TGCA – Informare privind protecția datelor personale
1. Banca – operator
În vederea îndeplinirii scopurilor de prelucrare în legătura cu Documentația Contractuală, BCR poate să prelucreze date cu caracter personal aparținând Persoanelor Vizate, primite de la Client în vederea inițierii relațiilor de afaceri și/sau pe parcursul derulării acestora, fără a beneficia însă de modalitatea practică de a asigura în mod direct informarea acestor categorii de persoane. În acest context este responsabilitatea Clientului să informeze Persoanele Vizate cu privire la prelucrarea datelor lor cu caracter personal și să obțină consimțământul acestora privind prelucrarea datelor, în măsura în care este necesar, în vederea îndeplinirii condițiilor prevăzute de lege. Clientul confirmă în mod expres că va respecta obligația de informare a Persoanelor Vizate înainte de fiecare transmitere de date cu caracter personal către Bancă sau în relația cu Banca, pe întreaga durată de aplicare a Documentației Contractuale.
În acest sens, Clientul se obligă să furnizeze Persoanelor Vizate (anterior transmiterii către Bancă a datelor cu caracter personal ale acestora) prezenta informare.
În vederea prestării Serviciilor bancare contractate prin Documentația Contractuală, precum și în legătură cu această prestare, BCR prelucrează date cu caracter personal, în conformitate cu prevederile Regulamentului (UE) General privind Protecția Datelor nr. 679/2016 („GDPR”) prezenta informare din TCGA (care se completează cu prevederile din Politica privind Confidențialitatea) și la cerere, în orice Unitate Bancară, precum și în conformitate cu cerințele legislației subsecvente în materie. Datele cu caracter personal care sunt prelucrate de către BCR aparțin următoarelor categorii de persoane vizate: reprezentanți legali sau convenționali, precum și orice alte persoane fizice care reprezintă Clientul în relația cu Banca sau acționează în numele și/sau pe seama sa, inclusiv Reprezentanții Clientului, Împuterniciții pe Cont, asociații sau acționarii, direcți sau indirecți ai Clientului, precum și oricare alte persoane fizice implicate în activitatea Clientului, ale căror date cu caracter personal sunt transmise Băncii de către Client sau sub îndrumarea acestuia, Beneficiari Reali, Delegați, Gestionari, Garanți, Utilizatori ai Serviciilor bancare inclusiv Utilizatori de Carduri, Utilizatori administratori, Utilizatori autorizați precum și alte categorii de Utilizatori desemnați de Clienți, persoane de contact ale Clienților, și ale oricăror altor persoane ale căror date cu caracter personal sunt dezvăluite de Client pentru și în legătură cu derularea Documentației Contractuale (denumiți împreună în mod generic, în cele ce urmează, „Persoane Vizate”).
Scopurile pentru care se prelucrează datele cu caracter personal
În vederea îndeplinirii obligațiilor legale, BCR prelucrează datele cu caracter personal pentru colectare debite/recuperare creanțe, în vederea îndeplinirii obligațiilor BCR legate de supravegherea bancară efectuată asupra BCR și de raportare intra grup și/sau către autoritățile de supraveghere, respectarea cerințelor prudențiale naționale și europene aplicabile instituțiilor de credit, inclusiv pentru conformarea cu normele legale aplicabile în domeniul bancar în vederea respectării cerințelor de cunoaștere a clientelei, prevenirii activităților de spălare a banilor și combaterii finanțării terorismului, garantării secretului bancar prin analizarea, verificarea autenticității actului de identitate prezentat de Persoanele Vizate și a identității acestora și alocarea gradului de risc, executarea și îmbunătățirea serviciilor bancare, prin preluarea în sistemul informatic de evidență al BCR, a datelor conținute în actul de identitate, conform cerințelor legale aplicabile în materie, raportarea zilnică a tranzacțiilor conform legislației aplicabile, consultarea bazei de date a Centrala Riscului de Credit pentru Persoanele Vizate, în vederea prestării de servicii financiar-bancare de creditare, la solicitarea Clientului respectiv, în vederea ofertării Clientului cu astfel de produse, managementul riscului de creditare, al riscului strategic, administrării conflictelor de interes, gestionării calității datelor, gestionării controalelor din partea autorităților în ceea ce privește relația cu Clienții, gestionării relațiilor cu autoritățile publice sau cu alte persoane care prestează un serviciu public (executori judecătorești, notari etc.), prevenirea fraudelor, gestiune administrativ – financiară, audit intern, păstrarea/depozitarea (premergătoare arhivării) și arhivarea potrivit prevederilor legale ale Documentației Contractuale (inclusiv asigurarea operațiunilor conexe acestor activități), și/sau ale alor documente ce conțin date cu caracter personal, asigurarea securității în incintele BCR și ale Unităților Bancare, monitorizarea video a spațiilor și a bunurilor prin amplasarea de sisteme de supraveghere în vederea asigurării protecției bunurilor și valorilor conform legii, implementarea masurilor tehnice să asigure securitate a datelor cu caracter personal (inclusiv prin realizarea de copii de siguranță), managementul lichidităților, optimizării bilanțului și stabilirii prețurilor de transfer; managementul portofoliului.
