Informare GDPR – Conturi curente și alte produse
1. PERSOANE VIZATE. DEFINIȚII. SECRETUL BANCAR
1.1. Pentru scopurile acestui capitol, persoanele vizate sunt Clientul, Împuterniciţii, Utilizatorii, mandatarii, tutorii, curatorii, coplătitorii (codebitorii), garantii şi fideiusorii, beneficiarii reali, succesorii legali sau convenționali ai acestora, orice clienţi potenţiali şi membrii familiilor acestora. Calitatea de persoană vizată se prelungește și după încetarea relației de afaceri cu BCR. Dacă nu dețin altă calitate în relația cu BCR, datele membrilor familiei sunt prelucrate în scopuri de cunoaștere a clientelei (în special dacă membrii familiei sau Clientul sunt persoane expuse public).
1.2. În ceea ce privește prelucrările datelor cu caracter personal aparținând membrilor de familie ai Clientului, beneficiarilor reali și/sau a persoanelor împuternicite de către Client, având în vedere că, din punct de vedere practic, BCR nu are cum să asigure în mod direct informarea acestor categorii de persoane, este obligația Clientului să informeze persoanele în cauză cu privire la prelucrarea datelor lor cu caracter personal prin punerea la dispoziție a acestei note de informare sau a Politicii de confidențialitate de pe website-ul BCR.
1.3. Prelucrarea datelor cu caracter personal reprezintă orice operațiune sau set de operațiuni, care se efectuează asupra datelor cu caracter personal, prin mijloace automate sau neautomate.
1.4. Scopurile de prelucrare sunt aplicabile în funcție de produsul sau serviciul contractat.
2. SCOPURI ÎN CARE SE PRELUCREAZĂ DATELE CU CARACTER PERSONAL
2.1. BCR prelucrează datele cu caracter personal în baza prevederilor Regulamentului (UE) 2016/679 (”Regulamentul” sau ”GDPR”) și a legislației aplicabile, în calitate de operator de date cu caracter personal.
2.2. Îndeplinirea obligațiilor legale ale BCR pentru următoarele scopuri:
(i) îndeplinirea obligațiilor de prudență bancară (inclusiv aplicarea obligațiilor din Regulamentul BNR nr. 5/2013 privind cerințele prudențiale pentru instituțiile de credit și a PSD2[1]) după cum urmează: luarea unor măsuri pentru prevenirea riscurilor de fraudă conform cerințelor legale și standardelor în domeniu, prin mijloace automate de analiză (inclusiv prin analizarea comportamentului tranzacțional, dispozitivului pe parcursul utilizarii Serviciilor Bancare la Distanță din perspectiva aplicațiilor utilizate, componentelor hardware și localizarii acestuia, analiza tranzacțiilor din perspectiva frecvenței, valorii, locației (țara, oraș, IP) și a modelelor de fraudă sau potențiale fraude, etc.), contactarea Clientului în vederea prevenirii fraudelor, garantarea secretului bancar, alocarea gradului de risc și profilare în vederea managementul riscului și al categoriilor de clienți, administrarea eficientă a riscului de fraudă prin menținerea unei liste de avertizare în care sunt documentate încercările și suspiciunile de fraudă (inclusiv informații referitoare la IBAN-uri, adrese IP sau numere de telefon utilizate în fraude) precum și atenționările de la autorități inclusiv publice, verificarea bazelor de date internaționale de risc menținute de ONU, OFAC și UE legate de sancțiuni internaționale, raportarea zilnică a tranzacțiilor conform legislației aplicabile, prevenirea și administrarea conflictelor de interes, gestionarea controalelor din partea autorităților; îndeplinirea obligațiilor de supraveghere bancară efectuată asupra BCR și grupului Erste și de raportare către grupul Erste sau către autoritățile de supraveghere (ANAF, ONPCSB, ASF, BNR), audit intern, îndeplinirea formalităților de autentificare potrivit PSD2, determinarea eligibilității pentru contractarea unui produs, asigurarea măsurilor specifice unui comportament corespunzător de prudență bancară atât la nivelul instituției de credit cât și la nivel de grup;
(ii) alte obligații: evaluarea comportamentului investițional prin crearea unui profil; managementul lichidităților, optimizării bilanțului și stabilirii prețurilor de transfer; managementul portofoliului; gestiune administrativ financiară; păstrarea/depozitarea (premergătoare arhivării) și arhivarea documentelor potrivit prevederilor legale a documentației contractuale (inclusiv asigurarea operațiunilor conexe acestor activități); raportări FATCA/CRS; asigurarea securității în incintele BCR și ale sucursalelor sale; monitorizarea video a spațiilor și a bunurilor prin amplasarea de sisteme de supraveghere în vederea asigurării protecției bunurilor și valorilor conform legii; implementarea măsurilor de actualizare și securitate a datelor cu caracter personal (inclusiv prin realizarea de copii de siguranță), asigurarea calității și securității datelor (inclusiv actualizarea datelor prin interogarea bazei de date a evidenței populației a DGEP și asigurarea mecanismelor de confirmare a plăților), gestionarea relațiilor cu autoritățile publice sau cu alte persoane care prestează un serviciu public (executori judecătorești, notari, etc.), transmiterea datelor către ANAF pentru formalitățile de atribuire a numărului de identificare fiscală pentru nerezidenți,. Pentru îndeplinirea scopurilor din prezenta secțiune BCR se va baza pe interesul legitim al operatorului de a eficientiza procesul acolo unde anumite prelucrari exced prevederile legale relevante.
