2.  SCOPURI ÎN CARE SE PRELUCREAZĂ DATELE CU CARACTER PERSONAL

2.1.        BCR prelucrează datele cu caracter personal în baza prevederilor Regulamentului (UE) 2016/679 (”Regulamentul” sau ”GDPR”) și a legislației aplicabile, în calitate de operator de date cu caracter personal.

2.2.        Îndeplinirea obligațiilor legale ale BCR pentru următoarele scopuri:

(i) îndeplinirea  obligațiilor de prudență bancară (inclusiv aplicarea obligațiilor din Regulamentul BNR nr. 5/2013 privind cerințele prudențiale pentru instituțiile de credit și a PSD2^[1])  după cum urmează: luarea unor măsuri pentru prevenirea riscurilor de fraudă conform cerințelor legale și standardelor în domeniu, prin mijloace automate de analiză (inclusiv prin analizarea comportamentului tranzacțional, dispozitivului pe parcursul utilizarii Serviciilor Bancare la Distanță din perspectiva aplicațiilor utilizate, componentelor hardware și localizarii acestuia, analiza tranzacțiilor din perspectiva frecvenței, valorii, locației (țara, oraș, IP) și a  modelelor de fraudă sau potențiale fraude, etc.), contactarea Clientului în vederea prevenirii fraudelor, garantarea secretului bancar, alocarea gradului de risc și profilare în vederea managementul riscului și al categoriilor de clienți, administrarea eficientă a riscului de fraudă prin menținerea unei liste de avertizare în care sunt documentate încercările și suspiciunile de fraudă (inclusiv informații referitoare la IBAN-uri, adrese IP sau numere de telefon utilizate în fraude) precum și atenționările de la autorități inclusiv publice, verificarea bazelor de date internaționale de risc menținute de ONU, OFAC și UE legate de sancțiuni internaționale, raportarea zilnică a tranzacțiilor conform legislației aplicabile, prevenirea și administrarea conflictelor de interes, gestionarea controalelor din partea autorităților; îndeplinirea obligațiilor de supraveghere bancară efectuată asupra BCR și grupului Erste și de raportare către grupul Erste sau către autoritățile de supraveghere (ANAF, ONPCSB, ASF, BNR), audit intern, îndeplinirea formalităților de autentificare potrivit PSD2, determinarea eligibilității pentru contractarea unui produs, asigurarea măsurilor specifice unui comportament corespunzător de prudență bancară atât la nivelul instituției de credit cât și la nivel de grup;

(ii) alte obligații: evaluarea comportamentului investițional prin crearea unui profil; managementul lichidităților, optimizării bilanțului și stabilirii prețurilor de transfer; managementul portofoliului; gestiune administrativ financiară; păstrarea/depozitarea (premergătoare arhivării) și arhivarea documentelor potrivit prevederilor legale a documentației contractuale (inclusiv asigurarea operațiunilor conexe acestor activități); raportări FATCA/CRS; asigurarea securității în incintele BCR și ale sucursalelor sale; monitorizarea video a spațiilor și a bunurilor prin amplasarea de sisteme de supraveghere în vederea asigurării protecției bunurilor și valorilor conform legii; implementarea măsurilor de actualizare și securitate a datelor cu caracter personal (inclusiv prin realizarea de copii de siguranță), asigurarea calității și securității datelor (inclusiv actualizarea datelor prin interogarea bazei de date a evidenței populației a DGEP și asigurarea mecanismelor de confirmare a plăților), gestionarea relațiilor cu autoritățile publice sau cu alte persoane care prestează un serviciu public (executori judecătorești, notari, etc.), transmiterea datelor către ANAF pentru formalitățile de atribuire a numărului de identificare fiscală pentru nerezidenți,. Pentru îndeplinirea scopurilor din prezenta secțiune BCR se va baza pe interesul legitim al operatorului de a eficientiza procesul acolo unde anumite prelucrari exced prevederile legale relevante.