Pentru îndeplinirea scopurilor mai sus-menționate, BCR se va baza în măsura în care este necesar, și pe interesul sau legitim în desfășurarea obiectului sau de activitate.
În vederea îndeplinirii intereselor legitime ale BCR, în contextul desfășurării obiectului sau de activitate, BCR prelucrează date cu caracter personal pentru reclamă, activități de marketing și publicitate, PR si comunicare, efectuarea de sondaje cu privire la serviciile bancare, activitatea BCR, a membrilor Grupului BCR și a terților parteneri contractuali, gestionarea reclamațiilor cu privire la serviciile bancare, statistică, implementarea unei linii interne de raportare a neconformităților sesizate de către orice persoane în legătură cu serviciile financiar - bancare oferite, prevenirea fraudelor, cunoașterea clientelei, prevenirea și combaterea spălării banilor și a finanțării terorismului prin analizarea/verificarea autenticității actului de identitate prezentat pentru operațiuni a căror limită valorică nu atinge limitele prevăzute de legislația incidentă, îmbunătățirea Serviciilor bancare furnizate prin îmbunătățirea fluxurilor, politicilor și procedurilor interne, managementul lichidităților, optimizării bilanțului și stabilirii prețurilor de transfer, constatarea, exercitarea sau apărarea unor drepturi ale BCR și/sau ale entităților din cadrul Grupului BCR în instanță, precum și constituirea de probe în acest sens, managementul portofoliului și managementul riscului (inclusiv, dar fără a se limita la identificarea, la nivelul societăților afiliate BCR, a grupurilor de Clienți aflați în legătură), asigurări și reasigurări, precum și pentru proiectarea, dezvoltarea, testarea și utilizarea sistemelor informatice existente sau noi și a serviciilor IT (inclusiv stocarea bazelor de date în țară sau în străinătate), prezentarea serviciului de acceptare la plată furnizat de partenerii BCR și transmiterea către acesta a datelor de contact în măsura în care există interes pentru acest serviciu, monitorizarea video pentru securitatea spațiilor și a bunurilor BCR în vederea prevenirii unor împrejurări de natura a afecta negativ BCR; înregistrarea audio a convorbirilor telefonice către / de la centralele telefonice BCR în vederea realizării anumitor cereri ori investigații solicitate de sau în legătură cu Clientul sau cu orice altă categorie de Persoană Vizată (de exemplu whistleblowing), a probării acestora față de Persoana Vizată sau în instanță în cazul unui litigiu, precum și pentru îmbunătățirea calității serviciilor și apelurilor; activități de contactare și gestionare a solicitării Serviciilor bancare prin intermediul Paginii de Internet.
În vederea încheierii și executării contractului dintre persoana vizată și BCR, (în cazul în care o persoană fizică este parte în contractul dintre Client și Bancă sau aceasta încheie un contract cu Banca, necesar pentru furnizarea serviciilor către Client – cum ar fi garantul sau situația în care Persoana Vizată acordă Băncii un mandat, respectiv acordul pentru consultarea bazei de date a CRC pentru Persoanele vizate, în vederea prestării de servicii financiar-bancare de creditare), Banca prelucrează datele cu caracter personal pentru executarea Documentației Contractuale, furnizarea Serviciilor bancare și gestionarea relației contractuale.