2.3. Executarea obligațiilor legale și a interesului public pentru îndeplinirea obligațiilor și formalităților de cunoaștere a clientelei (inclusiv Legea nr. 129/2019, Regulamentul BNR nr. 2/2019[2]) prevenirea a spălării banilor și combatarea finanțării terorismului, inclusiv prin analizarea/ verificarea autenticității actului de identitate prezentat și a identității Clientului conform regulilor stabilite prin Clauza 8 (procesul include și interogări adresate IGPR pentru a verifica validitatea cărților de identitate suspecte) și preluarea și stocarea informațiilor în sisteme BCR, verificarea informațiilor solicitate și/sau primite de la organe de poliție, ONPCSB, BNR și parchete, monitorizarea gradului de risc și actualizarea datelor de identificare a Clienților, inclusiv în relația cu entitățile din grupul BCR sau din grupul Erste, cum ar fi BCR Pensii, SAFPP SA; BCR Banca pentru Locuinţe SA, BCR Social Finance IFN SA, SAI Erste Asset Management SA atunci când Clientul deține calitatea de client al acestor entități.
2.4. Îndeplinirea intereselor legitime ale BCR, în contextul desfășurării obiectului de activitate, pentru următoarele scopuri: Implementarea unor mijloace ce permit oricărei persoane să semnaleze neconcordanțele sesizate în legătură cu Serviciile Bancare oferite de BCR; prevenirea și administrarea conflictelor de interese, luarea unor măsuri pentru prevenirea riscurilor de fraudă conform cerințelor legale și standardelor în domeniu, inclusiv prin mijloace automate (inclusiv prin afișarea informațiilor – prenume și inițială nume – legate de titularul contului beneficiarului unei plăți efectuate prin Internet Banking/ Mobile Banking - George cu ocazia introducerii IBAN-ului în câmpul specific și prin analizarea comportamentului tranzacțional, specificațiilor dispozitivului mobil utilizat pentru efectuarea plăților din perspectiva aplicațiilor utilizate și a componentelor hardware, detalii privind locația inițierii plății, plăți care întrunesc din perspectiva frecvenței, valorii, locației (țara, oraș) modele de fraudă sau potențiale fraude etc); analizarea/verificarea autenticității actului de identitate în scop de cunoaștere a clientelei pentru operațiuni de o valoare inferioară limitelor impuse de legislația incidentă; acordarea beneficiilor salariale si/sau asigurarea realizarii platii drepturilor salariale ca urmare a raporturilor juridice existente intre BCR si angajatorul Clientului (inclusiv transferul de date precum IBAN, nume, prenume); îmbunătățirea serviciilor bancare furnizate prin optimizarea fluxurilor, politicilor și procedurilor interne (inclusiv optimizarea costurilor și bugetelor prin activități de cost controlling); monitorizarea tranzacțiilor și contactarea Clientului în vederea prevenirii fraudelor, proiectarea, dezvoltarea, testarea și utilizarea sistemelor informatice existente sau noi și a serviciilor IT (inclusiv stocarea bazelor de date în țară sau in străinătate); monitorizarea video pentru securitatea spațiilor și a bunurilor BCR în vederea prevenirii unor împrejurări de natura a afecta negativ BCR; înregistrarea audio sau video a apelurilor către / de la centralele telefonice BCR în vederea îmbunătățirii serviciilor și a apelurilor și a a probării acestora față de persoana vizată sau în instanță în cazul unui litigiu; activități de contactare și gestionare a solicitării serviciilor bancare prin intermediul Paginii de Internet; proiecte de fuziuni, achiziții și tranzacții similare; activități de marketing cu caracter general (de exemplu campanii de marketing, tombole, acordare de premii etc.), efectuarea de sondaje (telefonic, prin e-mail sau Internet Banking/ Mobile Banking – George) cu privire la Serviciile Bancare, activitatea BCR, a membrilor Grupului BCR și grupului Erste și a partenerilor contractuali, realizarea unor proiecte pilot privind testarea anumitor baze de date sau sisteme informatice, activități de profilare, segmentare și analiză a datelor în scopuri statistice (cum ar fi: analiza seturilor de date / interacțiunilor / serviciilor furnizate, analiza automată a părerilor și sugestiilor exprimate de clienți în vederea