties
In het geval van een voorgenomen fusie, overname, verkoop, reorganisatie of insolventieprocedure kunnen wij persoonsgegevens verstrekken aan potentiële of feitelijke kopers, investeerders, kredietverstrekkers of hun adviseurs, onder passende vertrouwelijkheidswaarborgen.
8.6 Op uw instructie
Aan andere ontvangers wanneer u ons daar specifiek opdracht toe geeft of hiervoor uw toestemming hebt verleend.
Een meer gedetailleerde lijst van onze materiële verwerkers en categorieën ontvangers is op verzoek verkrijgbaar via dpo@webot.eu. Wij verkopen uw persoonsgegevens niet en delen deze evenmin voor doeleinden van gedragsgerichte advertenties door derden over verschillende contexten heen.
9. Internationale doorgiften van persoonsgegevens
Pionew Ireland Limited is gevestigd in Ierland en verwerkt uw persoonsgegevens hoofdzakelijk binnen de Europese Economische Ruimte (EER). Sommige van onze dienstverleners, zakenpartners of gelieerde entiteiten bevinden zich echter buiten de EER, waardoor wij uw persoonsgegevens mogelijk doorgeven aan “derde landen” in de zin van hoofdstuk V AVG.
Wanneer wij persoonsgegevens buiten de EER doorgeven, zorgen wij ervoor dat één van de volgende rechtmatige doorgiftemechanismen van toepassing is:
- adequaatheidsbesluiten van de Europese Commissie, wanneer het land van bestemming is erkend als land met een passend niveau van gegevensbescherming (de actuele lijst van adequaatheidsbesluiten is beschikbaar op commission.europa.eu);
- door de Europese Commissie goedgekeurde Standard Contractual Clauses (“SCC’s”) overeenkomstig Besluit (EU) 2021/914, aangevuld waar nodig met aanvullende technische, organisatorische en contractuele waarborgen op basis van een doorgifte-effectbeoordeling;
- Binding Corporate Rules, wanneer deze voor onze groep zijn goedgekeurd door een bevoegde toezichthoudende autoriteit; of
- één van de specifieke afwijkingen zoals uiteengezet in artikel 49 AVG (bijvoorbeeld uw uitdrukkelijke geïnformeerde toestemming of wanneer de doorgifte noodzakelijk is voor de uitvoering van een overeenkomst die in uw belang is gesloten).
U kunt een kopie verkrijgen van het relevante doorgiftemechanisme, of nadere informatie over de waarborgen die gelden voor een specifieke doorgifte, door contact op te nemen met onze DPO via dpo@webot.eu.
10. Privacy bij het gebruik van cryptoactiva en blockchains
Transacties met cryptoactiva worden geregistreerd op openbare blockchains, dit zijn gedistribueerde grootboeken die worden beheerd door gedecentraliseerde netwerken van deelnemers. Openbare blockchains zijn ontworpen om bestand te zijn tegen manipulatie en onveranderlijk te zijn: zodra een transactie is geregistreerd, kunnen wij deze niet wissen, wijzigen of aanpassen. Blockchaingegevens kunnen het onderwerp zijn van forensische en analytische technieken (waaronder die van aanbieders van blockchainanalyse) die, in combinatie met andere gegevens, heridentificatie van transactierende partijen mogelijk kunnen maken.
U dient zich ervan bewust te zijn dat:
- walletadressen, transactiebedragen, tijdstempels en tegenpartijen op een openbare blockchain standaard publiek toegankelijk zijn;
- Pionew niet in staat is de verwijdering of rectificatie te verkrijgen van persoonsgegevens die zijn vastgelegd op een openbare blockchain die niet onder onze controle staat; en
- wanneer u ervoor kiest uw walletadres aan anderen bekend te maken (bijvoorbeeld door dit te publiceren of te delen met tegenpartijen), dit anderen in staat kan stellen on-chain activiteiten aan u te koppelen.
Wanneer u rechten onder de AVG uitoefent met betrekking tot gegevens die wij off-chain bewaren, zullen wij uitvoering geven aan deze rechten voor zover de gegevens onder onze controle vallen, overeenkomstig Sectie 15.
11. Geautomatiseerde besluitvorming en profilering
Wij maken gebruik van geautomatiseerde verwerking, waaronder profilering, met name voor:
- identiteitsverificatie (waaronder liveness-controles en controles op authenticiteit van documenten);
- AML/CFT-transactiemonitoring, sanctiescreening, PEP-screening en detectie van verdachte activiteiten;
- fraudedetectie en -preventie; en
- detectie van marktmisbruik op het door ons geëxploiteerde handelsplatform.