2.3.     Executarea obligațiilor legale și a interesului public pentru îndeplinirea obligațiilor și formalităților de cunoaștere a clientelei (inclusiv Legea nr. 129/2019, Regulamentul BNR nr. 2/2019^[2])  prevenirea a spălării banilor și combatarea finanțării terorismului, inclusiv prin analizarea/ verificarea autenticității actului de identitate prezentat și a identității Clientului conform regulilor stabilite prin Clauza 8 (procesul include și interogări adresate IGPR pentru a verifica validitatea cărților de identitate suspecte) și preluarea și stocarea informațiilor în sisteme BCR, verificarea informațiilor solicitate și/sau primite de la organe de poliție, ONPCSB, BNR și parchete, monitorizarea gradului de risc și actualizarea datelor de identificare a Clienților, inclusiv în relația cu entitățile din grupul BCR sau din grupul Erste, cum ar fi BCR Pensii, SAFPP SA; BCR Banca pentru Locuinţe SA, BCR Social Finance IFN SA, SAI Erste Asset Management SA atunci când Clientul deține calitatea de client al acestor entități.

2.4.     Îndeplinirea intereselor legitime ale BCR, în contextul desfășurării obiectului de activitate, pentru următoarele scopuri: Implementarea unor mijloace ce permit oricărei persoane să semnaleze neconcordanțele sesizate în legătură cu Serviciile Bancare oferite de BCR; prevenirea și administrarea conflictelor de interese,  luarea unor măsuri pentru prevenirea riscurilor de fraudă conform cerințelor legale și standardelor în domeniu, inclusiv prin mijloace automate (inclusiv prin afișarea informațiilor – prenume și inițială nume – legate de titularul contului beneficiarului unei plăți efectuate prin Internet Banking/ Mobile Banking - George cu ocazia introducerii IBAN-ului în câmpul specific și prin analizarea comportamentului tranzacțional, specificațiilor dispozitivului mobil utilizat pentru efectuarea plăților din perspectiva aplicațiilor utilizate și a componentelor hardware, detalii privind locația inițierii plății, plăți care întrunesc din perspectiva frecvenței, valorii, locației (țara, oraș) modele de fraudă sau potențiale fraude etc); analizarea/verificarea autenticității actului de identitate în scop de cunoaștere a clientelei pentru operațiuni de o valoare inferioară limitelor impuse de legislația incidentă; acordarea beneficiilor salariale si/sau asigurarea realizarii platii drepturilor salariale ca urmare a raporturilor juridice existente intre BCR si angajatorul Clientului (inclusiv transferul de date precum IBAN, nume, prenume); îmbunătățirea serviciilor bancare furnizate prin optimizarea fluxurilor, politicilor și procedurilor interne (inclusiv optimizarea costurilor și bugetelor prin activități de cost controlling); monitorizarea tranzacțiilor și contactarea Clientului în vederea prevenirii fraudelor, proiectarea, dezvoltarea, testarea și utilizarea sistemelor informatice existente sau noi și a serviciilor IT (inclusiv stocarea bazelor de date în țară sau in străinătate); monitorizarea video pentru securitatea spațiilor și a bunurilor BCR în vederea prevenirii unor împrejurări de natura a afecta negativ BCR; înregistrarea audio sau video a apelurilor către / de la centralele telefonice BCR în vederea îmbunătățirii serviciilor și a apelurilor și a a probării acestora față de persoana vizată sau în instanță în cazul unui litigiu; activități de contactare și gestionare a solicitării serviciilor bancare prin intermediul Paginii de Internet; proiecte de fuziuni, achiziții și tranzacții similare; activități de marketing cu caracter general (de exemplu campanii de marketing, tombole, acordare de premii etc.), efectuarea de sondaje (telefonic, prin e-mail sau Internet Banking/ Mobile Banking – George) cu privire la Serviciile Bancare, activitatea BCR, a membrilor Grupului BCR și grupului Erste și a partenerilor contractuali, realizarea unor proiecte pilot privind testarea anumitor baze de date sau sisteme informatice, activități de profilare, segmentare și analiză a datelor în scopuri statistice (cum ar fi: analiza seturilor de date / interacțiunilor / serviciilor furnizate, analiza automată a părerilor și sugestiilor exprimate de clienți în vederea efectuării de predicții și clasificări ale clienților în funcție de produsele deținute și volumul de tranzacții, în vederea evaluării performanței unor campanii, sucursale sau servicii, a dezvoltării și îmbunătățirii produselor și serviciilor, precum și a soluțiilor prin care acestea sunt oferite și pentru crearea de comunicări personalizate sau ofertare, inclusiv evaluarea eligibilității în scop de analiză și/sau în vederea ofertării unor produse și Servicii Bancare standard sau personalizate) – vom realiza această activitate în baza interesului nostru legitim numai atunci când legea ne permite, gestionarea reclamațiilor primite privind serviciile bancare, inclusiv constatarea, exercitarea sau apărarea unor drepturi ale BCR și / sau ale subsidiarelor sale în instanță, precum și constituirea de probe în acest sens; transmiterea datelor către ROMCARD în vederea facilitării procesului de identificare și creare a contului online pe platforma Ghiseul.ro.

