Informare GDPR – Conturi curente și alte produse

1. Persoane vizate. Definiții

1.1.  Pentru scopurile acestei secțiuni, persoanele vizate sunt Clientul (chiar după încetarea furnizării Serviciilor Bancare), Împuterniciții, Utilizatorii, mandatarii, tutorii, curatorii, Coplătitori (codebitorii), garanții și fidejusorii, beneficiarii reali, succesorii legali sau convenționali ai acestora, orice clienți potențiali și membrii familiilor acestora. Dacă nu dețin altă calitate în relația cu BCR, datele membrilor familiei sunt prelucrate în scopuri de cunoaștere a clientelei (în special dacă membrii familiei sau Clientul sunt persoane expuse politic). În cazul solicitării unui credit (inclusiv simulare) se vor prelucra și datele soțului Clientului în scop de cunoaștere a clientelei precum și în vederea îndeplinirii obligațiilor prudențiale privind administrarea riscului de creditare și analiza bonității grupului de clienți.

1.2. În ceea ce privește prelucrările datelor cu caracter personal aparținând membrilor de familie ai Clientului, beneficiarilor reali și/sau a persoanelor împuternicite de către Client, având în vedere că, din punct de vedere practic, BCR nu are cum să asigure în mod direct informarea acestor categorii de persoane, este obligația Clientului să informeze persoanele în cauză cu privire la prelucrarea datelor lor cu caracter personal prin punerea la dispoziție a acestei note de informare.

1.3. Prelucrarea datelor cu caracter personal reprezintă orice operațiune sau set de operațiuni, care se efectuează asupra datelor cu caracter personal, prin mijloace automate sau neautomate.

1.4. Scopurile de prelucrare sunt aplicabile în funcție de produsul sau serviciul contractat.  

2. Scopuri în care se prelucrează datele cu caracter personal

1.1.  BCR prelucrează datele cu caracter personal în baza prevederilor Regulamentului (UE) 2016/679 („Regulamentul” sau „GDPR”) și a legislației aplicabile, în calitate de operator de date cu caracter personal.

1.2.  Îndeplinirea obligațiilor legale ale BCR pentru următoarele scopuri: îndeplinirea  obligațiilor de prudență bancară (inclusiv aplicarea obligațiilor din Regulamentul BNR nr. 5/2013 privind cerințele prudențiale pentru instituțiile de credit și a PSD2) după cum urmează: luarea unor măsuri pentru prevenirea riscurilor de fraudă conform cerințelor legale și standardelor în domeniu, inclusiv prin mijloace automate de analiză (inclusiv prin analizarea comportamentului tranzacțional, specificațiilor dispozitivului mobil utilizat pentru efectuarea plăților din perspectiva aplicațiilor utilizate și a componentelor hardware, detalii privind locația inițierii plății, plăți care întrunesc din perspectiva frecvenței, valorii, locului (țara, oraș) modele de fraudă sau potențiale fraude etc.), garantarea secretului bancar, alocarea gradului de risc și profilare în vederea managementul riscului și al categoriilor de clienți, administrarea eficientă a riscului de fraudă prin menținerea unei liste de avertizare în care sunt documentate încercările și suspiciunile de fraudă precum și atenționările de la autorități publice, verificarea bazelor de date internaționale de risc menținute de ONU, OFAC și UE legate de sancțiuni internaționale, raportarea zilnică a tranzacțiilor conform legislației aplicabile, prevenirea și administrarea conflictelor de interes, gestionarea controalelor din partea autorităților; îndeplinirea obligațiilor de supraveghere bancară efectuată asupra BCR și grupului Erste și de raportare către grupul Erste sau către autoritățile de supraveghere (ANAF, ONPCSB, ASF, BNR), audit intern, îndeplinirea formalităților de autentificare potrivit PSD2, determinarea eligibilității pentru contractarea unui produs, asigurarea măsurilor specifice unui comportament corespunzător de prudență bancară atât la nivelul instituției de credit cât și la nivel de grup;