Wanneer een besluit dat uitsluitend is gebaseerd op geautomatiseerde verwerking rechtsgevolgen voor u heeft of u anderszins aanzienlijk treft (bijvoorbeeld een beslissing om onboarding te weigeren, uw Account te bevriezen, beperken of sluiten, of een transactie te weigeren), baseren wij ons op artikel 22(2)(a) AVG (noodzakelijk voor het aangaan of uitvoeren van een overeenkomst tussen u en ons) of artikel 22(2)(b) AVG (toegestaan krachtens EU- of Ierse wetgeving, in het bijzonder AML/CFT- en terrorismefinancieringswetgeving). In al deze gevallen hebt u het recht om menselijke tussenkomst te verkrijgen, uw standpunt kenbaar te maken en het besluit aan te vechten. Neem contact op met onze DPO via dpo@webot.eu om deze rechten uit te oefenen.
12. Bewaartermijnen van gegevens
Wij bewaren uw persoonsgegevens uitsluitend zolang als noodzakelijk is voor de doeleinden waarvoor zij zijn verzameld, rekening houdend met onze contractuele relatie met u, onze wettelijke en regelgevende verplichtingen en de verjaringstermijnen die van toepassing zijn op mogelijke rechtsvorderingen.
| Categorie gegevens | Bewaartermijn |
| KYC-, klantonderzoeks- en AML/CFT-gegevens (waaronder identiteitsverificatiedocumenten, resultaten van sanctie- en PEP-screening). | Ten minste 5 jaar na het einde van onze zakelijke relatie, overeenkomstig de Criminal Justice (Money Laundering and Terrorist Financing) Act 2010 (zoals gewijzigd) en de EU AML/CFT-wetgeving. Kan worden verlengd indien vereist door bevoegde autoriteiten. |
| Transactie- en handelsgegevens, bewaarrapporten, orderuitvoeringsregistraties en communicatiegegevens met betrekking tot het aanbieden van de Diensten. | Ten minste 5 jaar na de datum van de transactie of communicatie, overeenkomstig de MiCA-bewaarverplichtingen en toepasselijke Ierse wetgeving. |
| Fiscale rapportagegegevens (waaronder DAC8-gegevens). | Voor de periode vereist door de Ierse belastingwetgeving (doorgaans tot 7 jaar). |
| Accountgegevens van inactieve of gesloten Accounts (voor zover niet onderworpen aan een langere bewaarplicht). | Tot 6 jaar na sluiting van het Account om mogelijke geschillen en rechtsvorderingen te beheren. |
| Klachtendossiers. | Ten minste 5 jaar na afhandeling, overeenkomstig artikel 71 MiCA en de Consumer Protection Code van de Central Bank of Ireland. |
| ICT- en beveiligingslogboeken (waaronder incidentregistraties gerelateerd aan DORA). | Voor de periode die noodzakelijk is om operationele weerbaarheid en incidentrapportage onder DORA te waarborgen, en in elk geval gedurende de perioden die zijn vastgelegd in ons interne informatiebeveiligingsbeleid. |
| Marketing- en voorkeursgegevens. | Totdat u uw toestemming intrekt of bezwaar maakt tegen de verwerking, plus een resterende periode om een suppressielijst te onderhouden. |
| Cookies en vergelijkbare technologieën. | Zoals beschreven in ons Cookiebeleid, beschikbaar op het Platform. |
Wanneer persoonsgegevens niet langer noodzakelijk zijn, zullen wij deze veilig verwijderen of anonimiseren, behalve wanneer langere bewaring wettelijk vereist is, gevraagd wordt door een bevoegde autoriteit of noodzakelijk is voor het instellen, uitoefenen of verdedigen van rechtsvorderingen.
13. Hoe wij uw persoonsgegevens beschermen
Wij hebben passende technische en organisatorische maatregelen geïmplementeerd, rekening houdend met de stand van de techniek, de uitvoeringskosten en de aard, omvang, context en doeleinden van de verwerking, evenals de risico’s voor uw rechten en vrijheden, overeenkomstig artikel 32 AVG. Als financiële entiteit die binnen de reikwijdte van DORA valt, onderhouden wij een uitgebreid ICT-risicobeheerkader, waaronder informatiebeveiligingsbeleid, identiteits- en toegangsbeheer, encryptie van gegevens tijdens verzending en opslag, netwerksegmentatie, kwetsbaarheidsbeheer, regelingen voor bedrijfscontinuïteit en disaster recovery, beheer van risico’s van derden en regelmatige weerbaarheidstests. Wij beperken de toegang tot persoonsgegevens tot medewerkers en verwerkers die deze nodig hebben voor de uitvoering van hun taken en wij trainen ons personeel op het gebied van gegevensbescherming en beveiligingsverplichtingen.
