Capitolul 1. Dispoziţii generale

1.1.Scop

Scopul Politicii privind protecţia datelor cu caracter personal, denumită în continuare „Politica”, este acela de a defini principiile şi practicile TECHVENTURES BANK S.A. (denumită în continuare „Banca”), referitoare la protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal şi libera circulație a acestor date, în baza Regulamentului (UE) 679/2016 privind Protecția Datelor Personale (denumit în continuare “GDPR” sau “Regulament”), care înlocuiește Directiva 95/46/CE privind protecția datelor. 

GDPR a fost conceput pentru a armoniza legislația din cadrul Uniunii Europene (UE) privind protecția datelor cu caracter personal, pentru a conferi și a proteja cetățenilor UE dreptul de confidențialitate a datelor și pentru a reformula modul în care organizațiile abordează protecția datelor cu caracter personal. GDPR a fost adoptat la 27 aprilie 2016 și a devenit direct aplicabil (fiind un regulament şi nu o directivă) în toate statele membre UE, începând cu 25 mai 2018. 

1.2.Domeniu de aplicare

Prezenta politică se aplică la nivelul Centralei şi Unităţilor teritoriale ale Băncii şi vizează protecţia datelor clienţilor, potențialilor clienți, reprezentanților legali sau convenționali ai clienților, împuterniciților pe cont/utilizatorii ai clienților, codebitorilor, garanților, persoanelor de contact, beneficiarilor reali precum și membrii familiilor acestora, succesorilor legali sau convenționali ai clienților persoane fizice, non-clienţilor persoane fizice (persoane cu care Banca deruleaza tranzacții ocazionale, cum ar fi deponenți externi, utilizatori ai serviciilor de schimb valutar în numerar, persoane care efectuează retrageri de numerar cu carduri emise de alte intituții bancare etc, persoane fizice din grupul unui debitor al Băncii, ori persoane expeditoare/destinatare a corespondenței/serviciilor de curierat în relația cu Banca), persoanelor de contact, reprezentanților legali sau convenționali, colaboratorilor, angajaților și/sau persoanelor fizice desemnate de catre un partener contractual al Băncii și a oricăror alte persoane fizice ale caror date ar putea fi furnizate de client/partenerul contractual către TECHVENTURES BANK S.A. sau care ar putea fi prelucrate în contextul relatiei dintre TECHVENTURES BANK S.A și client, precum şi protecţia datelor personale ale angajaţilor Băncii (inclusiv foștii angajați și candidații - admiși sau respinși), persoane care furnizează referințe despre aceștia și persoane care efectuează stagii de practică în cadrul Băncii. Aceste categorii de persoane, sunt denumite împreună în mod generic, în cele ce urmează, “persoane vizate”.

Aceste date cu caracter personal sunt transmise către Bancă la inițierea relațiilor contractuale cu clientul (sau după caz, la inițierea unei tranzacții ocazionale), sau sunt dezvaluite către Bancă pe parcursul derulării acestora. Banca poate prelucra datele cu caracter personal aparținand persoanelor vizate și după încetarea relației contractuale/efectuarea tranzacției ocazionale, pentru a se conforma obligațiilor legale ce-i revin, inclusiv a obligațiilor de transmitere informații conform solicitărilor primite de la autorități, sau a obligațiilor incidente în materia arhivării.

 

GDPR şi în consecinţă prezenta Politică, nu se aplică prelucrării datelor care privesc persoane juridice (orice entităţi cu personalitate juridică), respectiv date cum ar fi numele și tipul de persoană juridică și datele de contact ale persoanei juridice, dar datele persoanelor fizice acţionari, asociaţi, reprezentanţi, delegaţi etc ai persoanelor juridice, clienți sau parteneri ai Băncii, existenți sau potențiali, ale căror date personale sunt colectate în relaţia Băncii cu persoanele juridice respective, fac obiectul prezentei Politici.

1.3.Cadru de reglementare

1. Baza legală

1. Legislaţie aplicabilă

• Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) 

• Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor)

• Legea nr. 682/2001 privind ratificarea Convenţiei pentru protejarea persoanelor faţă de prelucrarea automatizată a datelor cu caracter personal, adoptată la Strasbourg la 28 ianuarie 1981

• Decizia 2001/497/CE din 15 iunie 2001 privind clauzele contractuale standard pentru transferul de date cu caracter personal către țările terțe în temeiul Directivei 95/46/CE

• Opinia 4/2007 privind conceptul de date cu caracter personal - Grupul de lucru Art 29

• Opinia 15/2011 referitoare la definitia consimtamantului - Grupul de lucru Art 29

• Opinia 6/2014 privitoare la notiunea de interese legitime ale operatorului de date în baza art. 7 din Directiva 95/46/CE - Grupul de lucru Art 29

• Opinia 5/2012 referitoare la Cloud Computing - Grupul de lucru Art 29

• Opinia 1/2017 privind propunerea de Regulament a Comisiei Europene referitor la comunicațiile electronice – Regulament ePrivacy.