(ii) obligații prudențiale ce țin de procesul de creditare (inclusiv în aplicarea obligațiilor din Regulamentul BNR nr. 5/2013 privind cerințele prudențiale pentru instituțiile de credit și Regulamentul BNR nr. 17/2012 privind unele condiții de creditare[1]): gestionarea riscului de creditare și managementul riscului strategic prin crearea unui profil al Clientului; evaluarea bonității în vederea furnizării unor produse de creditare (inclusiv în etapa de acordare/aprobare) prin crearea unui profil care ia în considerare indicatori precum evaluarea solvabilității, a riscului de creditare, a nivelului de venituri și a detaliilor ce țin de angajator și determinarea gradului de îndatorare; consultări în și raportări către baza de date a Centralei Riscului de Credit.

(ii) alte obligații: evaluarea comportamentului investițional prin crearea unui profil; managementul lichidităților, optimizării bilanțului și stabilirii prețurilor de transfer; managementul portofoliului; gestiune administrativ financiară; păstrarea/depozitarea (premergătoare arhivării) și arhivarea documentelor potrivit prevederilor legale a documentației contractuale (inclusiv asigurarea operațiunilor conexe acestor activități); raportări FATCA/CRS; asigurarea securității în incintele BCR și ale sucursalelor sale; monitorizarea video a spațiilor și a bunurilor prin amplasarea de sisteme de supraveghere în vederea asigurării protecției bunurilor și valorilor conform legii; implementarea măsurilor de actualizare și securitate a datelor cu caracter personal (inclusiv prin realizarea de copii de siguranță), asigurarea calității și securității datelor, gestionarea relațiilor cu autoritățile publice sau cu alte persoane care prestează un serviciu public (executori judecătorești, notari etc.), transmiterea datelor către ANAF pentru formalitățile de atribuire a numărului de identificare fiscală pentru nerezidenți. Pentru îndeplinirea scopurilor din prezenta secțiune BCR se va baza pe interesul legitim al operatorului de a eficientiza procesul acolo unde anumite prelucrări exced prevederile legale relevante.

1.3. Executarea obligațiilor legale și a interesului public pentru îndeplinirea obligațiilor și formalităților de cunoaștere a clientelei (inclusiv Legea nr. 129/2019, Regulamentul BNR nr. 2/2019) prevenirea a spălării banilor și combaterea finanțării terorismului, inclusiv prin analizarea/verificarea autenticității actului de identitate prezentat și a identității Clientului conform regulilor stabilite prin Clauza 8 și preluarea și stocarea informațiilor în sisteme BCR, monitorizarea gradului de risc și actualizarea datelor de identificare a Clienților, inclusiv în relația cu entitățile din grupul BCR sau din grupul Erste, cum ar fi BCR Pensii, SAFPP SA; BCR Banca pentru Locuințe SA, BCR Social Finance IFN SA, SAI Erste Asset Management SA atunci când Clientul deține calitatea de client al acestor entități.

