Politica privind confidențialitatea datelor personale BCR, GDPR* și utilizarea datelor tale

1. Ce găsești aici?

Bine ai venit în centrul de informare privind protecția datelor al BCR – administratorul acestui website. Aici găsești informații despre prelucrarea și securitatea datelor tale. 

În funcție de calitatea ta, avem pregătite documente de informare dedicate atât clienților, reprezentanților, candidaților (vezi secțiunea 3), cât și partenerilor contractuali, colaboratorilor, altor terți (vezi secțiunea 4 și următoarele). În aceste informări explicăm de ce și cum prelucrăm datele tale personale. 

Dacă pentru început vrei doar o imagine de ansamblu, în secțiunea 2 poți găsi, pe scurt, principalele activități de prelucrare. Îți semnalăm însă că procesele variază în funcție de calitatea ta în relație cu banca și de produsul deținut (dacă ești client), astfel că pentru o informare completă trebuie să accesezi informarea care ți se potrivește din secțiunea 3.  

2. Cum prelucrăm datele tale, pe scurt

Deși fiecare activitate de prelucrare are particularitățile ei în funcție de produs și calitatea persoanei, trebuie să știi că multe dintre temeiurile și scopurile pentru care utilizăm datele sunt comune:

  • Obligații legale de conformitate: dacă intri în orice relație de afaceri cu banca direct sau indirect, prin intermediul unei societăți/mandatar/orice altă formă de reprezentare, legea ne impune să facem anumite verificări de cunoaștere a clientelei din perspectiva riscului de spălare a banilor, finanțare a terorismului, frauda, sancțiuni internaționale sau verificări de ordin reputațional. De asemenea, datele tale pot fi supuse unor procese de auditare și raportare către autorități și către Grupul Erste (din care BCR face parte). Nu în ultimul rând, datele tale vor face obiectul unor procese de arhivare și asigurare a securității acestora, spre exemplu, prin realizarea de copii de siguranță. 
  • Interese legitime de prelucrare: în funcție de natura datelor, le vom analiza astfel încât să putem să îmbunătățim procesele și aplicațiile interne. Putem folosi datele tale și pentru a îți răspunde la solicitări (dacă nu avem alt temei aplicabil). De asemenea, în anumite cazuri vom păstra datele o perioadă suficientă de timp pentru a putea justifica acțiunea într-o dispută sau un litigiu sau pentru scop statistic.  
  • Dacă ai o relație de afaceri cu BCR: pentru executarea oricărui contract este nevoie să utilizăm datele tale pentru a putea să te contactăm și să colaborăm. dacă BCR îți furnizează produse/servicii, trebuie să prelucrăm datele tale de client pentru a putea asigura serviciul respectiv (cum ar fi datele din George, Moneyback sau datele în legătură cu creditul tău – valoare, status plăți, garanții etc). Pentru credite, vom face verificări suplimentare automate pentru a îți determina eligibilitatea; vom analiza inclusiv veniturile tale înregistrate la ANAF, datele privind comportamentul de plată de la Biroul de Credit (BC) și datele privind garanțiile furnizate. Pentru produsele de investiții, vom utiliza, în principal, datele privind operațiunile tale. 
  • Dacă ne furnizezi servicii, va trebui să utilizăm datele furnizate de tine precum și date în legătură cu accesul tău la infrastructura BCR (calculatoare, cartele de acces, sisteme CCTV, sisteme informatice – acestea fiind monitorizate).
  • Marketing: derulăm activități și campanii de marketing, în principiu, doar cu clienții noștri și doar dacă și-au dat un acord în acest sens. Pentru clienții persoane fizice oferim și posibilitatea primirii de oferte croite pe profilul acestora, dacă primim un acord în acest sens. Dacă alegi să ne oferi aceste acorduri, le poți retrage în orice moment. De asemenea, BCR organizează concursuri și tombole deschise pentru diverse categorii de persoane (prospecți, clienți, parteneri etc.) care implică prelucrări de date. Înscrierea presupune aderarea la un regulament unde poți accesa și informații privind prelucrarea datelor. 