• Opinia nr. 2/2017 privind prelucrarea datelor cu caracter personal la locul de munca

• Ghidul privind evaluarea de impact (DPIA) - Grupul de lucru Art 29

• Ghidul privind dreptul la portabilitatea datelor - Grupul de lucru Art 29

• Ghidul privind responsabilul pentru protecția datelor (DPO)- Grupul de lucru Art 29

• Ghidul privind identificarea autorității de supraveghere lider a unui operator sau împuternicit - Grupul de lucru Art 29

• Ghidul privind notificarea încălcărilor de securitate - Grupul de lucru Art 29

• Ghidul privind deciziile automate individuale și profilare - Grupul de lucru Art 29

• Ghidul privind consimțământul - Grupul de lucru Art 29 

• Ghidul privind transparența - Grupul de lucru Art 29

• Decizia ANSPDCP nr. 174/2018 privind lista operaţiunilor pentru care este obligatorie realizarea evaluării impactului asupra protecţiei datelor cu caracter personal

• Ordinul ANAF nr. 146/2022 pentru aprobarea condiţiilor de furnizare a informaţiilor, modelului-cadru al protocolului de colaborare, procedurii privind schimbul de informaţii între Agenţia Naţională de Administrare Fiscală şi persoanele juridice de drept privat semnatare, precum şi a modalităţilor de acces în sistemele informatice dedicate conform art. 70¹ alin. (1) lit. b) din Legea nr. 207/2015 privind Codul de procedură fiscală

• Codul de Conduită al ARB cu privire la prelucrarea datelor cu caracter personal în sectorul bancar

2. Legislatie coroborata

• Codul Civil

• Codul Muncii

• Codul de procedura fiscala

• Legea 365/2002 privind comertul electronic

• Norme metodologice din 20.11.2002 pentru aplicarea Legii nr. 365/2002 privind comertul electronic

• Legea 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice

• Regulament BNR 17/2012 privind unele conditii de creditare, cu modificările și completarile ulterioare

• Regulament BNR 5/2013 privind cerinte prudentiale pentru institutiile de credit, cu modificările și completările ulterioare

• Regulamentul Băncii Naţionale a României nr. 2/2012 privind organizarea şi funcţionarea la Banca Naţională a României a Centralei Riscului de Credit 

• Legea nr. 129/2019 pentru prevenirea şi combaterea spălării banilor şi finanţării terorismului, precum şi pentru modificarea şi completarea unor acte normative

• Regulamentul Băncii Naţionale a României nr. 2/2019 privind prevenirea şi combaterea spălării banilor şi finanţării terorismului

2. Reglementări conexe

• Procedura privind prelucrarea și protecţia datelor cu caracter personal

• Regulamentul intern

• Codul de conduită

• Politica privind securitatea informațională a TECHVENTURES BANK S.A.

• Norma privind securitatea informațională

• Cadrul de guvernanță BCP

• Strategia IT și de securitate ICT

• Norma privind administrarea resurselor informatice şi de telecomunicaţii

• Procedura privind gestionarea drepturilor de acces in aplicaţiile informatice necesare desfășurării activității Băncii

• Procedura privind cunoasterea clientelei, prevenirea si combaterea spalarii banilor si finantarii terorismului

• Norma privind protectia informației

• Procedura de deschidere, transfer, actualizare si inchidere conturi clienți (PF si PJ)

• Norma privind deschiderea online, functionarea, administrarea si inchiderea conturilor curente persoane fizice

• Procedura privind deschiderea de conturi online

1.4.Terminologie şi abrevieri

1. Terminologie

În sensul prezentei Politici, termenii utilizaţi în coţinutul acesteia au următoarele semnificaţii: 

1.„date cu caracter personal” înseamnă orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale; 

2.„prelucrare” înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi:

1. colectarea,

2. înregistrarea,

3. organizarea,

4. structurarea,

5. stocarea,

6. adaptarea sau modificarea,

7. extragerea,

8. consultarea,

9. utilizarea,

10. divulgarea prin transmitere,

11. diseminarea sau punerea la dispoziție în orice alt mod,

12. alinierea sau combinarea,

13. restricționarea,

14. ștergerea sau distrugerea.