1.4. Îndeplinirea intereselor legitime ale BCR, în contextul desfășurării obiectului de activitate, pentru următoarele scopuri: Implementarea unor mijloace ce permit oricărei persoane să semnaleze neconcordanțele sesizate în legătură cu Serviciile Bancare oferite de BCR; prevenirea și administrarea conflictelor de interese,  luarea unor măsuri pentru prevenirea riscurilor de fraudă conform cerințelor legale și standardelor în domeniu, inclusiv prin mijloace automate de analiză (inclusiv prin analizarea comportamentului tranzacțional, specificațiilor dispozitivului mobil utilizat pentru efectuarea plăților din perspectiva aplicațiilor utilizate și a componentelor hardware, detalii privind locația inițierii plății, plăți care întrunesc din perspectiva frecvenței, valorii și locului modele de fraudă sau potențiale fraude etc); analizarea/verificarea autenticității actului de identitate în scop de cunoaștere a clientelei pentru operațiuni de o valoare inferioară limitelor impuse de legislația incidentă; acordarea beneficiilor salariale și/sau asigurarea realizării plății drepturilor salariale ca urmare a raporturilor juridice existente între BCR și angajatorul Clientului (inclusiv transferul de date precum IBAN, nume, prenume); prelucrarea datelor în sistemul Biroului de Credit (interogarea datelor în scop de acordare credit/ofertare și monitorizare, transmiterea datelor către Biroul de Credit), utilizarea ulterioară a acestor date precum și a altor date colectate din surse externe în scop de administrare a riscului de credit până la recuperarea integrală a creanțelor, îmbunătățirea serviciilor bancare furnizate prin optimizarea fluxurilor, politicilor și procedurilor interne (inclusiv optimizarea costurilor și bugetelor prin activități de cost controlling); monitorizarea tranzacțiilor și contactarea Clientului în vederea prevenirii fraudelor, proiectarea, dezvoltarea, testarea și utilizarea sistemelor informatice existente sau noi și a serviciilor IT (inclusiv stocarea bazelor de date în țară sau în străinătate); monitorizarea video pentru securitatea spațiilor și a bunurilor BCR în vederea prevenirii unor împrejurări de natura a afecta negativ BCR; înregistrarea audio a convorbirilor telefonice către / de la centralele telefonice BCR în vederea realizării anumitor cereri ori investigații solicitate de sau în legătură cu Clientul sau cu orice altă categorie de persoană vizată (de exemplu whistleblowing), a probării acestora față de persoana vizată sau în instanță în cazul unui litigiu, precum și pentru îmbunătățirea calității serviciilor și apelurilor; activități de contactare și gestionare a solicitării serviciilor bancare prin intermediul Paginii de Internet; proiecte de fuziuni, achiziții și tranzacții similare; activități de marketing cu caracter general (de exemplu campanii de marketing, tombole, acordare de premii etc.), efectuarea de sondaje cu privire la Serviciile Bancare, activitatea BCR, a membrilor Grupului BCR și grupului Erste și a partenerilor contractuali, activități de profilare și segmentare, inclusiv evaluarea eligibilității în scop de analiză și/sau în vederea ofertării unor produse și Servicii Bancare standard sau personalizate (inclusiv prin consultarea datelor din interogările anterioare efectuate la Biroul de Credit și / sau Centrala Riscului de Credit sau prin crearea de profile sau analize prin raportare la datele de tranzacționare ale Clientului sau la istoricul relației acestuia sau a unei societăți în care Clientul a avut calitatea de asociat/acționar sau administrator cu BCR sau societăți din Grupul BCR/grupul Erste) – vom realiza această activitate în baza interesului nostru legitim numai atunci când legea ne permite, respectiv numai dacă prelucrarea nu produce efecte juridice asupra clientului sau nu îl afectează în mod similar într-o măsură semnificativă, gestionarea reclamațiilor primite privind serviciile bancare, inclusiv constatarea, exercitarea sau apărarea unor drepturi ale BCR și / sau ale subsidiarelor sale în instanță, precum și constituirea de probe în acest sens; transmiterea datelor către ROMCARD în vederea facilitării procesului de identificare și creare a contului online pe platforma Ghiseul.ro.

