Prelucrarea datelor cu caracter personal

Atât pentru procesarea cererii cât și pentru încheierea/executarea contractului, legea ne obligă să efectuăm, printre altele, verificări de cunoaștere a clientelei și de bonitate pentru care vom prelucra datele tale. Primele au ca scop identificarea clientului și prevenirea săvârșirii de infracțiuni (în special, spălare de bani, finanțare terorism, fraude) și se realizează prin verificarea istoricului tău cu Grupul BCR și prin consultarea surselor publice (ex. PortalJust), a informațiilor primite de la autorități publice (BNR, ONPCSB[1], Poliție, parchete etc.) și a bazelor de date ale organizațiilor internaționale precum ONU, UE și OFAC. Verificările de bonitate au ca scop determinarea capacității de rambursare prin analiza datelor furnizate de tine, a istoricului tău cu BCR și a bazelor de date ale ANAF, Biroului de Credit și CRC[2] pentru calcularea scoringului de risc/creditare (determinare nivel de venituri, detalii angajator, obligații de plată, persoane în întreținere, grad îndatorare, comportament de rambursare etc.). În cazul în care există Coplătitori, se vor face aceleași verificări iar dacă ești căsătorit/ă, o parte din verificări de cunoaștere a clientelei și bonitate vor viza și soțul/soția întrucât legislația ne obligă să privim familia ca pe un grup unitar. În plus, vom calcula pentru tine și un scoring de risc care va contribui la decizia de acordare a produsului. Pentru etapa de simulare nu va fi afectat scoringul FICO de la Biroul de Credit însă pentru depunerea cererii de creditare (etapă ulterioară) interogarea va afecta scoringul FICO dacă aceasta trebuie realizată potrivit procedurilor interne (când există un anumit interval de timp între cele două etape). Tot atunci se realizează și interogarea la CRC. Atât contractarea creditului cât și evenimentele ulterioare (refinanțare, restructurare cu dificultate financiară, întârzieri la plată etc.) se vor raporta la Biroul de Credit și/sau CRC astfel încât este posibil să fie afectată posibilitatea contractării altor credite de la BCR/alte bănci. Datele raportate pot fi șterse/rectificate doar dacă sunt inexacte sau dacă raportarea este nelegală. Separat de aceste două obiective principale, vom mai prelucra date și pentru executarea contractului (monitorizare, comunicări etc.) și îndeplinirea fluxurilor noastre interne (inclusiv scopuri statistice).

Pentru a te informa privitor la toate aspectele de protecția datelor te rugăm să parcurgi secțiunile de mai jos.

Notă: informarea din acest document este specifică pentru procesul de creditare. În Contractul de Servicii Bancare se regăsește o informare umbrelă care acoperă toate produsele (cont curent, trezorerie etc.).

[1] Oficiul Național de Prevenire și Combatere a Spălării Banilor.

[2] Centrala Riscului de Credit

Prelucrarea datelor din cadrul acestui proces vizează, în principal, Împrumutatul și Coplătitorul. În funcție de caracteristicile procesului, BCR poate prelucra și datele reprezentanților, garanților, vânzătorilor bunurilor pentru care se cere finanțare, membrilor de familie (pentru prelucrările privind procesul de cunoaștere a clientelei – în special dacă sunt persoane expuse public – precum și în scop de risc financiar și analiza bonității grupului de clienți, în cazul soțului/soției).

Pentru persoanele care nu iau contact cu banca în contextul procesului de creditare, având în vedere că noi nu putem să le punem la dispoziție informarea de protecția datelor, va trebui să le pui la dispoziție, în mod obligatoriu, această informare.

Pentru parcurgerea fazelor precontractuale (simulare/cerere de credit) precum și pentru încheierea și executarea contractului, BCR, în calitate de operator de date, prelucrează conform RGPD[1] și legislației aplicabile date furnizate de Împrumutat/Coplătitor precum și date pe care BCR le generează pe baza acestora sau le consultă din alte surse, respectiv: cod de identificare client, codul numeric personal, imaginea și date din documentul de identitate, țara de rezidență, cetățenia, adresa de reședință, numărul de telefon, adresa de e-mail, date demografice (vârstă, zonă geografică, situație familială) funcția publică deținută (inclusiv în ceea ce privește rudele Împrumutatului/Coplătitorului), profesia, ocupația, date despre angajator și data angajării, nivelul estimat al veniturilor curente, informații legate de tranzacțiile derulate și produsele deținute la BCR, date de la Biroul de Credit (date privind creditele deținute – valoare, rată, restanțe, comportament de plată, angajator, fraudulenți, date de contact), date de la ANAF (venituri, angajator – inclusiv informații financiare), date de la CRC (date privind credite deținute și comportamentul de plată), date ce țin de aplicarea modelului de risc al BCR și date de risc financiar (profilări/segmentări, expunere, grad de îndatorare, scoring, parametrii specifici ai produselor acordate, status dificultate financiară, serviciul datoriei), date ce țin de procesul de cunoaștere a clientelei (date de identificare, gradul de risc alocat din perspectiv KYC/AML/antifraudă, date ce rezultă din analizele efectuate de specialiștii noștri privind conformarea cu cerințele referitoare la prevenirea fraudelor în contextul inițierii sau monitorizării unei relații de afaceri, prezența în baze de date publicate de ONU, OFAC și/sau UE privind sancțiuni internaționale, date de la DGEP și IGPR referitoare la cartea de identitate, date referitoare la litigii de pe Portaljust, informații solicitate și/sau primite de la organe de poliție, ONPCSB, BNR și parchete, precum și date solicitate de la DIICOT și DNA, liste de avertizare interne în scop de prevenire a fraudelor, lista cu persoane expuse public, RECOM, solicitări și informări de la autorități publice referitoare la anumite persoane), informații ce rezultă din neconformitățile semnalate de orice persoană, date ce țin de produsul solicitat.