2.5.  În baza consimțământului furnizat de Client, pentru următoarele scopuri:

(i) Acord de marketing pe canalele BCR și în mediul digital:

În baza acordului, Clientul primește comunicări despre cele mai potrivite produse și servicii BCR, ale Grupului BCR ori ale partenerilor și grupului Erste (precum credite, produse de asigurare, pensii facultative, produse de leasing financiar/operațional, investiții și/sau economisire) și beneficiază de o experiență de comunicare pe canalele de comunicare ale băncii (e-mail, SMS, George) și în mediul digital (platforme de social media precum Facebook, Instagram, Linkedin și Google) sau alte mijloace electronice ce pot să nu implice un operator uman. Comunicările personalizate din partea BCR includ oportunități, notificări și mesaje comerciale, transmise prin e-mail, SMS, prin platforma George, ori platforme de social media (în măsura în care Clientul are cont) sau alte mijloace electronice automatizate. În absența acordului, BCR va transmite doar comunicări contractuale sau bazate pe interes legitim ori reclame generice prin alte mijloace (de exemplu: bannere publicitare pe Facebook/Google, prin intermediul tehnologiei cookies). Pentru comunicarea personalizată în social media, vom utiliza datele de contact doar sub forma unui cod generat anonim și securizat pentru a identifica și transmite comunicări personalizate accesibile userului tău, atunci când folosești social media (dacă ai astfel de conturi). Platformele de social media vor primi doar acel cod anonimizat și securizat, pe care îl vor potrivi intern.

(ii) Acord de profilare:

În baza acestui acord, Clientul primește comunicări de marketing personalizate profilului său realizat prin combinarea datelor de client deținute de Grupul BCR/ERSTE (produse, tranzacții, cum folosește Clientul George etc.) și a preferințelor deduse din website-urile vizitate (dacă își dă și acordul de cookies de pe www.bcr.ro), în baza codurilor unice de identificare (cod client, cod device, cod cookie). Acordul permite utilizarea datelor de client al Grupului BCR/ERSTE și a datelor rezultate din istoricul de navigare pe internet (preferintele clientului deduse din acest istoric prin cookies) pentru a oferi Clientului oportunități personalizate sau pentru a îi transmite mesaje comerciale dedicate pe website-uri (bannere publicitare) si pe canalele de comunicare folosite de BCR (inclusiv SMS, e-mail, George app). Identificare în online a Clientului se face prin corelarea celor trei identificatori: codul de client; codul dispozitivului de pe care se accesează aplicația specifică de Internet Banking/ Mobile Banking - George și ID-ul de cookie utilizat de browserul utilizat de Client. Vom avea nevoie de acest acord numai pentru profilările detaliate în scop de marketing pentru care legea impune consimțământul Clientului. Cu toate acestea, BCR poate realiza profiluri și pentru îndeplinirea unor obligatii legale sau a intereselor legitime ale BCR (a se vedea secțiunea 14.4 de mai sus);

Consimțământul exprimat cu privire la activitățile de prelucrare poate fi retras în orice moment, fără a afecta legalitatea activităților de prelucrare efectuate înaintea retragerii.

În funcție de opțiunile Clientului, produsele și serviciile accesate, BCR va mai solicita consimțământul în situații precum: prelucrarea datelor biometrice la înrolarea dispozitivului pentru George ID; înrolarea în Voice ID, în cazul în care Clientul optează pentru autentificarea biometrică în Contact Center prin recunoașterea vocii. 