1.5.  În baza consimțământului furnizat de Client, pentru următoarele scopuri: (i) marketing prin intermedierea/promovarea celor mai potrivite produse și servicii BCR, ale Grupului BCR, ale partenerilor și ale grupului Erste (cum ar fi, credite, produse de asigurare, pensii facultative, produse de leasing financiar/operațional, investiții și/sau economisire), inclusiv transmiterea de către BCR a unor comunicări comerciale în acest scop prin e-mail, SMS, mesaje prin George sau alte mijloace electronice ce pot să nu implice un operator uman; (ii) analize aprofundate pentru personalizarea ofertelor de produse si servicii ale Grupului BCR/ERSTE, inclusiv prin utilizarea și combinarea datelor deținute de Grupul Erste/BCR (inclusiv date privind tranzacțiile, plățile sau încasările făcute prin intermediul BCR, date privind produsele deținute la Grupul BCR/ERSTE sau produse deținute la alte companii dar pentru care BCR a acționat ca intermediar, date rezultate din modul de utilizarea a serviciilor noastre (precum George sau Moneyback), date rezultate din consultarea bazelor de date interne, externe și/sau a platformelor online, cum ar fi datele de la Registrul Comerțului legate de calitatea deținută în anumite societăți, date de la Biroul de Credit, ANAF și/sau Centrala Riscului de Credit, date privind contribuțiile, sursa veniturilor și angajatorul, datele legate de interacțiunile dvs. cu BCR și istoricul relației dvs. sau a unei societăți în care ați avut calitatea de asociat/acționar sau administrator cu BCR sau cu societăți din grupul BCR/Erste (denumit Acord de Profilare) (spre exemplu, crearea de oferte personalizate privind produsele de investiții sau economisire pornind de la datele de tranzacționare, datele demografice și produsele deținute în grupul BCR; recomandarea utilizării serviciului direct debit în urma achitării unei facturi la POS; recomandarea activării Moneyback pe baza plăților efectuate către operatori care au oferte active în platformă). Vom avea nevoie de acest acord numai pentru profilările intruzive în scop de marketing pentru care legea impune consimțământul dvs. BCR poate realiza profiluri și pentru îndeplinirea unor obligații legale sau a intereselor legitime ale BCR ; (iii) accesarea datelor pe care le deține ANAF pentru a vă putea evalua eligibilitatea în vederea ofertării unor produse și servicii (acord obținut prin documente specifice potrivit cerințelor legale sau solicitării autorității, daca este cazul). Consimțământul exprimat cu privire la activitățile de prelucrare listate la, punctele (i) si (ii) de mai sus, poate fi retras în orice moment, fără a afecta legalitatea activităților de prelucrare efectuate înaintea retragerii. Consimțământul de la pct. (iii) este necesar pentru îndeplinirea formalităților în procesul de creditare, refuzul acordării acestuia ducând la imposibilitatea îndeplinirii unor formalități suplimentare de prezentare a unor documente, în cazul ANAF. 

1.6. În vederea încheierii și executării contractului dintre Client și BCR, pentru următoarele scopuri: Derularea oricăror raporturi juridice între BCR și Client, în vederea furnizării serviciilor financiar – bancare, inclusiv de online banking; gestionarea relației cu Clientul, îndeplinirea formalităților privind încheierea și executarea contractelor de creditare (transmiterea datelor la Biroul de Credit pe parcursul gestionării relației de creditare; evaluarea bunurilor ce se constituie garanție), transmiterea datelor și documentelor în vederea îndeplinirii formalităților cu FNGCIMM/FGCR/FEI; încheierea și executarea contractelor de garanție; contactarea angajatorului Clientului în vederea verificării calității de angajat a acestuia – în cazul veniturilor neînregistrate la ANAF; executarea în bune condiții a tranzacțiilor bancare, monitorizarea tuturor obligațiilor asumate de Client față de oricare dintre entitățile din Grupul BCR și grupul Erste, gestionarea calității datelor, incluzând transmiterea și/sau transferul de informații necesare în determinarea capacității de plată și a comportamentului de plată; colectarea de debite/recuperare creanțe (precum și activități premergătoare acestora, inclusiv activități de analiză și de transmitere a datelor negative la Biroul de Credit); încheierea și/sau executarea contractelor de asigurări și reasigurări (inclusiv pentru ca Clientul, în calitate de asigurat, să poată beneficia de asigurare în caz de producere a riscului asigurat); efectuarea sau procesarea operațiunilor de plăți prin sistemul SWIFT, inclusiv, dacă este cazul, transferul datelor cu caracter personal către SUA de către SWIFT; înregistrarea audio a apelurilor si convorbirilor telefonice către / de la centralele telefonice BCR în vederea realizării anumitor cereri, operațiuni, instrucțiuni; acorduri cu privire la servicii bancare ori investigații solicitate de Client si proba acestora fata de Client; acordarea beneficiilor salariale pentru Clienții care sunt salariați ai societăților din Grupul Erste (mai multe informații despre grupul ERSTE/BCR găsiți pe site-urile BCR și ERSTE); consultarea bazei de date a Centralei Riscului de Credit, în vederea prestării de servicii financiar-bancare de creditare (în cazul în care Clientul acordă BCR un mandat pentru acest scop).