Refuzul furnizării datelor (inclusiv ale Coplătitorului/soțului/soției) duce la imposibilitatea procesării cererii și furnizării serviciilor bancare.

[1] Regulamentul UE nr. 679/2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date

Scopul principal pentru care utilizăm datele tale este de a îți determina eligibilitatea acordării unui produs de creditare (analiza financiară de risc, respectarea condițiilor contractuale de acordare a produsului, cum ar fi vârsta minimă și a regulilor de cunoaștere a clientelei). Mai jos găsești o prezentare detaliată a scopurilor în funcție de temeiul aplicabil.

Vom prelucra datele persoanelor vizate în următoarele scopuri și temeiuri:

Îndeplinirea obligațiilor legale ale BCR pentru următoarele scopuri:

(i) îndeplinirea obligațiilor și a măsurilor de interes public privind cunoaștere a clientelei (inclusiv Legea nr. 129/2019, Regulamentul BNR nr. 2/2019[1]) și a obligațiilor de prudență bancară (inclusiv aplicarea obligațiilor din Regulamentul BNR nr. 5/2013 privind cerințele prudențiale pentru instituțiile de credit și a PSD2[2]) după cum urmează: prevenirea fraudelor, a spălării banilor și combaterea finanțării terorismului, analizarea/ verificarea autenticității actului de identitate prezentat și a identității Clientului și preluarea și stocarea informațiilor în sisteme BCR, garantarea secretului bancar, alocarea gradului de risc și profilare în vederea managementul riscului și al categoriilor de clienți, administrarea eficientă a riscului de fraudă prin menținerea unei liste de avertizare în care sunt documentate încercările și suspiciunile de fraudă precum și atenționările de la autorități publice, verificarea bazelor de date internaționale de risc menținute de ONU, OFAC și UE legate de sancțiuni internaționale, raportarea zilnică a tranzacțiilor conform legislației aplicabile, administrarea conflictelor de interes, gestionarea controalelor din partea autorităților; îndeplinirea obligațiilor de supraveghere bancară efectuată asupra BCR și grupului Erste și de raportare către grupul Erste sau către autoritățile de supraveghere (ANAF, ONPCSB, BNR), audit intern, îndeplinirea formalităților de autentificare potrivit PSD2, determinarea eligibilității pentru contractarea unui produs, asigurarea măsurilor specifice unui comportament corespunzător de prudență bancară atât la nivelul instituției de credit cât și la nivel de grup;

(ii) obligații prudențiale ce țin de analiza de risc financiar/credit (în aplicarea obligațiilor din Regulamentul BNR nr. 5/2013 privind cerințele prudențiale pentru instituțiile de credit și Regulamentul BNR nr. 17/2012 privind unele condiții de creditare[3]): gestionarea riscului de creditare și managementul riscului strategic prin crearea unui profil al Clientului; evaluarea bonității în vederea furnizării unor produse de creditare(inclusiv în etapa de simulare) prin crearea unui profil care ia în considerare indicatori precum evaluarea solvabilității, a nivelului de venituri și a detaliilor ce țin de angajator și determinarea gradului de îndatorare, consultarea și raportarea datelor la CRC.

(iii) alte obligații: gestiune administrativ financiară și a obligațiilor fiscale/contabile; arhivare; raportări FATCA/CRS; asigurarea securității în incintele BCR și ale sucursalelor sale; monitorizarea video a spațiilor și a bunurilor prin amplasarea de sisteme de supraveghere în vederea asigurării protecției bunurilor și valorilor conform legii; implementarea măsurilor de actualizare și securitate a datelor cu caracter personal (inclusiv prin realizarea de copii de siguranță), asigurarea calității și securității datelor (inclusiv actualizarea datelor prin interogarea bazei de date a evidenței populației a Direcției Generale pentru Evidența Persoanelor), gestionarea relațiilor cu autoritățile publice sau cu alte persoane care prestează un serviciu public (executori judecătorești, notari etc.), audit.