Alte aspecte de interes:

  • Ca orice societate cu multe activități de prelucrare, avem furnizori și parteneri care ne ajută cu prelucrarea datelor tale, cum ar fi stocarea datelor, transmiterea de notificări sau mentenanța aplicațiilor. Prin urmare, pe lângă destinatarii față de care avem obligații de raportare, datele tale pot ajunge sau pot fi accesate și de acești furnizori și parteneri – aceștia își asumă obligații contractuale stricte în ceea ce privește utilizarea, confidențialitatea și securitatea datelor. De asemenea, furnizorii și partenerii aleși de bancă trec printr-un proces de screening și iau parte, în mod aleatoriu, la procese de auditare. Unii destinatari sunt localizați sau au servere localizate în afara României, astfel că datele tale pot ajunge și în alte state din UE/SEE. În anumite situații particulare, datele pot fi transferate în afara UE/SEE, spre exemplu în SUA, în cazul transferurilor prin intermediul SWIFT. 
  • În funcție de calitatea și relația ta cu BCR, vom stoca datele conform standardelor de retenție a datelor, termenele fiind diferite (majoritatea variază între 3 ani și 10 ani – de la încheierea exercițiului financiar al anului în care a încetat relația de afaceri), în funcție de categoriile de date și cerințele legale. Atenție, însă, în unele cazuri termenele încep să curgă în funcție de închiderea relației de afaceri cu banca, adică de la ultima ta interacțiune sau utilizare a serviciilor/produselor BCR.
  • Securitatea datelor este o preocupare constantă a BCR, ea fiind asigurată pe tot parcursul activităților de prelucrare (colectare, stocare, utilizare, transfer) luând în considerare contextul prelucrării respective. În acest sens, implementăm măsuri tehnice și organizatorice pentru protecția împotriva accesării neautorizate, prelucrării neautorizate sau ilegale, precum și împotriva pierderii, distrugerii sau deteriorării accidentale a datelor personale. Masurile sunt menite să asigure confidențialitatea, integritatea și disponibilitatea datelor tale. Obligațiile privind asigurarea confidențialității și securității datelor personale sunt aplicabile angajaților și împuterniciților noștri care accesează și utilizează aceste date pentru noi.
  • GDPR îți asigură anumite drepturi pe care le poți exercita, care însă nu sunt absolute: acces, ștergere, rectificare, restricționare, dreptul de a formula plângere la ANSPDCP.

3. Note de informare dedicate

Dacă ești client sau reprezentant al clientului avem documente de informare privind prelucrarea datelor dedicate pentru tine în funcție de produs:

  • Dacă deții credite (inclusiv informare Biroul de Credit) – aici
  • Dacă deții produse de investiții – aici
  • Dacă deții conturi curente sau alte produse/servicii – aici
  • Dacă faci tranzacții ocazionale – aici
  • Dacă te afli în relație contractuală cu o companie, client BCR – aici

Dacă ești candidat pentru una din pozitțiile deschise în cadrul BCR găsești documentul de informare dedicat aici.

Nu în ultimul rând, în cadrul serviciilor digitale George vei găsi informări specifice. 

4. Informare privind protecția datelor pentru parteneri contractuali, colaboratori și alți terți

În funcție de calitatea pe o ai (partener contractual, colaborator, terț), BCR prelucrează datele tale în scopuri și temeiuri diferite, după cum urmează:

5. Ce date prelucrăm?

Pe lângă datele furnizate de tine direct sau indirect, prin reprezentanți, prelucrăm mai multe categorii de date, după cum urmează:

  • Date rezultate din procesul de cunoaștere a clientelei, prevenirea spălării banilor și a finanțării terorismului (KYC/AML) – inclusiv profil de risc, date de identificare și contact, date privind calitatea avuta în anumite societăți, angajator, date privind expunerea publică a ta sau a rudelor apropiate – dacă îndepliniți anumite funcții cu expunere publică;
  • Date rezultate din listele menținute de ONU, OFAC și UE cu sancțiuni internaționale și din consultarea bazelor de date publice, precum RECOM și Portaljust;
  • Date rezultate din adresele de avertizare sau de solicitare informații de la autorități (Poliție, Parchet, Oficiul de Spălare a Banilor – ONPCSB, BNR);
  • Date privind administrarea conflictelor de interese (interese sau relație de rudenie cu un angajat sau reprezentant al Grupului BCR) 
  • Date rezultate din consultarea listelor de avertizare cu fraudulenți și a bazelor de date interne privind interacțiunile avute cu BCR/Grupul BCR;
  • Imaginea și vocea dacă ești surprins de camerele CCTV instalate în unitățile teritoriale și sediile BCR sau dacă discuți cu noi prin apel înregistrat; 
  • Date rezultate din particularitățile relației de afaceri cu BCR, inclusiv date din corespondente,  date rezultate din prestarea serviciilor și monitorizarea statusului relației de afaceri etc.);

Refuzul de a furniza datele cu caracter personal poate determina imposibilitatea furnizării serviciilor bancare sau îndeplinirii celorlalte scopuri de prelucrare de către BCR.

6. Profilări și procese decizionale automate

Ce profilări realizează BCR?

În funcție de calitatea deținută, BCR poate crea profile pornind de la datele tale sau să desfășoare procese decizionale automate în ceea ce te privește pentru îndeplinirea scopurilor menționate în prezenta Politică.

Crearea de profile reprezintă prelucrarea automată a datelor tale pentru a evalua sau analiza aspecte ce țin de persoana ta, cum ar preferințe (cum ar fi cele din aplicațiile BCR), grad de îndatorare sau comportament tranzacțional. Un alt exemplu de profilare este reprezentat de încadrarea într-un grad de risc din perspectiva spălării banilor, finanțării terorismului și sancțiunilor internaționale. De asemenea, utilizarea de cookie-uri poate presupune crearea de profile cu privire la utilizatorii website-ului utilizate în scop de analiză a traficului sau în scop de marketing.  

Ce procese decizionale automate implementează BCR?

Procesele decizionale automate sunt reglementate de art. 22 din GDPR și se referă la decizii luate de BCR fără intervenția substanțială a unui factor uman și care pot produce efecte juridice sau care vă pot afecta în mod similar într-o măsură semnificativă. Cu titlu de exemplu, BCR folosește:

  • Determinarea eligibilității de contractare a unui produs bancar prin aplicarea unor criterii eliminatorii automate, cum ar fi, înregistrarea unui grad de îndatorare prea mare prin raportare la veniturile deținute pentru obținerea unui credit;
  • Verificarea persoanelor în listele de sancțiuni internaționale pentru a vedea dacă se poate iniția o relație de afaceri cu acestea. 

În ceea ce privește aceste procese decizionale automate întemeiate pe consimțământul tău sau pe necesitatea încheierii sau executării unui contract, beneficiezi, pe lângă drepturile menționate mai jos, și de următoarele drepturi: dreptul de a obține intervenție umană; dreptul de a vă exprima punctul de vedere; dreptul de a contesta decizia. Aceste drepturi pot fi exercitate formulând o solicitare în acest sens în orice sucursală BCR sau scriind la dpo@bcr.ro.

7. Destinatarii datelor

BCR poate să dezvăluie anumite categorii de date cu caracter personal către următoarele categorii de destinatari: reprezentanții tăi sau ai BCR, entitățile din Grupul BCR și Erste, autorități judecătorești sau alte autorități publice de orice tip, organizații internaționale, furnizorii de servicii și bunuri, societăți bancare, agenți de colectare a debitelor sau recuperare a creanțelor (inclusiv (potențiali) cesionari ai creanțelor deținute de BCR), societăți de asigurare și reasigurare, organizații profesionale, organizații de cercetare a pieței, angajatorului tău ca urmare a raporturilor juridice existente între acesta și BCR, alți parteneri contractuali sau împuterniciți ai BCR.