3. Categorii de Date

1.1. În vederea îndeplinirii scopurilor de prelucrare menționate mai sus, BCR prelucrează datele pe care Clientul le furnizează în mod direct, inclusiv date despre membrii familiilor sau despre beneficiari ai plăților inițiate de Clienți, precum și date pe care BCR le generează pe baza acestora sau le consultă din alte surse, respectiv: date de contact colectate din interacțiunile Clientului cu BCR (spre exemplu date din Contact Center) sau obținute din alte surse (spre exemplu date de la terți în vederea recuperării integrale a creanțelor) cod identificare client, date de tranzacționare (tip, valoare, datele Contului și/sau Cardului), imaginea, vocea și comportamentul captate prin intermediul înregistrărilor video sau audio, date privind relația de rudenie cu un angajat BCR, informații ce rezultă din neconformitățile semnalate de către orice persoană, gradul de risc alocat din perspectiva KYC/ AML sau fraudă, precum și date ce rezultă din analizele efectuate de specialiștii noștri privind conformarea cu cerințele referitoare la prevenirea fraudelor în contextul inițierii sau monitorizării unei relații de afaceri, date obținute din bazele de date la care BCR are acces (date de contact și date privind creditele contractate și comportamentul de plată de la Biroul de Credit, Centrala Riscului de Credit, date privind cunoașterea clientelei și prezența în baze de date publicate de ONU, OFAC si/sau UE privind sancțiuni internaționale, liste de avertizare interne în scop de prevenire a fraudelor, lista cu persoane expuse public, RECOM, solicitări și informări de la autorități publice referitoare la anumite persoane, executori judecătorești, date de la ANAF privind veniturile și angajatorul), profiluri create intern pe baza informațiilor furnizate de Client (spre exemplu, profilul investițional) sau prin combinarea datelor din mai multe surse (spre exemplu, scoringul intern aferent profilului de risc).

1.2. De asemenea, în anumite situații BCR prelucrează date cu caracter personal aparținând persoanelor care tranzacționează cu Clienții (spre exemplu, numele, prenumele și detaliile Conturilor)  sau ale anumitor terți în legătură cu procesul de creditare (spre exemplu, datele de identificare și proprietate ale vânzătorului imobilului pentru care se solicită finanțare).

1.3. Refuzul de a furniza datele cu caracter personal poate determina imposibilitatea furnizării Serviciilor Bancare, realizării Tranzacțiilor Bancare și/sau a îndeplinirii celorlalte scopuri de prelucrare de către BCR.

Datele colectate în scopurile menționate mai sus pot fi prelucrate în scopuri subsecvente, în măsura în care scopurile subsecvente sunt compatibile cu cele inițiale.

4. Procese decizionale automate

Ce profiluri realizează BCR?

1.1. În anumite situații BCR poate crea profiluri cu privire la persoana vizată și/sau să desfășoare procese decizionale automate pentru îndeplinirea scopurilor menționate mai sus.

1.2. Crearea de profiluri reprezintă prelucrarea automată a datelor persoanei vizate pentru a evalua sau analiza aspecte ce țin de persoana acestuia (preferințe, grad de îndatorare, comportament sau identificarea acesteia pe listele publice sau interne privind finanțarea terorismului, spălarea banilor, fapte de natură penală sau fraude). Exemple de profilare pot fi reprezentate de: gradul de îndatorare al persoanei vizate care rezultă din interogările realizate în baza de date a Centralei Riscului de Credit; sau gradul de risc alocat din perspectiva fraudei sau a cunoașterii clientelei, prevenirii spălării banilor și combaterii finanțării terorismului, care, în anumite situații, poate atrage refuzul sau restricționarea accesului la serviciile BCR.