Pentru scopurile referitoare la cunoașterea clientelei BCR va realiza prelucrările și în vederea îndeplinirii unor sarcini de interes public conform Legii nr. 129/2019. Pentru îndeplinirea celorlalte scopuri din prezenta secțiune BCR se va baza pe interesul legitim al operatorului de a eficientiza procesul acolo unde anumite prelucrări exced prevederile legale relevante.

Îndeplinirea intereselor legitime ale BCR, în contextul desfășurării obiectului de activitate, pentru următoarele scopuri:

Implementarea unor mijloace ce permit oricărei persoane să semnaleze neconcordanțele sesizate în legătură cu Serviciile Bancare oferite de BCR; prevenirea fraudelor; prelucrarea datelor în sistemul Biroului de Credit (interogarea datelor în scop de acordare credit/ofertare și monitorizare, transmiterea datelor către Biroul de Credit), îmbunătățirea serviciilor bancare furnizate prin optimizarea fluxurilor, politicilor și procedurilor interne (inclusiv optimizarea costurilor și bugetelor prin activități de cost controlling); monitorizarea tranzacțiilor și contactarea Clientului în vederea prevenirii fraudelor, proiectarea, dezvoltarea, testarea și utilizarea sistemelor informatice existente sau noi și a serviciilor IT (inclusiv stocarea bazelor de date în țară sau in străinătate); monitorizarea video pentru securitatea spațiilor și a bunurilor BCR în vederea prevenirii unor împrejurări de natura a afecta negativ BCR; înregistrarea audio a convorbirilor telefonice către / de la centralele telefonice BCR în vederea realizării anumitor cereri ori investigații solicitate de sau în legătură cu Clientul sau cu orice altă categorie de persoană vizată (de exemplu whistleblowing), a probării acestora față de persoana vizată sau în instanță în cazul unui litigiu, precum și pentru îmbunătățirea calității serviciilor și apelurilor; activități de contactare și gestionare a solicitării serviciilor bancare prin intermediul Paginii de Internet; proiecte de fuziuni, achiziții și tranzacții similare; activități de marketing cu caracter general (de exemplu campanii de marketing, apeluri telefonice etc.), efectuarea de sondaje cu privire la, activitatea/produsele BCR, a membrilor Grupului BCR și grupului Erste și a partenerilor contractuali, activități de profilare și segmentare, inclusiv evaluarea eligibilității în scop de analiză și/sau în vederea ofertării unor produse și Servicii Bancare standard sau personalizate (inclusiv prin consultarea datelor din interogările anterioare efectuate la Biroul de Credit și / sau Centrala Riscului de Credit sau prin crearea de profile sau analize prin raportare la datele de tranzacționare ale Clientului sau la istoricul relației acestuia sau a unei societăți în care Clientul a avut calitatea de asociat/acționar sau administrator cu BCR sau societăți din Grupul BCR/grupul Erste) – vom realiza această activitate în baza interesului nostru legitim numai atunci când legea ne permite, respectiv numai dacă prelucrarea nu produce efecte juridice asupra clientului sau nu îl afectează în mod similar într-o măsură semnificativă, gestionarea reclamațiilor primite privind serviciile bancare, inclusiv constatarea, exercitarea sau apărarea unor drepturi ale BCR și / sau ale subsidiarelor sale în instanță, precum și constituirea de probe în acest sens.

În vederea încheierii și executării contractului dintre Client și BCR, pentru următoarele scopuri: Derularea oricăror raporturilor juridice de creditare între BCR și Client; gestionarea relației cu Clientul, îndeplinirea formalităților privind încheierea și executarea contractelor de creditare (verificarea automată a condițiilor de acordare a produsului și a criteriilor KO, transmiterea datelor la Biroul de Credit pe parcursul gestionării relației de creditare; evaluarea bunurilor ce se constituie garanție, transmiterea datelor și documentelor în vederea îndeplinirii formalităților cu FNGCIMM/FGCR/FEI; încheierea și executarea contractelor de garanție (dacă este cazul); contactarea angajatorului Clientului în vederea verificării calității de angajat a acestuia – în cazul veniturilor neînregistrate la ANAF); executarea în bune condiții a tranzacțiilor bancare, monitorizarea tuturor obligațiilor asumate de Client, gestionarea calității datelor, incluzând transmiterea și/sau transferul de informații necesare în determinarea capacității de plată și a comportamentului de plată; colectarea de debite/recuperare creanțe (precum și activități premergătoare acestora, inclusiv activități de analiză și de transmitere a datelor negative la Biroul de Credit); consultarea bazei de date a CRC (în cazul în care Clientul acordă BCR un mandat în acest sens); încheierea și/sau executarea contractelor de asigurări și reasigurări (inclusiv pentru ca Clientul, în calitate de asigurat, să poată beneficia de asigurare în caz de producere a riscului asigurat); efectuarea sau procesarea operațiunilor de plăți prin sistemul SWIFT, inclusiv, dacă este cazul, transferul datelor cu caracter personal către SUA de către SWIFT; înregistrarea audio a apelurilor și convorbirilor telefonice către / de la centralele telefonice BCR în vederea realizării anumitor cereri, operațiuni, instrucțiuni; acorduri cu privire la servicii bancare ori investigații solicitate de Client și proba acestora față de Client; acordarea beneficiilor salariale pentru Clienții care sunt salariați ai societăților din Grupul Erste.