efectuării de predicții și clasificări ale clienților în funcție de produsele deținute și volumul de tranzacții, în vederea evaluării performanței unor campanii, sucursale sau servicii, a dezvoltării și îmbunătățirii produselor și serviciilor, precum și a soluțiilor prin care acestea sunt oferite și pentru crearea de comunicări personalizate sau ofertare, inclusiv evaluarea eligibilității în scop de analiză și/sau în vederea ofertării unor produse și Servicii Bancare standard sau personalizate) – vom realiza această activitate în baza interesului nostru legitim numai atunci când legea ne permite, gestionarea reclamațiilor primite privind serviciile bancare, inclusiv constatarea, exercitarea sau apărarea unor drepturi ale BCR și / sau ale subsidiarelor sale în instanță, precum și constituirea de probe în acest sens; transmiterea datelor către ROMCARD în vederea facilitării procesului de identificare și creare a contului online pe platforma Ghiseul.ro.
2.5. În baza consimțământului furnizat de Client, pentru următoarele scopuri:
(i) Acord de marketing pe canalele BCR și în mediul digital:
În baza acordului, Clientul primește comunicări despre cele mai potrivite produse și servicii BCR, ale Grupului BCR ori ale partenerilor și grupului Erste (precum credite, produse de asigurare, pensii facultative, produse de leasing financiar/operațional, investiții și/sau economisire) și beneficiază de o experiență de comunicare pe canalele de comunicare ale băncii (e-mail, SMS, George) și în mediul digital (platforme de social media precum Facebook, Instagram, Linkedin și Google) sau alte mijloace electronice ce pot să nu implice un operator uman. Comunicările personalizate din partea BCR includ oportunități, notificări și mesaje comerciale, transmise prin e-mail, SMS, prin platforma George, ori platforme de social media (în măsura în care Clientul are cont) sau alte mijloace electronice automatizate. În absența acordului, BCR va transmite doar comunicări contractuale sau bazate pe interes legitim ori reclame generice prin alte mijloace (de exemplu: bannere publicitare pe Facebook/Google, prin intermediul tehnologiei cookies). Pentru comunicarea personalizată în social media, vom utiliza datele de contact doar sub forma unui cod generat anonim și securizat pentru a identifica și transmite comunicări personalizate accesibile userului tău, atunci când folosești social media (dacă ai astfel de conturi). Platformele de social media vor primi doar acel cod anonimizat și securizat, pe care îl vor potrivi intern.
(ii) Acord de profilare:
În baza acestui acord, Clientul primește comunicări de marketing personalizate profilului său realizat prin combinarea datelor de client deținute de Grupul BCR/ERSTE (produse, tranzacții, cum folosește Clientul George etc.) și a preferințelor deduse din website-urile vizitate (dacă își dă și acordul de cookies de pe www.bcr.ro), în baza codurilor unice de identificare (cod client, cod device, cod cookie). Acordul permite utilizarea datelor de client al Grupului BCR/ERSTE și a datelor rezultate din istoricul de navigare pe internet (preferintele clientului deduse din acest istoric prin cookies) pentru a oferi Clientului oportunități personalizate sau pentru a îi transmite mesaje comerciale dedicate pe website-uri (bannere publicitare) si pe canalele de comunicare folosite de BCR (inclusiv SMS, e-mail, George app). Identificare în online a Clientului se face prin corelarea celor trei identificatori: codul de client; codul dispozitivului de pe care se accesează aplicația specifică de Internet Banking/ Mobile Banking - George și ID-ul de cookie utilizat de browserul utilizat de Client. Vom avea nevoie de acest acord numai pentru profilările detaliate în scop de marketing pentru care legea impune consimțământul Clientului. Cu toate acestea, BCR poate realiza profiluri și pentru îndeplinirea unor obligatii legale sau a intereselor legitime ale BCR (a se vedea secțiunea 14.4 de mai sus);
Consimțământul exprimat cu privire la activitățile de prelucrare poate fi retras în orice moment, fără a afecta legalitatea activităților de prelucrare efectuate înaintea retragerii.