1.3. Nu în ultimul rând, BCR poate segmenta proprii Clienți în funcție de mai multe criterii (vârstă, zonă geografică, produs deținut, frecventa utilizării Cardului sau a platformei George, deținerea unor produse de economisire, investiții sau creditare, venituri, tipuri de cheltuieli, industria în care activează etc.) pentru a îi clasifica în diverse categorii în scopuri de marketing și/sau în scop de analiză. Spre exemplu, BCR poate să ia în considerare datele de tranzacționare (numărul și valoarea tranzacțiilor, codul de industrie al beneficiarilor plăților cu Cardul, numărul și valoarea retragerilor de la ATM, contribuțiile către Pilonul III, valoarea sumelor intrate în Conturi) și datele demografice (zona de rezidență urban/rural, vârstă) pentru a determina probabilitatea de a achiziționa un produs sau serviciu BCR (cum ar fi un Card de credit sau un produs intermediat de BCR).

Ce procese decizionale automate implementează BCR?

1.4. BCR poate derula procese decizionale automate care produc efecte juridice sau care pot afecta persoana vizată într-o măsură semnificativă în următoarele scopuri: (i) determinarea eligibilității de contractare a unui produs bancar prin aplicarea unor criterii eliminatorii automate, spre exemplu, înregistrarea unui grad de îndatorare prea mare prin raportare la veniturile deținute pentru obținerea unui credit sau verificarea gradului de risc de fraudă, situații în care persoanei vizate i se poate refuza acordarea Serviciilor Bancare; (ii) prelucrările derulate în baza Acordului de Profilare (spre exemplu, oferirea unui produs în baza unui profil creat cu informații din mai multe surse); (iii) monitorizarea tranzacțiilor și, în cazul în care sunt identificate tranzacții suspecte (plăți care întrunesc din perspectiva frecvenței, valorii, locației (țară, oraș) modele de fraudă sau potențiale fraude etc.), putem lua, de la caz la caz, măsuri pe baze automatizate (cum ar fi blocarea tranzacției suspecte, blocarea cardului, blocarea contului etc.).

1.5. În ceea ce privește aceste procese decizionale automate întemeiate pe consimțământul Clientului sau pe necesitatea încheierii și/sau executării Contractului, Clientul beneficiază, pe lângă drepturile menționate la pct. 8 de mai jos, și de următoarele drepturi: dreptul de a obține o intervenție umană; dreptul de a își exprima punctul de vedere; dreptul de a contesta decizia.

5. Destinatarii datelor

1.1. Pentru îndeplinirea scopurilor de prelucrare, BCR poate să dezvăluie o parte sau toate categoriile de date cu caracter personal către următoarele categorii de destinatari: Clientului sau reprezentanților Clientului, reprezentanților BCR, entităților din Grupul BCR și grupul Erste, instituțiilor/autorităților publice din România sau străinătate, organizațiilor internaționale, furnizorilor de servicii și bunuri, societăților bancare, birourilor de credit, agenților de colectare a debitelor sau recuperare a creanțelor (inclusiv cesionari ai creanțelor deținute de BCR față de Client), evaluatorilor, societăților de asigurare și reasigurare (inclusiv brokeri de asigurări), angajatorului Clientului ca urmare a raporturilor juridice existente între acesta și BCR, partenerilor BCR în legătură cu produsele și serviciile intermediate de BCR, furnizori de certificate digitale aferente semnăturilor digitale, organizațiilor de cercetare a pieței, evaluatori, notari, executori judecătorești precum și altor parteneri contractuali și împuterniciți ai BCR, care pot fi consultați exemplificativ pe Pagina de Internet.

1.2. În cazul în care Clientul beneficiază de produse și/sau servicii sau deține calitatea de client al unei entități din grupul BCR sau din grupul Erste, cum ar fi: BCR Pensii, SAFPP SA; BCR Banca pentru Locuințe SA, BCR Social Finance IFN SA și SAI Erste Asset Management SA atunci datele de identificare ale Clientului, împreună cu copii după actul de identitate, pot fi transmise către aceste entități în scopul prevenirii fraudelor, cunoașterii clientelei, prevenirii și combaterii spălării banilor și a finanțării terorismului. Acest lucru poate avea ca efect actualizarea datelor Clientului în bazele de date ale entităților din grupul BCR sau din grupul Erste.