De asemenea, pentru interogarea/accesarea datelor ANAF/CRC vom avea nevoie de acordul tău exprimat prin formulare specifice. Utilizarea acestor date, însă, este obligatorie pentru a ne îndeplini anumite obligații prudențiale (calcularea gradului de îndatorare, aplicarea modelului de risc, determinarea comportamentului de plată și a veniturilor/angajatorului) și pentru încheierea contractului. Refuzul furnizării acordului duce la imposibilitatea procesării cererii, în cazul CRC, sau la obligația de a pune la dispoziția BCR datele de la ANAF, după caz. Pentru prelucrările realizate în baza consimțământului, retragerea acestuia se poate face în orice moment, fără a afecta legalitatea prelucrării efectuate înainte de retragere.

Notă: o parte din scopurile de prelucrare sunt aplicabile doar dacă produsul este contractat.

[1] Sau actele normative subsecvente care vor înlocui normele în vigoare.

[2] Sau actele normative subsecvente care vor înlocui normele în vigoare.

[3] Sau actele normative subsecvente care vor înlocui normele în vigoare.

Atât procesul de simulare cât și procesul de evaluare a eligibilității privind acordarea creditului are la bază crearea de profiluri și procese decizionale automate care pot produce efecte juridice sau care vă pot afecta într-o măsură semnificativă. Aceste procese decizionale automate se aplică și față de Coplătitor/soț/soție.

Ce profiluri realizează BCR?

Crearea de profiluri reprezintă prelucrarea automată a datelor persoanei vizate pentru a evalua sau analiza aspecte ce țin de persoana acestuia (grad de îndatorare, comportament de plată sau identificarea acesteia pe listele publice sau interne privind finanțarea terorismului, spălarea banilor, fapte de natură penală sau fraude). Exemple de profilare pot fi reprezentate de: gradul de îndatorare al persoanei vizate care rezultă din interogările realizate în baza de date a Centralei Riscului de Credit / Biroul de Credit; gradul de risc alocat din perspectiva fraudei sau a cunoașterii clientelei, prevenirii spălării banilor și combaterii finanțării terorismului, care, in anumite situații, poate atrage refuzul sau restricționarea accesului la serviciile BCR.

Nu în ultimul rând, BCR poate segmenta proprii Clienți în funcție de mai multe criterii (vârstă, zonă geografică, credit solicitat, venituri, tipuri de cheltuieli, industria în care activează etc.) pentru a îi clasifica în diverse categorii în scopuri de marketing și/sau în scop de analiză.

Ce procese decizionale automate implementează BCR?

BCR poate derula procese decizionale automate care produc efecte juridice sau care pot afecta persoana vizată într-o măsură semnificativă în următoarele scopuri: (i) determinarea eligibilității de contractare a creditului prin aplicarea unor criterii eliminatorii automate, cum ar fi, înregistrarea unui grad de îndatorare prea mare prin raportare la veniturile deținute pentru obținerea unui credit sau verificarea gradului de risc de fraudă, situații în care persoanei vizate i se poate refuza acordarea creditului; (ii) calcularea scoringului de risc ce reprezintă criteriu de acordare a creditului.

Cu privire la aceste procese automate, înțeleg/ înțelegem că beneficiez/ beneficiem de următoarele drepturi: dreptul de a obține intervenție umană; dreptul de exprimare a punctului de vedere; dreptul de a contesta decizia.

În vederea realizării scopurilor de prelucrare menționate, BCR va prelucra datele cu caracter personal pe durata îndeplinirii serviciilor bancare (analiza cererii de credit și/sau încheierea și executarea contractului, după caz), precum și ulterior în vederea conformării cu obligațiile legale aplicabile, inclusiv dispozițiile referitoare la arhivare și cu interesele legitime ale BCR. Este posibil ca, în urma îndeplinirii termenelor legale de arhivare, BCR să dispună anonimizarea datelor, lipsindu-le astfel de caracterul personal și să continue prelucrarea datelor anonime pentru scopuri statistice. Datele cu caracter personal vor fi stocate pe durata relației de afaceri și după finalizarea acesteia, în vederea conformării cu obligațiile legale aplicabile și politicile interne privind retenția, inclusiv a regulilor de arhivare, pentru duratele de stocare corespunzătoare, așa cum sunt menționate în secțiunile generale din Politica privind Confidențialitatea datelor personale.

În ceea ce privește prelucrarea datelor în alte sisteme, în cazul CRC datele sunt prelucrate pe o durată de 7 ani în timp ce în cazul Biroului de Credit, durata de prelucrare este de 6 luni (pentru cererile de credit nefinalizate) și 4 ani de la ultima actualizare, pentru celelalte cazuri.