În funcție de opțiunile Clientului, produsele și serviciile accesate, BCR va mai solicita consimțământul în situații precum: prelucrarea datelor biometrice la înrolarea dispozitivului pentru George ID; înrolarea în Voice ID, în cazul în care Clientul optează pentru autentificarea biometrică în Contact Center prin recunoașterea vocii.
2.6. În vederea încheierii și executării contractului dintre Client și BCR, pentru următoarele scopuri: Derularea oricăror raporturi juridice între BCR și Client, în vederea furnizării serviciilor financiar – bancare, inclusiv de online banking; gestionarea relației cu Clientul; executarea în bune condiții a tranzacțiilor bancare, monitorizarea tuturor obligațiilor asumate de Client față de oricare dintre entitățile din Grupul BCR și grupul Erste, gestionarea calității datelor; colectarea de debite/recuperare creanțe; încheierea și/sau executarea contractelor de asigurări și reasigurări (inclusiv pentru ca Clientul, în calitate de asigurat, să poată beneficia de asigurare în caz de producere a riscului asigurat); efectuarea sau procesarea operațiunilor de plăți prin sistemul SWIFT, inclusiv, daca este cazul, transferul datelor cu caracter personal către SUA de către SWIFT; înregistrarea audio sau video a apelurilor si convorbirilor telefonice catre / de la centralele telefonice BCR în vederea realizării anumitor cereri, operațiuni, instrucțiuni; acorduri cu privire la servicii bancare ori investigații solicitate de Client si proba acestora fata de Client; acordarea beneficiilor salariale pentru Clienții care sunt salariați ai societăților din Grupul Erste (mai multe informatii despre grupul ERSTE/BCR găsiți pe site-urile BCR și ERSTE).
3. CATEGORII DE DATE
3.1. În vederea îndeplinirii scopurilor de prelucrare menționate mai sus, BCR prelucrează datele pe care Clientul le furnizează în mod direct, inclusiv date despre membrii familiilor sau despre beneficiari ai plăților inițiate de Clienți, precum și date pe care BCR le generează pe baza acestora sau le consultă din alte surse, respectiv: date de contact colectate din interacțiunile Clientului cu BCR (spre exemplu date din Contact Center) sau obținute din alte surse (spre exemplu date de la terți în vederea recuperării integrale a creanțelor) cod identificare client, date de tranzacționare (tip, valoare, valută, dată tranzacție, datele Contului și/sau Cardului, persoane implicate în tranzacție, comportament tranzacțional), datele despre produsele și serviciile deținute de către client, imaginea, vocea și comportamentul captate prin intermediul înregistrărilor video sau audio, modul de interacțiune cu BCR și de utilizare a produselor, serviciilor și aplicațiilor BCR (spre exemplu, interacțiunea cu aplicația specifică Serviciilor Bancare la Distanță (componentele Internet Banking și Mobile Banking), numărul de logări și timpul petrecut autentificat (logat), secțiunile și ecranele accesate), date privind relația de rudenie cu un angajat BCR, informații ce rezultă din neconformitățile semnalate de către orice persoană, gradul de risc alocat din perspectiva AML/CFT/KYC sau fraudă, precum și date ce rezultă din analizele efectuate de specialiștii noștri privind conformarea cu cerințele referitoare la prevenirea fraudelor în contextul inițierii sau monitorizării unei relații de afaceri date referitoare la dispozitivul utilizat de Client (adresa IP și MAC a telefonului mobil sau echipamentului utilizat și istoricul de localizare și autentificare, marcă/model, sistem operare și versiunea acestuia, poziționarea ATM-ului sau a dispozitivului POS), date obținute din bazele de date la care BCR are acces (date de contact și date privind creditele contractate și comportamentul de plată de la Biroul de Credit, Centrala Riscului de Credit, date privind cunoașterea clientelei și prezența în baze de date publicate de ONU, OFAC si/sau UE privind sanctiuni internaționale, liste de avertizare interne in scop de prevenire a fraudelor, lista cu persoane expuse public, RECOM, solicitări și informări de la autorități publice referitoare la anumite persoane, executori judecătorești, date de la ANAF privind veniturile și angajatorul, date de la DGEP și IGPR referitoare la cartea de identitate, date referitoare la litigii de pe Portaljust, informații solicitate și/sau primite de la organe de poliție, ONPCSB, BNR și parchete, precum și date solicitate de la DIICOT și DNA), profiluri create intern pe baza informațiilor furnizate de Client (spre exemplu, profilul investițional) sau prin combinarea datelor din mai multe surse (spre exemplu, scoringul intern aferent profilului de risc sau profilul de sănătate financiară).