8. Transferul datelor cu caracter personal

Este posibil ca BCR să transfere anumite categorii de date cu caracter personal în afara României, în state din cadrul SEE: Austria, Cehia, Ungaria, Croația, Belgia, Germania, cât și în afara SEE către Statele Unite ale Americii și Regatul Unit al Marii Britanii. Pentru transferurile în afara SEE, BCR își va întemeia transferul datelor cu caracter personal pe baza clauzelor contractuale standard adoptate la nivelul Comisiei Europene (alături de alte măsuri suplimentare de protecție, atunci când este cazul) sau alte garanții recunoscute de lege (precum deciziile de adecvare – cum este cazul transferului de date în Regatul Unit al Marii Britanii).

Este posibil ca în derularea activităților sale, statele de transfer să se modifice, caz în care lista de mai sus va fi actualizată.

9. Durata prelucrării datelor

BCR va prelucra datele cu caracter personal pe durata îndeplinirii scopurilor precizate mai sus, precum și ulterior în vederea conformării cu obligațiile legale aplicabile, inclusiv, dar fără limitare la, dispozițiile referitoare la obligația de arhivare și cu interesele legitime ale BCR. Este posibil ca, în urma îndeplinirii termenelor legale de arhivare, BCR să dispună anonimizarea datelor, lipsindu-le astfel de caracterul personal și să continue prelucrarea datelor anonime pentru scopuri statistice.

10. Acorduri de marketing și profilare

BCR derulează activități de marketing ce presupun prelucrări de date, în principiu, doar cu clienții noștri și doar dacă și-au dat un acord în acest sens. Pentru clienții persoane fizice oferim și posibilitatea primirii de oferte croite pe profilul acestora.

Acordurile pot fi oferite la contractarea produselor/serviciilor noastre, la actualizarea datelor sau oricând pe parcursul derulării relației de afaceri. Trebuie să știi că aceste acorduri pot fi retrase în orice moment, efectul fiind pentru viitor, adică prelucrările anterioare nu sunt afectate. 

Prin activitățile de marketing îți oferim informări personalizate privind produsele/serviciile Grupului BCR și Erste în condițiile acordurilor de mai jos:

  • marketing prin intermedierea/ promovarea celor mai potrivite produse și servicii BCR, ale Grupului BCR, ale partenerilor și ale grupului Erste** (cum ar fi, credite, produse de asigurare, pensii facultative, produse de leasing financiar/operațional, investiții și/sau economisire, soluții de finanțare pentru tine și afacerea ta), inclusiv transmiterea de către BCR a unor comunicări comerciale în acest scop prin e-mail, SMS, mesaje prin George sau alte mijloace electronice ce pot să nu implice un operator uman
  • analize aprofundate pentru personalizarea ofertelor de produse și servicii ale Grupului BCR/ERSTE, inclusiv prin utilizarea și combinarea datelor deținute de Grupul Erste/BCR (inclusiv date privind tranzacțiile, plățile sau încasările făcute prin intermediul BCR, date privind produsele deținute la Grupul BCR/ERSTE sau pentru care BCR a acționat ca intermediar, date rezultate din modul de utilizarea a serviciilor noastre precum George sau Moneyback, date rezultate din consultarea bazelor de date interne, externe si/sau a platformelor online, cum ar fi datele de la Registrul Comerțului legate de calitatea deținută în anumite societăți, date de la Biroul de Credit, ANAF si/sau Centrala Riscului de Credit, date privind contribuțiile, sursa veniturilor și angajatorul, datele legate de interacțiunile tale cu BCR și istoricul relației tale, sau a unei societăți în care ai avut calitatea de asociat/acționar sau administrator cu BCR sau cu societăți din grupul BCR/ERSTE etc.),

Exemple: crearea de oferte personalizate privind produsele de investiții sau economisire pornind de la datele de tranzacționare, datele demografice și produsele deținute în grupul BCR; recomandarea utilizării serviciului direct debit în urma achitării unei facturi la POS; recomandarea activării Moneyback pe baza plăților efectuate către operatori care au oferte active în platformă, transmiterea de oferte de creditare pentru o societate administrată de tine.