Pentru îndeplinirea scopurilor de prelucrare, BCR poate să dezvăluie o parte sau toate categoriile de date cu caracter personal către următoarele categorii de destinatari: reprezentanții Clientului, reprezentanții BCR, entitățile din Grupul BCR și grupul Erste, instituții/autorități publice din România sau străinătate, organizații internaționale, furnizori de servicii și bunuri, societăți bancare, birouri de credit, agenți de colectare a debitelor sau recuperare a creanțelor (inclusiv cesionari ai creanțelor deținute de BCR față de Client), evaluatori, societăți de asigurare și reasigurare (inclusiv brokeri de asigurări), angajatorul Clientului ca urmare a raporturilor juridice existente între acesta și BCR, partenerii BCR în legătură cu produsele și serviciile intermediate de BCR, furnizori de certificate digitale aferente semnăturilor digitale, organizațiilor de cercetare a pieței, evaluatori, notari, executori judecătorești precum și altor parteneri contractuali și împuterniciți ai BCR, care pot fi consultați exemplificativ în Politica de confidențialitate.

În prezent, în vederea îndeplinirii scopurilor mai sus-menționate este posibil ca BCR să transfere anumite categorii de date cu caracter personal în afara României, în state din cadrul UE/ SEE: Austria, Cehia, Ungaria, Croația, Belgia, Germania, cât și în afara UE/ SEE către Statele Unite ale Americii (în cazul transferurilor prin intermediul SWIFT) și Regatul Unit al Marii Britanii. Pentru transferurile în afara UE/ SEE, BCR își va întemeia transferul datelor cu caracter personal pe baza clauzelor contractuale standard adoptate la nivelul Comisiei Europene sau alte garanții recunoscute de lege.

Este posibil ca în derularea activităților sale, statele de transfer mai sus-menționate să se modifice. Puteți obține o listă actualizată cu statele unde se transferă datele cu caracter personal în secțiunea corespunzătoare din Politica privind Confidențialitatea datelor personale.

Persoanele vizate menționate beneficiază de următoarele drepturi:

a) Dreptul de informare: dreptul de a fi informat în legătură cu ce prelucrări derulează BCR;

b) Dreptul de acces la date: posibilitatea de a solicita și primi o confirmare de la BCR cu privire la detaliile prelucrărilor de date (ce date prelucrează BCR și în ce scop, unde și cât timp sunt stocate, cine are acces la ele etc);

c) Dreptul de rectificare: dacă datele pe care le utilizează BCR sunt inexacte sau incomplete, pot fi actualizate printr-o cerere (exemplu: dacă a intervenit schimbarea numărului de telefon sau a adresei de e-mail persoana vizată poate contacta BCR pentru a actualiza aceste date). Acest drept poate fi exercitat împreună cu cel de restricționare sau cu cel de opoziție;

d) Dreptul de ștergere: posibilitatea de a solicita ștergerea unei părți sau a tuturor datelor pe care BCR le are despre persoana vizată. Important! BCR nu va putea da curs cererii în toate cazurile (exemple: legea obligă BCR să păstreze datele o anumită perioada; datele sunt utile pentru un interes legitim urmărit de BCR precum apărarea unui drept în instanță);

e) Dreptul la restricționare: posibilitatea de a solicita BCR să nu utilizeze datele, ci doar să le stocheze până la rezolvarea unei alte solicitări din partea persoanei vizate și anume: s-a cerut rectificarea datelor; persoana vizată s-a opus la ștergerea datelor în situația unei prelucrări ilegale; persoana vizată a solicitat furnizarea anumitor date pentru apărarea unui drept; persoana vizată s-a opus prelucrării datelor – a se vedea dreptul de opoziție de mai jos;

f) Dreptul de portabilitate: persoana vizată are posibilitatea de a cere ca datele să vă fie furnizate pe un suport utilizat în mod curent, într-un format ușor de citit (exemplu: printr-un e-mail). De asemenea, persoana vizată poate cere ca datele să fie trimise către un alt operator. Important! BCR va da curs cererii doar pentru datele prelucrate anterior în baza consimțământului persoanei vizate sau pentru derularea contractului încheiat cu BCR și doar dacă datele sunt prelucrate prin mijloace automate (exemplu: se poate solicita transmiterea unui e-mail pe care persoana vizată l-a trimis anterior către BCR).

g) Dreptul la opoziție: persoana vizată se poate opune prelucrărilor de date derulate pe baza interesului legitim urmărit de BCR. Important! Legea obligă BCR să dea curs cererii doar pentru prelucrările realizate în scop de marketing direct (exemplu: dacă persoana vizată primește e-mailuri cu reclame de la BCR, aceasta poate solicita dezabonarea). În celelalte cazuri, BCR va pune în balanță interesele băncii și respectiv situația particulară a persoanei vizate pe care aceasta o prezintă pentru a lua o decizie finală. De aceea, este recomandabil ca cererea de opoziție să fie însoțită și de motivele pentru care vă opuneți prelucrării atunci când formulați cererea.