6. Durata prelucrării. Destinația ulterioară a datelor

1.1.  În vederea realizării scopurilor de prelucrare menționate, BCR va prelucra datele cu caracter personal pe durata îndeplinirii Serviciilor Bancare, precum și ulterior în vederea conformării cu obligațiile legale aplicabile, inclusiv dispozițiile referitoare la arhivare și cu interesele legitime ale BCR. Este posibil ca, în urma îndeplinirii termenelor legale de arhivare, BCR să dispună anonimizarea datelor, lipsindu-le astfel de caracterul personal și să continue prelucrarea datelor anonime pentru scopuri statistice. Datele cu caracter personal vor fi stocate pe durata relației de afaceri și după finalizarea acesteia, în vederea conformării cu obligațiile legale aplicabile și politicile interne privind retenția, inclusiv a regulilor de arhivare, pentru duratele de stocare corespunzătoare, așa cum sunt menționate în Pagina de Internet, la secțiunea Politica privind confidențialitatea (secțiunea aferentă duratei de prelucrare). Spre exemplu, în situații precum cazul bazelor de date administrate în scop de marketing direct, durata prelucrării este influențată de retragerea acordului de marketing de către Client și de necesitatea demonstrării conformării cu cerințele legale. 

7. Transferuri de date în străinătate

1.1. În prezent, în vederea îndeplinirii scopurilor mai sus-menționate este posibil ca BCR să transfere anumite categorii de date cu caracter personal în afara României, în state din cadrul UE/ SEE: Austria, Cehia, Ungaria, Croația, Belgia, Germania, Regatul Unit al Marii Britanii, cât și în afara UE/SEE către Statele Unite ale Americii (în cazul transferurilor prin intermediul SWIFT). Pentru transferurile în afara UE/SEE, BCR își va întemeia transferul datelor cu caracter personal pe baza clauzelor contractuale standard adoptate la nivelul Comisiei Europene sau alte garanții recunoscute de lege.

1.2. Este posibil ca în derularea activităților sale, statele de transfer mai sus-menționate să se modifice. Clientul poate obține o listă actualizată cu statele unde se transferă datele cu caracter personal la secțiunea corespunzătoare din Politica de confidențialitate.

8. Drepturile persoanelor vizate

1.1. Persoanele vizate menționate la Clauza 13, beneficiază în calitatea acestora de persoane vizate, în condițiile prevăzute de legislația în domeniul prelucrării datelor cu caracter personal, de următoarele drepturi:

(a) Dreptul la informare: dreptul de a fi informat în legătură cu ce prelucrări derulează BCR;

(b) Dreptul de acces la date: posibilitatea de a solicita și primi o confirmare de la BCR cu privire la detaliile prelucrărilor de date (ce date prelucrează BCR și în ce scop, unde și cât timp sunt stocate, cine are acces la ele etc);

(c) Dreptul de rectificare: dacă datele pe care le utilizează BCR sunt inexacte sau incomplete, le puteți actualiza printr-o cerere (exemplu: dacă a intervenit schimbarea numărului de telefon sau a adresei de e-mail persoane vizată poate contacta BCR pentru a actualiza aceste date). Acest drept poate fi exercitat împreună cu cel de restricționare sau cu cel de opoziție.

(d) Dreptul de ștergere: posibilitatea de a solicita ștergerea unei părți sau a tuturor datelor pe care BCR le are despre persoana vizată. Important! BCR nu va putea da curs cererii în toate cazurile (exemple: legea obligă BCR să păstreze datele o anumită perioadă; datele sunt utile pentru un interes legitim urmărit de BCR precum apărarea unui drept în instanță);

(e) Dreptul la restricționare: posibilitatea de a solicita BCR să nu utilizeze datele, ci doar să le stocheze până la rezolvarea unei alte solicitări din partea persoanelor vizate și anume: s-a cerut rectificarea datelor; persoana vizată s-a opus ștergerii datelor în situația unei prelucrări ilegale; persoana vizată a solicitat furnizarea anumitor date pentru apărarea unui drept; persoana vizată s-a opus prelucrării datelor – a se vedea dreptul de opoziție de mai jos;

(f) Dreptul de portabilitate: persoana vizată are posibilitatea de a cere ca datele să îi fie furnizate pe un suport utilizat în mod curent, într-un format ușor de citat. De asemenea, persoana vizată poare cere ca datele să fie trimise către un alt operator. Important! BCR va da curs cererii doar pentru datele prelucrate anterior în baza consimțământului persoanei vizate sau pentru derularea contractului încheiat cu BCR și doar dacă datele sunt prelucrate prin mijloace automate (exemplu: se poate solicita transmiterea unui e-mail pe care persoana vizată l-a trimis anterior către BCR).