Wanneer wij verwerkers inschakelen die namens ons persoonsgegevens verwerken, voeren wij due diligence uit en sluiten wij schriftelijke verwerkersovereenkomsten die de waarborgen bevatten die vereist zijn onder artikel 28 AVG en artikel 30 DORA (waar van toepassing).
14. Inbreuken in verband met persoonsgegevens
Wij onderhouden een incidentbeheerproces voor inbreuken in verband met persoonsgegevens en ICT-gerelateerde incidenten. Overeenkomstig artikel 33 AVG zullen wij, wanneer een inbreuk in verband met persoonsgegevens waarschijnlijk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen, de Irish Data Protection Commission zonder onnodige vertraging en waar mogelijk uiterlijk 72 uur nadat wij kennis hebben genomen van de inbreuk hiervan op de hoogte stellen. Wanneer een inbreuk waarschijnlijk een hoog risico inhoudt voor uw rechten en vrijheden, zullen wij u eveneens zonder onnodige vertraging informeren, overeenkomstig artikel 34 AVG.
Wanneer een ernstig ICT-gerelateerd incident binnen de reikwijdte van DORA valt, zullen wij dit melden aan de Central Bank of Ireland binnen de termijnen die zijn vastgelegd in DORA en de relevante Regulatory Technical Standards. Wij documenteren alle inbreuken in verband met persoonsgegevens en ernstige ICT-gerelateerde incidenten overeenkomstig onze wettelijke verplichtingen.
15. Uw rechten
Onder voorbehoud van de voorwaarden en beperkingen zoals uiteengezet in de AVG en de Ierse Data Protection Act 2018, beschikt u over de volgende rechten met betrekking tot uw persoonsgegevens:
- Recht op inzage (artikel 15 AVG) — om bevestiging te verkrijgen of wij uw persoonsgegevens verwerken en, indien dit het geval is, een kopie van die gegevens en informatie over de verwerking te ontvangen.
- Recht op rectificatie (artikel 16 AVG) — om onjuiste persoonsgegevens te laten corrigeren en onvolledige gegevens te laten aanvullen.
- Recht op gegevenswissing (artikel 17 AVG), ook wel het “recht om vergeten te worden” genoemd — om uw persoonsgegevens in bepaalde omstandigheden te laten verwijderen. Dit recht is niet absoluut en kan worden beperkt door zwaarder wegende wettelijke verplichtingen (in het bijzonder AML/CFT-, MiCA-bewaar- en fiscale verplichtingen).
- Recht op beperking van de verwerking (artikel 18 AVG) — om van ons te verlangen dat wij de verwerking van uw persoonsgegevens in bepaalde omstandigheden opschorten.
- Recht op gegevensoverdraagbaarheid (artikel 20 AVG) — om persoonsgegevens die u aan ons hebt verstrekt te ontvangen in een gestructureerd, gangbaar en machineleesbaar formaat, wanneer de verwerking gebaseerd is op uw toestemming of op een overeenkomst en via geautomatiseerde procedés wordt uitgevoerd.
- Recht van bezwaar (artikel 21 AVG) — om bezwaar te maken tegen verwerking op basis van gerechtvaardigde belangen, waaronder profilering voor dergelijke doeleinden, en om te allen tijde bezwaar te maken tegen verwerking voor direct marketing.
- Recht om niet te worden onderworpen aan geautomatiseerde besluitvorming (artikel 22 AVG), zoals nader beschreven in Sectie 11.
- Recht om toestemming in te trekken (artikel 7 AVG) — te allen tijde, wanneer verwerking gebaseerd is op toestemming. Intrekking heeft geen invloed op de rechtmatigheid van verwerking die vóór de intrekking heeft plaatsgevonden.
- Recht om een klacht in te dienen bij een toezichthoudende autoriteit, zoals uiteengezet in Sectie 18.