3.2. De asemenea, în anumite situații BCR prelucreaza date cu caracter personal aparținând persoanelor care tranzacționează cu Clienții (spre exemplu, numele, prenumele și detaliile Conturilor) sau ale anumitor terți în legătură cu procesul de creditare (spre exemplu, datele de identificare și proprietate ale vânzătorului imobilului pentru care se solicită finanțare).
3.3. Refuzul de a furniza datele cu caracter personal poate determina imposibilitatea furnizării Serviciilor Bancare, realizării Tranzacțiilor Bancare și/sau a îndeplinirii celorlalte scopuri de prelucrare de către BCR.
3.4. Datele colectate în scopurile menționate la art. 14 de mai sus pot fi prelucrate în scopuri subsecvente, în măsura în care scopurile subsecvente sunt compatibile cu cele inițiale.
4. PROCESE DECIZIONALE AUTOMATE
4.1. Ce profiluri realizează BCR?
4.2. În anumite situații BCR poate crea profiluri cu privire la persoana vizată și/sau să desfășoare procese decizionale automate pentru îndeplinirea scopurilor menționate în art. 14 de mai sus.
4.3. Crearea de profiluri reprezintă prelucrarea automată a datelor persoanei vizate pentru a evalua sau analiza aspecte ce țin de persoana acestuia (preferințe, grad de îndatorare, comportament sau identificarea acesteia pe listele publice sau interne privind finantarea terorismului, spălarea banilor, fapte de natură penală sau fraude). Exemple de profilare pot fi reprezentate de: gradul de îndatorare al persoanei vizate care rezultă din interogările realizate în baza de date a Centralei Riscului de Credit; gradul de risc alocat din perspectiva fraudei sau a cunoasterii clientelei, prevenirii spălării banilor și combaterii finanțării terorismului, care, in anumite situatii, poate atrage refuzul sau restricționarea accesului la serviciile BCR.
4.4. Nu în ultimul rând, BCR poate segmenta proprii Clienți în funcție de mai multe criterii (vârstă, zonă geografică, produs deținut, frecventa utilizarii Cardului sau a platformei George, deținerea unor produse de economisire, investiții sau creditare, venituri, tipuri de cheltuieli, industria în care activează etc.) pentru a îi clasifica în diverse categorii în scopuri de marketing și/sau în scop de analiză. Spre exemplu, BCR poate să ia în considerare datele de tranzacționare (numărul și valoarea tranzacțiilor, codul de industrie al beneficiarilor plăților cu Cardul, numărul și valoarea retragerilor de la Terminalele Automate Bancare, contribuțiile către Pilonul III, valoarea sumelor intrate în Conturi) și datele demografice (zona de rezidență urban/rural, vârstă) pentru a determina probabilitatea de a achiziționa un produs sau serviciu BCR (cum ar fi un Card de credit sau un produs intermediat de BCR).
4.5. Ce procese decizionale automate implementează BCR?
4.6. BCR poate derula procese decizionale automate care produc efecte juridice sau care pot afecta persoana vizată într-o măsură semnificativă în următoarele scopuri: (i) determinarea eligibilității de contractare a unui produs bancar prin aplicarea unor criterii eliminatorii automate, spre exemplu, înregistrarea unui grad de îndatorare prea mare prin raportare la veniturile deținute pentru obținerea unui credit sau verificarea gradului de risc de fraudă, situații în care persoanei vizate i se poate refuza acordarea/executarea Serviciilor Bancare și/sau (ii) monitorizarea tranzacțiilor (încasări/plăți) și, în cazul în care sunt identificate tranzacții suspecte (plăți care întrunesc din criterii din perspectiva frecvenței, valorii, locației (țară, oraș, IP) si a modelelor de fraudă sau potențiale fraude etc.), putem lua, de la caz la caz, măsuri pe baze automatizate (cum ar fi blocarea tranzacției suspecte – inclusiv transferurile de credit interbancar instant, blocarea cardului, blocarea contului, blocarea serviciului, etc.). Cu titlu de exemplu, vom putea bloca temporar o tranzacție inițiată de Client dacă aceasta este direcționată către un beneficiar sau un cont suspect sau care prezinta un risc de fraudă, determinat prin raportare la interacțiunile trecute, analizele interne și comportamentul tranzacțional al Clientului.