Categoriile de date cu caracter personal care sunt prelucrate de către BCR
În vederea îndeplinirii scopurilor de prelucrare menționate mai sus, BCR prelucrează datele cu caracter personal care îi sunt furnizate în mod direct, precum și datele pe care BCR le generează pe baza acestora, respectiv: cod identificare Client, date de tranzacționare, informații ce rezultă din neconformitățile semnalate de către orice persoană, date obținute de Bancă din registre sau documente accesibile publicului. Refuzul de a furniza datele cu caracter personal poate determina imposibilitatea furnizării serviciilor bancare și/sau a îndeplinirii celorlalte scopuri de prelucrare de către BCR.
Categorii de destinatari către care pot fi dezvăluite datele cu caracter personal
Pentru îndeplinirea scopurilor de prelucrare, BCR poate dezvălui datele cu caracter personal, cu respectarea prevederilor legale și convenționale privind păstrarea caracterului confidențial al acestora, către următoarele categorii de destinatari: reprezentanții legali, mandatarii, succesorii Persoanei Vizate, reprezentanții BCR, alte persoane fizice sau juridice care prelucrează datele personale în numele BCR (inclusiv mandatarilor de genul avocaților, consultanților, contabililor sau auditorilor), entitățile din Grupul BCR sau Erste, parteneri contractuali ai BCR și ai entităților din Grupul BCR sau Erste, împuterniciți ai BCR in ceea ce privește aspecte de protecția datelor, autoritatea judecătorească, autorități publice centrale inclusiv autorități de reglementare, autorități publice locale, organizații internaționale, furnizori de servicii și bunuri, societăți bancare, birouri de credit, agenți de colectare a debitelor/recuperare a creanțelor, societăți de asigurare și reasigurare, organizații profesionale, organizații de cercetare a pieței.
Durata prelucrării. Destinația ulterioară a datelor cu caracter personal
În vederea realizării scopurilor de prelucrare menționate, BCR va prelucra datele cu caracter personal pe durata îndeplinirii Serviciilor bancare, precum și ulterior în vederea conformării cu obligațiile legale aplicabile, inclusiv dispozițiile referitoare la arhivare. Este posibil ca, în urma împlinirii termenelor legale de arhivare, BCR sa dispună anonimizarea datelor, lipsindu-le astfel de caracterul personal și să continue prelucrarea datelor anonime pentru scopuri statistice.
Transferul datelor cu caracter personal în străinătate
În prezent, în vederea îndeplinirii scopurilor mai sus-menționate este posibil ca BCR să transfere anumite categorii de date cu caracter personal în afara României, în state din cadrul UE/ SEE: Austria, Cehia, Ungaria, Croația, Belgia, Germania, cât și în afara UE/SEE către Statele Unite ale Americii. Pentru transferurile în afara UE/SEE, BCR își va întemeia transferul datelor cu caracter personal pe baza clauzelor contractuale standard adoptate la nivelul Comisiei Europene sau alte garanții recunoscute de lege. Este posibil ca în derularea activităților sale, lista statelor de transfer mai sus-menționată să se modifice. Puteți obține o listă actualizată cu statele unde se transferă datele cu caracter personal pe Pagina de Internet la următorul link: https://www.bcr.ro/ro/persoane-fizice/informatii-utile/politica-privind-confidentialitatea (în sectiunea aferentă transferurilor de date).
Transferul datelor cu caracter personal în străinătate
Persoanele Vizate beneficiază de următoarele drepturi în contextul prelucrării datelor cu caracter personal: dreptul la informare, dreptul de acces la date, dreptul la rectificare, dreptul la ștergerea datelor („dreptul de a fi uitat”), dreptul la restricționarea prelucrării, dreptul la portabilitatea datelor, dreptul la opoziție, dreptul de a nu fi supus unei decizii individuale automate, și dreptul de a se adresa Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal sau instanțelor competente, în măsura în care consideră necesar. Aceste drepturi pot fi exercitate în condițiile stabilite de GDPR. Banca va analiza cererile primite și fie va da curs cererii (acolo unde condițiile legale de exercitare sunt îndeplinite), fie va semnala Persoanei Vizate că nu poate da curs cererii în cazul în care condițiile legale nu sunt îndeplinite, indicând motivul. Este posibil ca, în urma solicitării de ștergere a datelor, BCR să anonimizeze aceste date (lipsindu-le astfel de caracterul personal) și să continue în aceste condiții prelucrarea pentru scopuri statistice.