h) Dreptul privind procesul decizional automatizat: ca regulă, persoana vizată are dreptul să nu fie supusă unei decizii automate, dacă aceasta produce efecte legale asupra acesteia sau o afectează similar, într-o măsură semnificativă (exemplu: refuzul automat de a încheia un contract cu persoana vizată, bazat pe o prelucrare de date). Important! În anumite situații legea acordă posibilitatea BCR să ia astfel de decizii atunci când BCR are acordul persoanei vizate sau dacă decizia este luată în baza executării contractului pe care BCR l-a încheiat cu aceasta. În aceste situații, persoana vizată are dreptul să conteste decizia, să își exprime punctul de vedere și să obțineți o verificare din partea unui factor uman. De asemenea, sunt situații în care legea obligă BCR să implementeze asemenea procese decizionale automatizate.

i) Dreptul la retragerea consimțământului: dacă BCR prelucrează datele pe baza consimțământului persoanei vizate, aceasta își poate retrage oricând acordul. Important! Retragerea consimțământului va avea efect doar pentru viitor. Prelucrările efectuate în alt scop, cum ar fi executarea contractului, nu vor fi afectate de retragere.

j) Dreptul de a formula plângere: dacă sunteți nemulțumit, vă puteți adresa oricând Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal.

Este posibil ca, în urma solicitării de ștergere a datelor, BCR să anonimizeze aceste date (lipsindu-le astfel de caracterul personal) și să continue în aceste condiții prelucrarea pentru scopuri statistice.

Pentru mai multe detalii cu privire la activitățile de prelucrare efectuate de către BCR, precum și pentru mai multe informații cu privire la exercitarea drepturilor, ne puteți contacta oricând utilizând următoarele canale de comunicare: solicitare adresata responsabilului BCR privind protecția datelor la dpo@bcr.ro - canal dedicat aspectelor privind protecția datelor cu caracter personal; utilizarea serviciului de Contact Center prin apel telefonic sau la adresa contact.center@bcr.ro; utilizând formularul de solicitări protecția datelor de pe website-ul BCR, secțiunea Politica privind confidențialitatea, utilizând credențialele de internet banking; prin postă, la sediul nostru sau în unitățile teritoriale; prin Portalul Biroului de Credit.

Împrumutatul şi Coplătitor(ul)(ii), după caz, în calitate de persoana/ (e) vizate, prin prezenta declarăm că am luat la cunoştinţă următoarele:

1. Datele de identificare ale operatorilor

BCR, cu sediul în Șoseaua Orhideelor nr. 15D, Clădirea The Bridge 1, etajul 2, Sector 6, București, cod poștal 060071 si S.C. Biroul de Credit S.A., persoana juridica româna cu sediul în București, str. Sfânta Vineri, nr. 29, etaj 4, sector 3, în calitate de operatori asociați, prelucrează datele noastre cu caracter personal cu bună credință, în mod echitabil și transparent, în scopuri determinate și legitime, conform prevederilor Regulamentului (UE) nr. 679 din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul).

Biroul de Credit este entitatea de drept privat care administrează Sistemul Biroului de Credit, în care sunt prelucrate datele cu caracter personal în legătură cu activitatea de creditare desfășurată de Participanți.

Participanții la Sistemul Biroului de Credit sunt instituții de credit, instituții financiare nebancare, societăți de asigurări și societăți de recuperare creanțe, care au semnat un Contract de Participare cu Biroul de Credit.

2. Temeiul legal și scopul prelucrării

BCR și Biroul de Credit prelucrează datele noastre personale în baza interesului legitim al Participanților și al Biroului de Credit pentru desfășurarea unei activități de creditare responsabile, în condițiile protejării, facilitării accesului la creditare și prevenirii îndatorării excesive a Împrumutatului și Coplătitor(ului)(ilor), după caz, respectării cadrului legal referitor la evaluarea bonității și a riscului de credit, precum și prevenirii utilizării sistemului financiar-bancar pentru desfășurarea unor activități contrare legii.

BCR are obligația, conform reglementarilor legale în vigoare, să evalueze capacitatea noastră de rambursare a creditului și riscul de credit, înainte de încheierea unui contract de credit și pe parcursul derulării acestuia. În acest scop, BCR prelucrează informațiile indicate la punctul 4, înregistrate pe numele nostru în evidentele proprii și le transmite către Biroul de Credit în vederea prelucrării de către această instituție și a consultării acestora de către oricare Participant, în scopul inițierii sau derulării unei relații de creditare, precum și asigurării produselor de tip credit.

3. Obligația furnizării datelor și consecințele nerespectării acesteia

Furnizarea datelor noastre cu caracter personal este necesară în scopul menționat la punctul 2. Refuzul de a furniza datele noastre personale, necesare realizării scopului menționat mai sus, va conduce la imposibilitatea BCR de a-și îndeplini obligațiile legale în legătură cu acordarea creditului.