Om één van deze rechten uit te oefenen, kunt u contact opnemen met onze DPO via dpo@webot.eu. U kunt bepaalde persoonsgegevens ook rechtstreeks corrigeren via uw Accountinstellingen op het Platform. Wij zullen zonder onnodige vertraging en in ieder geval binnen één (1) maand na ontvangst van uw verzoek reageren, overeenkomstig artikel 12(3) AVG. Die termijn kan indien nodig met maximaal twee (2) extra maanden worden verlengd, rekening houdend met de complexiteit en het aantal verzoeken; wij zullen u binnen één (1) maand na ontvangst van het verzoek informeren over een dergelijke verlenging, samen met de redenen voor de vertraging. Wij kunnen uw identiteit moeten verifiëren voordat wij op een verzoek reageren, om uw persoonsgegevens te beschermen. Het uitoefenen van deze rechten is doorgaans kosteloos, hoewel wij een redelijke vergoeding kunnen aanrekenen of kunnen weigeren gevolg te geven aan verzoeken die kennelijk ongegrond of buitensporig zijn, in het bijzonder vanwege hun repetitieve karakter.
16. Cookies en vergelijkbare technologieën
Wij gebruiken cookies, pixels en vergelijkbare technologieën op de Website en het Platform, zowel voor doeleinden die strikt noodzakelijk zijn voor het aanbieden van de Diensten (bijvoorbeeld voor beveiliging en authenticatie) als, met uw toestemming, voor analyse- en marketingdoeleinden. U kunt uw voorkeuren beheren via onze cookiebanner en ons Cookiebeleid, waarin de cookies die wij gebruiken, de doeleinden waarvoor zij worden gebruikt en de toepasselijke bewaartermijnen worden beschreven.
17. Marketingcommunicatie
Wij kunnen u marketingcommunicatie sturen over onze Diensten, waaronder per e-mail, pushmelding of in-appbericht, wanneer u daarvoor toestemming hebt gegeven of wanneer dit anderszins wettelijk is toegestaan. U kunt zich te allen tijde afmelden voor marketingcommunicatie door te klikken op de link “uitschrijven” in een marketing-e-mail, door uw meldingsvoorkeuren op het Platform aan te passen of door contact met ons op te nemen via dpo@webot.eu. Afmelden voor marketingcommunicatie heeft geen invloed op dienstgerelateerde communicatie die noodzakelijk is voor het beheer van uw Account.
18. Klachten bij een toezichthoudende autoriteit
Indien u zorgen heeft over de wijze waarop wij uw persoonsgegevens verwerken, stellen wij het op prijs eerst de mogelijkheid te krijgen deze rechtstreeks met u op te lossen — neem daarom in eerste instantie contact op met onze DPO via dpo@webot.eu.
U hebt daarnaast te allen tijde het recht om een klacht in te dienen bij een bevoegde toezichthoudende autoriteit voor gegevensbescherming, met name in de EU-lidstaat van uw gewone verblijfplaats, werkplek of plaats van de vermeende inbreuk. De leidende toezichthoudende autoriteit voor Pionew Ireland Limited is:
Data Protection Commission
21 Fitzwilliam Square South
Dublin 2, D02 RD28, Ierland
Website: www.dataprotection.ie
Telefoon: +353 (0)761 104 800
U behoudt tevens alle overige administratieve of gerechtelijke rechtsmiddelen die beschikbaar zijn onder EU- of nationale wetgeving.
19. Wijzigingen in dit Privacybeleid
Wij kunnen dit Privacybeleid van tijd tot tijd bijwerken om wijzigingen in onze Diensten, technologie, toepasselijke wetgeving of regelgevende vereisten weer te geven. Wanneer wijzigingen een wezenlijke invloed hebben op uw rechten, zullen wij u ten minste dertig (30) dagen voorafgaand aan de inwerkingtreding van de wijzigingen informeren via het Platform of via uw geregistreerde e-mailadres. Minder materiële updates (bijvoorbeeld kleine verduidelijkingen) kunnen worden doorgevoerd door een bijgewerkte versie op de Website te publiceren met een herziene datum van “Laatste update”. Wij raden u aan dit Privacybeleid regelmatig te raadplegen. Uw voortgezet gebruik van de Diensten na de ingangsdatum van een wijziging geldt als bevestiging dat u kennis hebt genomen van het bijgewerkte Privacybeleid.
20. Contact opnemen
Voor vragen, opmerkingen of verzoeken met betrekking tot dit Privacybeleid of de verwerking van uw persoonsgegevens kunt u contact opnemen met:
Pionew Ireland Limited
E-mail: dpo@webot.eu
Postadres: Office 01, Ground Floor, Penrose Two, Penrose Dock, Cork, Ierland T23 YY09.