**În baza acordului poți primi comunicări BCR privind produsele următoarelor societăți din grup/partenere: BCR Pensii Societate de Administrare a Fondurilor de Pensii Private SA, BCR Leasing IFN SA,  BCR Banca pentru Locuințe, BCR Asigurări de Viață Vienna Insurance Group SA, Omniasig Vienna Insurance Group, BCR Fleet Management SRL, BCR Social Finanace IFN SA.

11. Utilizarea modulelor de tip cookie-uri

Acest site utilizează cookie-uri. Dacă dorești o experiență personalizată pe website-urile BCR, poți face asta acceptând utilizarea modulelor cookie. Mai multe detalii privind aceste module și modul în care sunt folosite găsești aici.

12. Securitatea datelor

BCR acordă o importanță sporită datelor tale cu caracter personal. Securitatea datelor se asigură pe tot parcursul activităților de prelucrare (colectare, stocare, utilizare, transfer) luând în considerare contextul prelucrării respective. În acest sens, implementăm măsuri tehnice și organizatorice pentru protecția împotriva accesării neautorizate, prelucrării neautorizate sau ilegale, precum și împotriva pierderii, distrugerii sau deteriorării accidentale a datelor personale.

Măsurile sunt menite să asigure confidențialitatea, integritatea și disponibilitatea datelor tale. Obligațiile privind asigurarea confidențialității și securității datelor personale sunt aplicabile angajaților și împuterniciților noștri care accesează și utilizează aceste date pentru noi.

13. Drepturile tale

  • Dreptul de informare: cu privire la activitățile de prelucrare efectuate de către BCR;
  • Dreptul de acces la date: poți solicita și primi o confirmare de la BCR cu privire la prelucrările de date (ce date prelucrăm și în ce scop, unde și cât timp le stocăm, cine are acces la ele etc.);
  • Dreptul de rectificare: a datelor inexacte, precum și completarea datelor incomplete (exemplu: dacă ai schimbat numărul de telefon sau adresa de e-mail ne poți contacta pentru actualizarea acestor date);
  • Dreptul de ștergere: cu privire la o parte sau toate datele pe care le avem despre tine; 

Important! Nu vom putea da curs cererii în toate cazurile (exemplu: legea ne obligă să păstrăm datele o anumită perioadă; datele ne sunt utile pentru un interes legitim sau pentru apărarea unui drept în instanță);

  • Dreptul la restricționare: poti solicita să nu utilizăm datele tale ci doar să le stocăm până la rezolvarea unei alte solicitări din partea ta și anume:
    • ai cerut rectificarea datelor;
    • te-ai opus ștergerii datelor în situația unei prelucrări ilegale;
    • ai solicitat să îți furnizăm anumite date pentru apărarea unui drept;
    • te-ai opus prelucrării datelor - a se vedea dreptul de opoziție de mai jos.
  • Dreptul la portabilitate: poti cere ca datele tale să îți fie furnizate pe un suport utilizat în mod curent, într-un format ușor de citit (exemplu: prin e-mail). De asemenea, poti cere ca datele tale să fie trimise către un alt operator; 
  • Dreptul la opoziție: te poți opune prelucrărilor de date derulate pe baza interesului legitim al BCR; 

Important! Vom da automat curs cererii doar pentru prelucrările realizate în scop de marketing direct (exemplu: dacă primesti e-mailuri cu reclame de la BCR ne poți solicita dezabonarea). În celelalte cazuri, vom pune în balanță interesele noastre și respectiv situația ta particulară pentru a lua o decizie finală. De aceea, recomandăm, ca pentru o soluționare rapidă, să ne explici de ce te opui prelucrării atunci când formulezi cererea.

  • Drepturile privind procesul decizional automatizat: ca regulă, ai dreptul de a nu fi supus unei decizii automate, dacă aceasta produce efecte juridice asupra ta sau te afectează similar, într-o măsură semnificativă (exemplu: refuzul automat de a încheia un contract cu tine, bazat pe o prelucrare de date). 

Important! În anumite situații, legea ne permite să luăm astfel de decizii atunci când avem acordul tău sau dacă decizia este luată în baza executării contractului pe care l-am încheiat sau pentru realizarea interesului nostru legitim. În aceste situații, vei avea dreptul să contești decizia, să-ți exprimi punctul de vedere și să obții o verificare din partea unui factor uman. De asemenea, sunt situații în care legea ne obligă să implementăm asemenea procese decizionale automatizate.