(g) Dreptul la opoziție: persoana vizată se poate opune prelucrărilor de date derulate pe baza interesului legitim urmărit de BCR. Important! Legea obligă BCR să dea curs cererii doar pentru prelucrările realizate în scop de marketing direct (exemplu: dacă persoana vizată primește e-mailuri cu reclame de la BCR aceasta poate solicita dezabonarea). În celelalte cazuri, BCR va pune în balanță interesele Băncii și respectiv situația particulară a persoanei vizate pe care aceasta o prezintă pentru a lua o decizie finală. De aceea, este recomandabil ca cererea de opoziție să fie însoțită și de motivele pentru care persoana vizată se opune prelucrării atunci când formulează cererea.

(h) Dreptul privind procesul decizional automatizat: ca regulă, persoana vizată are dreptul să nu fie supusă unei decizii automate, dacă aceasta produce efecte legale asupra acesteia sau o afectează similar, într-o măsură semnificativă (exemplu: refuzul automat de a încheia un contract cu persoana vizată, bazat pe o prelucrare de date). Important! În anumite situații legea acordă posibilitatea BCR să ia astfel de decizii atunci când BCR are acordul persoanei vizate sau dacă decizia este luată în baza executării contractului pe care BCR l-a încheiat cu acesta. În aceste situații, persoana vizată are dreptul să conteste decizia, să își exprime punctul de vedere și să obțină o verificare din partea unui factor uman. De asemenea, sunt situații în care legea obligă BCR  să implementeze asemenea procese decizionale automatizate. 

(i) Dreptul la retragerea consimțământului: dacă BCR prelucrează datele pe baza consimțământului persoanei vizate, aceasta își poate retrage oricând acordul. Important! Retragerea consimțământului va avea efect doar pentru viitor. Prelucrările efectuate în alt scop, cum ar fi executarea contractului, nu vor fi afectate de retragere.

(j) Dreptul de a formula plângere: dacă persoana vizată este nemulțumită, aceasta se poate adresa oricând Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal.

1.2. În cazul formulării unei cereri de exercitare drepturilor persoana vizată va furniza detalii necesare pentru ca BCR să poată identifica dreptul exercitat și îndeplinirea condițiilor de exercitare impuse de lege. Cu titlu de exemplu, în măsura formulării unei cereri de opoziție privind anumite prelucrări derulate de BCR în baza interesului legitim al Băncii, este recomandabil ca persoana vizată  să furnizeze și informații legate de situația particulară a acesteia astfel încât BCR să poată realiza evaluarea cerută de lege.

1.3. Este posibil ca, în urma solicitării de ștergere a datelor, BCR să anonimizeze aceste date (lipsindu-le astfel de caracterul personal) și să continue în aceste condiții utilizarea acestora pentru scopuri statistice.

Pentru mai multe detalii cu privire la activitățile de prelucrare efectuate de către BCR, precum și pentru mai multe informații cu privire la exercitarea drepturilor, ne puteți contacta oricând utilizând următoarele canale de comunicare: solicitare adresata responsabilului BCR privind protecția datelor la dpo@bcr.ro - canal dedicat aspectelor privind protecția datelor cu caracter personal; utilizarea serviciului de Contact Center prin apel telefonic sau la adresa contact.center@bcr.ro; utilizând formularul de solicitări protecția datelor de pe website-ul BCR, secțiunea Politica privind confidențialitatea, utilizând credențialele de internet banking; prin postă, la sediul nostru sau în unitățile teritoriale; prin Portalul Biroului de Credit.