4.7. În ceea ce privește aceste procese decizionale automate întemeiate pe consimțământul Clientului sau pe necesitatea încheierii și/ sau executării Contractului, Clientul beneficiază, pe lângă drepturile menționate la clauza 8 de mai jos, și de următoarele drepturi: dreptul de a obține o intervenție umană; dreptul de a își exprima punctul de vedere; dreptul de a contesta decizia.
5. DESTINATARII DATELOR
5.1. Pentru îndeplinirea scopurilor de prelucrare, BCR poate să dezvăluie o parte sau toate categoriile de date cu caracter personal către următoarele categorii de destinatari: Clientului sau reprezentanților Clientului, reprezentanților BCR, entităților din Grupul BCR și grupul Erste, instituțiilor/autorităților publice din România sau străinătate, organizațiilor internaționale, furnizorilor de servicii și bunuri, societăților bancare, birourilor de credit, agenților de colectare a debitelor sau recuperare a creanțelor (inclusiv cesionari ai creanțelor deținute de BCR față de Client), evaluatorilor, societăților de asigurare și reasigurare (inclusiv brokeri de asigurări), angajatorului Clientului ca urmare a raporturilor juridice existente intre acesta și BCR, partenerilor BCR in legatura cu produsele si serviciile intermediate de BCR, furnizori de certificate digitale aferente semnăturilor digitale, organizațiilor de cercetare a pieței, evaluatori, notari, executori judecătorești precum și altor parteneri contractuali și împuterniciți ai BCR, care pot fi consultați exemplificativ în Politica de confidențialitate disponibilă pe www.bcr.ro.
5.2. În cazul în care Clientul beneficiază de produse și/sau servicii sau deține calitatea de client al unei entități din grupul BCR sau din grupul Erste, cum ar fi: BCR Pensii, SAFPP SA; BCR Banca pentru Locuinţe SA, BCR Social Finance IFN SA și SAI Erste Asset Management SA atunci datele de identificare ale Clientului, împreună cu copii după actul de identitate, pot fi transmise către aceste entități în scopul prevenirii fraudelor, cunoașterii clientelei, prevenirii și combaterii spălarii banilor și a finanțării terorismului. Acest lucru poate avea ca efect actualizarea datelor Clientului în bazele de date ale entităților din grupul BCR sau din grupul Erste.
6. DURATA PRELUCRĂRII. DESTINAȚIA ULTERIOARĂ A DATELOR
6.1. În vederea realizării scopurilor de prelucrare menționate, BCR va prelucra datele cu caracter personal pe durata îndeplinirii Serviciilor Bancare, precum și ulterior în vederea conformării cu obligațiile legale aplicabile, inclusiv dispozițiile referitoare la arhivare și cu interesele legitime ale BCR. Este posibil ca, în urma îndeplinirii termenelor legale de arhivare, BCR să dispună anonimizarea datelor, lipsindu-le astfel de caracterul personal și să continue prelucrarea datelor anonime pentru scopuri statistice. Datele cu caracter personal vor fi stocate pe durata relației de afaceri și după finalizarea acesteia, în vederea conformării cu obligațiile legale aplicabile și politicile interne privind retenția, inclusiv a regulilor de arhivare, pentru duratele de stocare corespunzătoare, așa cum sunt menționate în Politica privind confiențialitatea. Spre exemplu, în situații precum cazul bazelor de date administrate în scop de marketing direct, durata prelucrării este influențată de retragerea acordului de marketing de către Client și de necesitatea demonstrării conformării cu cerințele legale.
7. TRANSFERURI DE DATE ÎN STRĂINĂTATE
7.1. În prezent, în vederea îndeplinirii scopurilor mai sus-menționate este posibil ca BCR să transfere anumite categorii de date cu caracter personal în afara României, în state din cadrul UE/ SEE: Austria, Cehia, Ungaria, Croația, Belgia, Germania, cât și în afara UE/SEE către Regatul Unit al Marii Britanii sau Statele Unite ale Americii (în cazul transferurilor prin intermediul SWIFT). Pentru transferurile în afara UE/SEE, BCR își va întemeia transferul datelor cu caracter personal pe baza clauzelor contractuale standard adoptate la nivelul Comisiei Europene sau alte garanții recunoscute de lege.