  • Dreptul la retragerea consimțământului: atunci când prelucrăm datele pe baza consimțământului tau. 

Important! Retragerea consimțământului va avea efect doar pentru viitor. Prelucrările efectuate în alt temei, cum ar fi executarea contractului, nu vor fi afectate de retragere.

  • Dreptul de a formula plângere: dacă ești nemulțumit/ă, te poți adresa oricând Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal sau instanțelor competente.

În măsura în care formulezi o solicitare privind oricare dintre drepturile de mai sus, te rugăm să ne furnizezi detaliile necesare pentru ca BCR să poată identifica dreptul exercitat și îndeplinirea condițiilor de exercitare impuse de lege. Cu titlu de exemplu, în măsura formulării unei cereri de opoziție privind anumite prelucrări derulate de BCR în baza interesului legitim al băncii, te rugăm să ne furnizezi și informații legate de situația ta particulară astfel încât BCR să poată realiza evaluarea cerută de lege.

Exercitarea drepturilor

Pentru mai multe detalii cu privire la activitățile de prelucrare efectuate de către BCR, precum și cu privire la exercitarea drepturilor de care beneficiezi în acest context, ne poți contacta oricând utilizând următoarele canale de comunicare:

1. Solicitare adresată responsabilului BCR privind protecția datelor la dpo@bcr.ro – canal dedicat aspectelor privind protecția datelor cu caracter personal;

2. Solicitare prin Info BCR (24/7) la 0800.801.BCR (0800.801.227), apel gratuit din orice reţea naţională, sau la contact.center@bcr.ro;

3. Utilizând formularul de solicitări protecția datelor de pe website-ul BCR, secțiunea Politica privind confidențialitatea, utilizând credențialele de internet banking;

4. Prin poștă, la sediul nostru, sau în unitățile teritoriale;

5. Prin Portalul Biroului de Credit.

În cazul în care dorești să-ți exerciți oricare dintre drepturile de care beneficiezi conform politicii, îți aducem la cunoștință faptul că avem obligația autentificării tale. Autentificarea este o procedură prin care identitatea ta este verificată și confirmată de BCR prin adresarea unor întrebări specifice, pentru a ne asigura că informațiile nu sunt solicitate sau dezvăluite de către persoane neautorizate. De aceea, după ce ne transmiți solicitarea ta, în funcție de canalul prin care alegi să ne contactezi, va trebui făcută autentificarea, după cum urmează:

  • Dacă te afli într-o unitate teritorială sau ne contactezi telefonic, autentificarea se va face pe loc, de reprezentantul BCR;
  • Dacă ne contactezi pe e-mail sau prin poștă, vei fi sunat de un reprezentant BCR care te va trece prin fluxul de autentificare descris mai sus;
  • Pentru solicitările adresate prin formularul de contact de pe website, secțiunea Politica privind confidențialitatea, autentificarea se face doar la și pentru conectarea în aplicația de internet banking, prin parolă, amprentă, cod PIN etc., conform setărilor alese de tine;
  • Pentru solicitările adresate prin portalul Biroului de Credit, autentificarea se realizează la momentul creării contului de utilizator în portal, conform instrucțiunilor ce pot fi accesate la următorul link: https://www.birouldecredit.ro/wps/portal/bcro/Home/user-enrollment

14. Alte informații utile

Este posibil să actualizăm informările și secțiunile din politică. Prin consultarea frecventă a acestui website, te asiguri că știi activitățile de prelucrare întreprinse de către BCR.

Website-ul BCR poate include link-uri către alte website-uri care sunt gestionate de alte entități. Prelucrarea datelor pe aceste website-uri nu este controlată de BCR, fiind guvernată de politicile de confidențialitate valabile pentru fiecare website în parte.

***

În măsura în care aveți sugestii privind prezenta Politica de Confidențialitate, vă încurajăm să transmiteți aceste sugestii la dpo@bcr.ro.