2.6.  În vederea încheierii și executării contractului dintre Client și BCR, pentru următoarele scopuri: Derularea oricăror raporturi juridice între BCR și Client, în vederea furnizării serviciilor financiar – bancare, inclusiv de online banking; gestionarea relației cu Clientul; executarea în bune condiții a tranzacțiilor bancare, monitorizarea tuturor obligațiilor asumate de Client față de oricare dintre entitățile din Grupul BCR și grupul Erste, gestionarea calității datelor; colectarea de debite/recuperare creanțe; încheierea și/sau executarea contractelor de asigurări și reasigurări (inclusiv pentru ca Clientul, în calitate de asigurat, să poată beneficia de asigurare în caz de producere a riscului asigurat); efectuarea sau procesarea operațiunilor de plăți prin sistemul SWIFT, inclusiv, daca este cazul, transferul datelor cu caracter personal către SUA de către SWIFT; înregistrarea audio sau video a apelurilor si convorbirilor telefonice catre / de la centralele telefonice BCR în vederea realizării anumitor cereri, operațiuni, instrucțiuni; acorduri cu privire la servicii bancare ori investigații solicitate de Client si proba acestora fata de Client; acordarea beneficiilor salariale pentru Clienții care sunt salariați ai societăților din Grupul Erste (mai multe informatii despre grupul ERSTE/BCR găsiți pe site-urile BCR și ERSTE).

3.  CATEGORII DE DATE

3.1.     În vederea îndeplinirii scopurilor de prelucrare menționate mai sus, BCR prelucrează datele pe care Clientul le furnizează în mod direct, inclusiv date despre membrii familiilor sau despre beneficiari ai plăților inițiate de Clienți, precum și date pe care BCR le generează pe baza acestora sau le consultă din alte surse, respectiv: date de contact colectate din interacțiunile Clientului cu BCR (spre exemplu date din Contact Center) sau obținute din alte surse (spre exemplu date de la terți în vederea recuperării integrale a creanțelor) cod identificare client, date de tranzacționare (tip, valoare, valută, dată tranzacție, datele Contului și/sau Cardului, persoane implicate în tranzacție, comportament tranzacțional), datele despre produsele și serviciile deținute de către client, imaginea, vocea și comportamentul captate prin intermediul înregistrărilor video sau audio, modul de interacțiune cu BCR și de utilizare a produselor, serviciilor și aplicațiilor BCR (spre exemplu,  interacțiunea cu aplicația specifică Serviciilor Bancare la Distanță (componentele Internet Banking și Mobile Banking), numărul de logări și timpul petrecut autentificat (logat), secțiunile și ecranele accesate), date privind relația de rudenie cu un angajat BCR, informații ce rezultă din neconformitățile semnalate de către orice persoană, gradul de risc alocat din perspectiva AML/CFT/KYC sau fraudă, precum și date ce rezultă din analizele efectuate de specialiștii noștri privind conformarea cu cerințele referitoare la prevenirea fraudelor în contextul inițierii sau monitorizării unei relații de afaceri date referitoare la dispozitivul utilizat de Client (adresa IP și MAC a telefonului mobil sau echipamentului utilizat și istoricul de localizare și autentificare, marcă/model, sistem operare și versiunea acestuia, poziționarea ATM-ului sau a dispozitivului POS), date obținute din bazele de date la care BCR are acces (date de contact și date privind creditele contractate și comportamentul de plată de la Biroul de Credit, Centrala Riscului de Credit, date privind cunoașterea clientelei și prezența în baze de date publicate de ONU, OFAC si/sau UE privind sanctiuni internaționale, liste de avertizare interne in scop de prevenire a fraudelor, lista cu persoane expuse public, RECOM, solicitări și informări de la autorități publice referitoare la anumite persoane, executori judecătorești, date de la ANAF privind veniturile și angajatorul, date de la DGEP și IGPR referitoare la cartea de identitate, date referitoare la litigii de pe Portaljust, informații solicitate și/sau primite de la organe de poliție, ONPCSB, BNR și parchete, precum și date solicitate de la DIICOT și DNA), profiluri create intern pe baza informațiilor furnizate de Client (spre exemplu, profilul investițional) sau prin combinarea datelor din mai multe surse (spre exemplu, scoringul intern aferent profilului de risc sau profilul de sănătate financiară).

3.2.     De asemenea, în anumite situații BCR prelucreaza date cu caracter personal aparținând persoanelor care tranzacționează cu Clienții (spre exemplu, numele, prenumele și detaliile Conturilor)  sau ale anumitor terți în legătură cu procesul de creditare (spre exemplu, datele de identificare și proprietate ale vânzătorului imobilului pentru care se solicită finanțare).