4. Categorii de date cu caracter personal prelucrate în Sistemul Biroului de Credit

a) date de identificare ale persoanei vizate: numele, prenumele, codul numeric personal sau CUI pentru persoane fizice autorizate sau CIF pentru persoanele fizice care desfășoară profesii liberale sau cod țară și serie/număr pașaport pentru persoanele nerezidente, adresa de domiciliu/reședință, numărul de telefon, data nașterii;

b) date referitoare la angajator: numele si adresa angajatorului, data înscrierii acestei informații, CUI;

c) date referitoare la produsele de tip credit solicitate/acordate: tipul și denumirea Participantului, tipul de produs, starea produsului/contului, data acordării, durata contului, termenul de acordare, sumele acordate, sumele datorate, data actualizării, valuta, frecvența plaților, suma plătită, rata lunară, sumele restante, numărul de zile de întârziere, data primei restanțe, categoria de întârziere, data ultimei plăți;

d) date referitoare la evenimente care apar în perioada de derulare a produsului de tip credit, cum ar fi cele referitoare la restructurarea/refinanțarea, darea în plată, cesiunea contractului de credit, cesiunea creanței;

e) date referitoare la relațiile cu alte conturi: informații referitoare la produse de tip credit la care persoana vizata are calitatea de Coplătitor;

f) date referitoare la insolvență: informații referitoare la persoanele vizate fata de care s-a deschis o procedura de insolvență;

g) numărul de interogări: indică numărul de Rapoarte de Credit eliberate de Biroul de Credit, la solicitarea unuia sau mai multor Participanți.

În procesul de analiză a cererii dvs. de credit, BCR va solicita Biroului de Credit eliberarea unui Raport de Credit, cu FICO® Score, pentru a verifica dacă vă încadrați în gradul de îndatorare stabilit prin lege și dacă aveți capacitatea de a rambursa creditul. Pentru obținerea Raportului de Credit, BCR va transmite la Biroul de Credit numele, prenumele și codul numeric personal, primind de la Biroul de Credit oricare din informațiile de mai sus înregistrate pe numele dvs în Sistemul Biroului de Credit.

Ulterior acordării creditului, BCR va transmite la Biroul de Credit datele dvs. personale prevazute la punctele a)-f), după caz, în funcție de înregistrare. Aceste informații sunt puse în comun cu ceilalți Participanți, în cadrul Sistemului Biroului de Credit, și sunt utilizate în scopul menționat la pct. 2.

Capacitatea dvs. de a rambursa datoriile la scadenta poate fi verificata periodic, ulterior acordării creditului, inclusiv prin obținerea de Rapoarte de Credit sau prin utilizarea Serviciului Alerte[1].

În cazul in care, în perioada de derulare a creditului acordat, veți întârzia la plata ratelor mai mult de 30 de zile calendaristice de la data scadentei, BCR va transmite la Biroul de Credit datele dvs. de identificare și informații referitoare la sumele restante, categoria de întârziere, data primei restanțe și/sau, după caz, informații referitoare la deschiderea procedurii de dare în plată, numai după notificarea dvs., cu cel puțin 15 zile calendaristice înainte, realizată prin telefon sau în scris, prin SMS, e-mail, Mailbox, serviciul de mesagerie aferent Serviciilor Bancare la Distanță (componentele Internet Banking și Mobile Banking) sau prin alt mijloc de comunicare electronică.

[1] Serviciul Alerte este folosit de către Participanți pentru evaluarea în timp util a riscului de credit, prin generarea unei alerte către un Participant atunci când pentru un debitor propriu se înregistrează un eveniment (cum ar fi: deschidere/închidere cont, intrare/ieșire din restanță, corecție cont, înregistrarea/ștergerea stării de garant/codebitor, interogare cont, modificare nume angajator/ număr telefon, date referitoare la relații cu alte conturi) la un alt Participant.

5. FICO® Score de la Biroul de Credit

Datele cu caracter personal prevazute la punctul 4 pot fi prelucrate de către Biroul de Credit, inclusiv pentru a calcula, la solicitarea Participanților, FICO® Score de la Biroul de Credit.

Participanții pot utiliza FICO® Score de la Biroul de Credit in scopul reducerii riscului de credit asociat unui debitor/potențial debitor.

FICO® Score de la Biroul de Credit este un număr cuprins între 300 și 850, obținut în urma procesului statistic care prelucrează informațiile înregistrate de Participanți în Sistemul Biroului de Credit și indică probabilitatea că persoana vizată să-și plătească în viitor ratele la timp. Principalele cauze care au determinat scăderea FICO® Score de la Biroul de Credit sunt afișate sub forma codurilor-motiv.

FICO® Score de la Biroul de Credit ia în calcul următoarele elemente ce conferă predictibilitate: istoricul de plată, datoria curentă, durata contului/conturilor de credit (numărul mediu de luni de la acordarea creditelor), cererea de noi credite (numărul de interogări și creditele acordate în ultimele 6 luni), mix-ul de credit (tipuri de credite acordate), vârsta persoanei vizate. Influența acestor elemente asupra valorii FICO® Score de la Biroul de Credit poate varia în funcție de informațiile înregistrate la Biroul de Credit pentru fiecare persoană vizată.