7.2. Este posibil ca în derularea activităților sale, statele de transfer mai sus-menționate să se modifice. Clientul poate obține o listă actualizată cu statele unde se transferă datele cu caracter personal la următorul link: www.bcr.ro/politica-de-confidentialitate.
8. DREPTURILE PERSOANELOR VIZATE
8.1. Persoanele vizate menționate la Clauza 13, beneficiază în calitatea acestora de persoane vizate, în condițiile prevăzute de legislația în domeniul prelucrării datelor cu caracter personal, de următoarele drepturi:
a) Dreptul la informare: dreptul de a fi informat în legătură cu ce prelucrări derulează BCR;
b) Dreptul de acces la date: posibilitatea de a solicita și primi o confirmare de la BCR cu privire la detaliile prelucrărilor de date (ce date prelucrează BCR și în ce scop, unde și cât timp sunt stocate, cine are acces la ele etc). Banca va acorda acces la date persoanelor vizate, cu exceția cazului în care îi este imposibil să identifice informațiile solicitate de persoana vizată sau a cazului în care cererea de acces a persoanei vizate este în mod vădit nefondată sau excesivă;
c) Dreptul de rectificare: dacă datele pe care le utilizează BCR sunt inexacte sau incomplete, le puteti actualiza printr-o cerere (exemplu: dacă a intervenit schimbarea numărului de telefon sau a adresei de e-mail persoane vizată poate contacta BCR pentru a actualiza aceste date). Acest drept poate fi exercitat împreună cu cel de restricționare sau cu cel de opoziție.
d) Dreptul de ștergere: posibilitatea de a solicita ștergerea unei părți sau a tuturor datelor pe care BCR le are despre persoana vizată. Important! BCR nu va putea da curs cererii în toate cazurile (exemple: legea obligă BCR să păstreze datele o anumită perioadă; datele sunt utile pentru un interes legitim urmărit de BCR precum apărarea unui drept în instanță);
e) Dreptul la restricționare: posibilitatea de a solicita BCR să nu utilizeze datele, ci doar să le stocheze până la rezolvarea unei alte solicitări din partea persoanelor vizate și anume: s-a cerut rectificarea datelor; persoana vizată s-a opus stergerii datelor în situația unei prelucrări ilegale; persoana vizată a solicitat furnizarea anumitor date pentru apărarea unui drept; persoana vizată s-a opus prelucrării datelor – a se vedea dreptul de opozitie de mai jos;
f) Dreptul de portabilitate: persoana vizată are posibilitatea de a cere ca datele să îi fie furnizate pe un suport utilizat în mod curent, într-un format ușor de citat. De asemenea, persoana vizată poare cere ca datele să fie trimise către un alt operator. Important! BCR va da curs cererii doar pentru datele prelucrate anterior în baza consimțământului persoanei vizate sau pentru derularea contractului încheiat cu BCR și doar dacă datele sunt prelucrate prin mijloace automate (exemplu: se poate solicita transmiterea unui e-mail pe care persoana vizată l-a trimis anterior către BCR).
g) Dreptul la opoziție: persoana vizată se poate opune prelucrărilor de date derulate pe baza interesului legitim urmărit de BCR. Important! Legea obligă BCR să dea curs cererii doar pentru prelucrările realizate în scop de marketing direct (exemplu: dacă persoana vizată primește e-mailuri cu reclame de la BCR aceasta poate solicita dezabonarea). În celelalte cazuri, BCR va pune în balanță interesele Băncii și respectiv situația particulară a persoanei vizate pe care aceasta o prezintă pentru a lua o decizie finală. De aceea, este recomandabil ca cererea de opoziție să fie însoțită și de motivele pentru care persoana vizată se opune prelucrării atunci când formulează cererea.