3.3.     Refuzul de a furniza datele cu caracter personal poate determina imposibilitatea furnizării Serviciilor Bancare, realizării Tranzacțiilor Bancare și/sau a îndeplinirii celorlalte scopuri de prelucrare de către BCR.

3.4.     Datele colectate în scopurile menționate la art. 14 de mai sus pot fi prelucrate în scopuri subsecvente, în măsura în care scopurile subsecvente sunt compatibile cu cele inițiale.

4.  PROCESE DECIZIONALE AUTOMATE

4.1.     Ce profiluri realizează BCR?

4.2.     În anumite situații BCR poate crea profiluri cu privire la persoana vizată și/sau să desfășoare procese decizionale automate pentru îndeplinirea scopurilor menționate în art. 14 de mai sus.

4.3.     Crearea de profiluri reprezintă prelucrarea automată a datelor persoanei vizate pentru a evalua sau analiza aspecte ce țin de persoana acestuia (preferințe, grad de îndatorare, comportament sau identificarea acesteia pe listele publice sau interne privind finantarea terorismului, spălarea banilor, fapte de natură penală sau fraude). Exemple de profilare pot fi reprezentate de: gradul de îndatorare al persoanei vizate care rezultă din interogările realizate în baza de date a Centralei Riscului de Credit; gradul de risc alocat din perspectiva fraudei sau a cunoasterii clientelei, prevenirii spălării banilor și combaterii finanțării terorismului, care, in anumite situatii, poate atrage refuzul sau restricționarea accesului la serviciile BCR.

4.4.     Nu în ultimul rând, BCR poate segmenta proprii Clienți în funcție de mai multe criterii (vârstă, zonă geografică, produs deținut, frecventa utilizarii Cardului sau a platformei George, deținerea unor produse de economisire, investiții sau creditare, venituri, tipuri de cheltuieli, industria în care activează etc.) pentru a îi clasifica în diverse categorii în scopuri de marketing și/sau în scop de analiză. Spre exemplu, BCR poate să ia în considerare datele de tranzacționare (numărul și valoarea tranzacțiilor, codul de industrie al beneficiarilor plăților cu Cardul, numărul și valoarea retragerilor de la Terminalele Automate Bancare, contribuțiile către Pilonul III, valoarea sumelor intrate în Conturi) și datele demografice (zona de rezidență urban/rural, vârstă) pentru a determina probabilitatea de a achiziționa un produs sau serviciu BCR (cum ar fi un Card de credit sau un produs intermediat de BCR).

4.5.     Ce procese decizionale automate implementează BCR?

4.6.     BCR poate derula procese decizionale automate care produc efecte juridice sau care pot afecta persoana vizată într-o măsură semnificativă în următoarele scopuri: (i) determinarea eligibilității de contractare a unui produs bancar prin aplicarea unor criterii eliminatorii automate, spre exemplu, înregistrarea unui grad de îndatorare prea mare prin raportare la veniturile deținute pentru obținerea unui credit sau verificarea gradului de risc de fraudă, situații în care persoanei vizate i se poate refuza acordarea/executarea Serviciilor Bancare și/sau (ii) monitorizarea tranzacțiilor (încasări/plăți) și, în cazul în care sunt identificate tranzacții suspecte (plăți care întrunesc din criterii din perspectiva frecvenței, valorii, locației (țară, oraș, IP) si a modelelor de fraudă sau potențiale fraude etc.), putem lua, de la caz la caz, măsuri pe baze automatizate (cum ar fi blocarea tranzacției suspecte – inclusiv transferurile de credit interbancar instant, blocarea cardului, blocarea contului, blocarea serviciului, etc.). Cu titlu de exemplu, vom putea bloca temporar o tranzacție inițiată de Client dacă aceasta este direcționată către un beneficiar sau un cont suspect sau care prezinta un risc de fraudă, determinat prin raportare la interacțiunile trecute, analizele interne și  comportamentul tranzacțional al Clientului.

4.7.     În ceea ce privește aceste procese decizionale automate întemeiate pe consimțământul Clientului sau pe necesitatea încheierii și/ sau executării Contractului, Clientul beneficiază, pe lângă drepturile menționate la clauza 8 de mai jos, și de următoarele drepturi: dreptul de a obține o intervenție umană; dreptul de a își exprima punctul de vedere; dreptul de a contesta decizia.