FICO® Score de la Biroul de Credit reprezinta un instrument de analiza cu grad ridicat de predictibilitate care, alăturat datelor din Raportul de Credit și informațiilor obținute de Participanți din alte surse, concura la evaluarea corecta a bonității noastre în vederea încheierii/derulării contractului de credit.

6. Destinatarii datelor

Datele cu caracter personal înregistrate în Sistemul Biroului de Credit sunt dezvăluite Participanților, la cerere, în scopul menționat la punctul 2.

Datele cu caracter personal prelucrate în Sistemul Biroului de Credit nu vor fi dezvăluite terților, cu excepția autorităților și instituțiilor publice, conform competentelor acestora și a legislației aplicabile, cum ar fi Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, Banca Națională a României, Autoritatea Națională de Integritate, instantele judecătorești, notarii publici, executorii judecătorești, organele de cercetare penală.

7. Perioada de stocare

Datele cu caracter personal sunt stocate la Biroul de Credit si dezvaluite Participantilor timp de 4 ani de la data actualizarii, cu exceptia datelor solicitantilor de credit care au renuntat la cererea de credit sau carora nu li s-a acordat creditul, care sunt stocate si dezvaluite Participantilor pentru o perioada de 6 luni.

8. Existența unui proces decizional automatizat, incluzând crearea de profiluri

BCR poate folosi in activitatea de creditare procese decizionale automatizate, inclusiv profilare, bazate pe instrumente si mecanisme de calcul parțial sau complet automatizate, utilizate exclusiv cu scopul stabilirii capacității de rambursare a Împrumutatului și Coplătitorului(lor), precum și a efectuării unor previziuni în ceea ce privește comportamentul de plată în relație cu BCR.

9. Drepturile noastre privind prelucrarea datelor cu caracter personal

În calitate de persoane vizate, putem exercita drepturile prevăzute de Regulament, astfel:

a. dreptul de acces la date se poate exercita:

printr-o solicitare scrisă, semnată, transmisă prin poșta la Biroul de Credit, sau
prin accesarea în mod securizat a site-ului Biroului de Credit (www.birouldecredit.ro), sau
personal sau pe cale electronică, la Participantul care deține calitatea de creditor/potențial creditor al persoanei vizate;

Banca va acorda acces la date persoanelor vizate, cu exceția cazului în care îi este imposibil să identifice informațiile solicitate de persoana vizată sau a cazului în care cererea de acces a persoanei vizate este în mod vădit nefondată sau excesivă.

Totodată avem dreptul de a obține, la cerere, la momentul comunicării deciziei de creditare, o copie a Raportului de Credit emis de Biroul de Credit, care a fost utilizat de către BCR în analiza cererii de credit;

b. dreptul de rectificare a datelor;

c. dreptul de ștergere a datelor;

d. dreptul la restricționarea datelor;

e. dreptul de a ne opune prelucrării,

pot fi exercitate:

prin accesarea în mod securizat a site-ului Biroului de Credit (www.birouldecredit.ro), sau
personal sau pe cale electronică, la Participantul care deține calitatea de creditor/potențial creditor al persoanei vizate.

f. dreptul de a nu fi supuse unei decizii individuale automatizate, inclusiv profilare;

Acest drept poate fi exercitat prin refuzul de a semna prezenta cerere de credit.

g. dreptul de a ne adresa Autorității Naționale pentru Supravegherea Prelucrării Datelor cu Caracter Personal și justiției.

În cazul formulării unei cereri de exercitare drepturilor, persoana vizată va furniza detaliile necesare pentru ca BCR să poată identifica dreptul exercitat și îndeplinirea condițiilor de exercitare impuse de lege. Cu titlu de exemplu, în măsura formulării unei cereri de opoziție privind anumite prelucrări derulate de BCR în baza intereselui legitim al băncii, este recomandabil ca persoana vizată să furnizeze și informații legate de situația particulară a acesteia, astfel încât BCR să poată realiza evaluarea cerută de lege. De asemenea, persoanele vizate vor fi autentificate anterior preluării cererii de exercitare a drepturilor. Autentificarea este o procedură prin care identitatea este verificată și confirmată de BCR prin adresarea unor întrebări specifice, pentru ca Banca să se asigure că informațiile nu sunt solicitate de sau dezvăluite către persoane neautorizate.

10. Datele de contact ale responsabililor cu protecția datelor sunt:

Pentru Participant - adresa de e-mail: DPO@bcr.ro

Pentru Biroul de Credit - adresa de e-mail: rpd@birouldecredit.ro

Prelucrarea datelor cu caracter personal - Credite

Ce facem cu datele tale

Persoane vizate de prelucrări

Date cu caracter personal

Scopuri de prelucrare

Profilări și decizii automate

Durata prelucrării

Destinatarii datelor

Transferuri de date

Drepturile de care beneficiați

Informare referitoare la prelucrarea datelor personale în Sistemul Biroului de Credit pentru Împrumutat şi Coplătitor(i), după caz (persoana/persoane vizată/vizate)