h) Dreptul privind procesul decizional automatizat: ca regulă, persoana vizată are dreptul să nu fie supusă unei decizii automate, dacă aceasta produce efecte legale asupra acesteia sau o afectează similar, într-o măsură semnificativă (exemplu: refuzul automat de a încheia un contract cu persoana vizată, bazat pe o prelucrare de date). Important! În anumite situații legea acordă posibilitatea BCR să ia astfel de decizii atunci când BCR are acordul persoanei vizate sau dacă decizia este luată în baza executării contractului pe care BCR l-a încheiat cu acesta. În aceste situații, persoana vizată are dreptul să conteste decizia, să iși exprime punctul de vedere și să obțina o verificare din partea unui factor uman. De asemenea, sunt situații în care legea obligă BCR să implementeze asemenea procese decizionale automatizate.
i) Dreptul la retragerea consimțământului: dacă BCR prelucrează datele pe baza consimțământului persoanei vizate, aceasta își poate retrage oricând acordul. Important! Retragerea consimțămantului va avea efect doar pentru viitor. Prelucrările efectuate în alt scop, cum ar fi executarea contractului, nu vor fi afectate de retragere.
j) Dreptul de a formula plângere: dacă persoana vizată este nemulțumită, aceasta se poate adresa oricând Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal.
8.2. În cazul formulării unei cereri de exercitare drepturilor persoana vizată va furniza detalii necesare pentru ca BCR să poată identifica dreptul exercitat și îndeplinirea condițiilor de exercitare impuse de lege. Cu titlu de exemplu, în măsura formulării unei cereri de opoziție privind anumite prelucrări derulate de BCR în baza interesului legitim al Băncii, este recomandabil ca persoana vizată să furnizeze și informații legate de situația particulară a acesteia astfel încât BCR să poată realiza evaluarea cerută de lege. De asemenea, persoanele vizate vor fi autentificate anterior preluării cererii de exercitare a drepturilor. Autentificarea este o procedură prin care identitatea este verificată și confirmată de BCR prin adresarea unor întrebări specifice, pentru ca Banca să se asigure că informațiile nu sunt solicitate de sau dezvăluite către persoane neautorizate.
8.3. Este posibil ca, în urma solicitării de ștergere a datelor, BCR să anonimizeze aceste date (lipsindu-le astfel de caracterul personal) și să continue în aceste condiții utilizarea acestora pentru scopuri statistice.
8.4. Pentru mai multe detalii cu privire la activitățile de prelucrare efectuate de către BCR, precum și pentru mai multe informații cu privire la exercitarea drepturilor, ne puteți contacta oricand utilizand urmatoarele canale de comunicare: solicitare adresata responsabilului BCR privind portecția datelor la dpo@bcr.ro - canal dedicat aspectelor privind protecția datelor cu caracter personal; utilizarea serviciului de Contact Center prin apel telefonic sau la adresa contact.center@bcr.ro; utilizand formularul de solicitări protecția datelor de pe website-ul BCR, secțiunea Politica privind confidențialitatea, utilizand credențialele de internet banking; prin postă, la sediul nostru sau în unitățile teritoriale.
8.5. BCR își rezervă dreptul de a actualiza acest Capitol III, atunci când detaliile prelucrării se modifică, modificările fiind aduse la cunoștința Clientului prin actualizarea CSB și punerea la dispoziție pe Pagina de Internet.
8.6. Securitatea datelor cu caracter personal. BCR acordă o importanță sporită datelor Clientului cu caracter personal și înțelege să asigure securitatea adecvata pe parcursul activităților de prelucrare. În acest sens, BCR implementează măsuri tehnice şi organizatorice pentru protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale.
9. SECRETUL BANCAR
9.1. BCR va păstra confidenţialitatea asupra tuturor faptelor, datelor şi informaţiilor referitoare la activitatea desfăşurată în legătură cu Clientul, în condiţiile prevăzute de Legea Bancară şi alte reglementări aplicabile.
9.2. Clientul înţelege şi acceptă că BCR are dreptul sau după caz obligaţia de a dezvălui astfel de fapte, date sau informaţii către orice autorităţi abilitate conform Legii Bancare să solicite sau să primească astfel de informaţii.
9.3. BCR va putea furniza orice informaţie despre oricare dintre persoanele vizate şi Documentaţia Contractuală, aşa cum va considera necesar sau oportun, oricărei persoane către care intenţionează să cesioneze sau să transfere toate sau oricare dintre drepturile şi obligaţiile sale în baza Documentaţiei Contractuale.
9.4. BCR va lua toate măsurile rezonabile pentru ca reprezentanţii sau salariaţii săi să nu utilizeze în folos personal sau în folosul altuia, direct ori indirect, informaţii supuse secretului profesional în domeniul bancar, pe care aceştia le deţin sau de care au luat cunoştinţă în orice mod.