Pentru mai multe detalii cu privire la activitățile de prelucrare efectuate de către BCR, precum și cu privire la drepturile de care beneficiază, Persoanele Vizate se pot adresa responsabilului privind protecția datelor la următoarea adresa de email: dpo@bcr.ro.
2. Banca – persoană împuternicită a Clientului
BCR are calitatea de persoană împuternicită a Clientului pentru prelucrarea datelor persoanelor fizice în legătură cu furnizarea următoarelor produse/servicii: servicii plăți facturi/transfer în conturi prin toate canalele puse la dispoziție de către Bancă, Direct Debit, convenții privind plățile în numerar către persoane fizice fără cont.
În această calitate, BCR oferă garanții suficiente pentru punerea în aplicare a unor măsuri tehnice și organizatorice adecvate, astfel încât prelucrarea să respecte cerințele prevăzute de GDPR și să asigure protecția drepturilor Persoanelor Vizate, reprezentate de persoane aflate într-o relație contractuală cu Clientul pentru care BCR oferă produsele/serviciile menționate mai sus.
Clientul autorizează Banca pentru a recruta o altă persoană împuternicită fără a fi necesară o autorizație prealabilă, în vederea executării drepturilor și obligațiilor ce decurg din Documentația Contractuală.
În vederea îndeplinirii obligațiilor sale, Banca:
a) prelucrează datele cu caracter personal numai pe baza unor instrucțiuni documentate din partea Clientului și în conformitate cu Documentația Contractuală, inclusiv în ceea ce privește transferurile de date cu caracter personal către o țară terță sau o organizație internațională, cu excepția cazului în care această obligație îi revine Băncii în temeiul dreptului Uniunii sau al dreptului intern care i se aplică; în acest caz, notifică această obligație juridică Clientului înainte de prelucrare, cu excepția cazului în care dreptul respectiv interzice o astfel de notificare din motive importante legate de interesul public;
b) se asigură că persoanele autorizate să prelucreze datele cu caracter personal s-au angajat să respecte confidențialitatea sau au o obligație statutară adecvată de confidențialitate;
c) adoptă toate măsurile necesare în conformitate cu articolul 32 GDPR;
d) respectă condițiile menționate la art. 28 alin. (2) și (4) GDPR privind recrutarea unei alte persoane împuternicite de operator;
e) ținând seama de natura prelucrării, oferă asistență Clientului prin măsuri tehnice și organizatorice adecvate, în măsura în care acest lucru este posibil, pentru îndeplinirea obligației Clientului de a răspunde cererilor privind exercitarea de către Persoana Vizată a drepturilor prevăzute în capitolul III GDPR;
f) ajută Clientul să asigure respectarea obligațiilor prevăzute la art. 32-36 GDPR, ținând seama de caracterul prelucrării și informațiile aflate la dispoziția Băncii;
g) la alegerea Clientului, șterge sau returnează acestuia toate datele cu caracter personal după încetarea furnizării serviciilor legate de prelucrare, menționate la pct. 1 de mai sus, și elimină copiile existente, cu excepția cazului în care dreptul Uniunii sau dreptul intern impune stocarea datelor cu caracter personal;
h) pune la dispoziția Clientului toate informațiile necesare pentru a demonstra respectarea obligațiilor prevăzute la această secțiune B.2. (Banca – persoană împuternicită a Clientului), permite desfășurarea auditurilor, inclusiv a inspecțiilor, efectuate de Client sau alt auditor mandatat și contribuie la acestea, exclusiv prin corespondență scrisă și transmitere de documente. Pentru claritate, nu vor fi permise inspecțiile sau auditurile la sediul Băncii sau asupra angajaților Băncii.