3.„restricționarea prelucrării” înseamnă marcarea datelor cu caracter personal stocate cu scopul de a limita prelucrarea viitoare a acestora;

4.„creare de profiluri” înseamnă orice formă de prelucrare automată a datelor cu caracter personal care constă în utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoană fizică, în special pentru a analiza sau prevedea aspecte privind performanța la locul de muncă, situația economică, sănătatea, preferințele personale, interesele, fiabilitatea, comportamentul, locul în care se află persoana fizică respectivă sau deplasările acesteia; 

5.„pseudonimizare” înseamnă prelucrarea datelor cu caracter personal într-un asemenea mod încât acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza informații suplimentare, cu condiția ca aceste informații suplimentare să fie stocate separat și să facă obiectul unor măsuri de natură tehnică și organizatorică care să asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile;

6.„sistem de evidență a datelor” înseamnă orice set structurat de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate după criterii funcționale sau geografice;

7.„operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern;

8.„persoană împuternicită de operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului;

9.„destinatar” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism căreia (căruia) îi sunt divulgate datele cu caracter personal, indiferent dacă este sau nu o parte terță. Cu toate acestea, autoritățile publice cărora li se pot comunica date cu caracter personal în cadrul unei anumite anchete în conformitate cu dreptul Uniunii sau cu dreptul intern nu sunt considerate destinatari; prelucrarea acestor date de către autoritățile publice respective respectă normele aplicabile în materie de protecție a datelor, în conformitate cu scopurile prelucrării;

10.„parte terță” înseamnă o persoană fizică sau juridică, autoritate publică, agenție sau organism altul decât persoana vizată, operatorul, persoana împuternicită de operator și persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal; 

11.„consimțământ” al persoanei vizate înseamnă orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate;

12.„încălcarea securității datelor cu caracter personal” înseamnă o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea;

13.„date genetice” înseamnă datele cu caracter personal referitoare la caracteristicile genetice moștenite sau dobândite ale unei persoane fizice, care oferă informații unice privind fiziologia sau sănătatea persoanei respective și care rezultă în special în urma unei analize a unei mostre de material biologic recoltate de la persoana în cauză;

14.„date biometrice” înseamnă date cu caracter personal care rezultă în urma unor tehnici de prelucrare specifice referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane fizice care permit sau confirmă identificarea unică a respectivei persoane, cum ar fi imaginile faciale sau datele dactiloscopice;

15.„date privind sănătatea” înseamnă date cu caracter personal legate de sănătatea fizică sau mentală a unei persoane fizice, inclusiv prestarea de servicii de asistență medicală, care dezvăluie informații despre starea de sănătate a acesteia;

16.„sediu principal” înseamnă:

1. în cazul unui operator cu sedii în cel puțin două state membre, locul în care se află administrația centrală a acestuia în Uniune, cu excepția cazului în care deciziile privind scopurile și mijloacele de prelucrare a datelor cu caracter personal se iau într-un alt sediu al operatorului din Uniune, sediu care are competența de a dispune punerea în aplicare a acestor decizii, caz în care sediul care a luat deciziile respective este considerat a fi sediul principal;

2. în cazul unei persoane împuternicite de operator cu sedii în cel puțin două state membre, locul în care se află administrația centrală a acesteia în Uniune, sau, în cazul în care persoana împuternicită de operator nu are o administrație centrală în Uniune, sediul din Uniune al persoanei împuternicite de operator în care au loc activitățile principale de prelucrare, în contextul activităților unui sediu al persoanei împuternicite de operator, în măsura în care aceasta este supusă unor obligații specifice în temeiul Regulamentului; 

17.„reprezentant” înseamnă o persoană fizică sau juridică stabilită în Uniune, desemnată în scris de către operator sau persoana împuternicită de operator în temeiul articolului 27, care reprezintă operatorul sau persoana împuternicită în ceea ce privește obligațiile lor respective care le revin în temeiul Regulamentului;

18.„întreprindere” înseamnă o persoană fizică sau juridică ce desfășoară o activitate economică, indiferent de forma juridică a acesteia, inclusiv parteneriate sau asociații care desfășoară în mod regulat o activitate economică; 

19.„grup de întreprinderi” înseamnă o întreprindere care exercită controlul și întreprinderile controlate de aceasta;

20.„reguli corporatiste obligatorii” înseamnă politicile în materie de protecție a datelor cu caracter personal care trebuie respectate de un operator sau de o persoană împuternicită de operator stabilită pe teritoriul unui stat membru, în ceea ce privește transferurile sau seturile de transferuri de date cu caracter personal către un operator sau o persoană împuternicită de operator în una sau mai multe țări terțe în cadrul unui grup de întreprinderi sau al unui grup de întreprinderi implicate într-o activitate economică comună; 

21.„autoritate de supraveghere” înseamnă o autoritate publică independentă instituită de un stat membru în temeiul articolului 51;

22.„autoritate de supraveghere vizată” înseamnă o autoritate de supraveghere care este vizată de procesul de prelucrare a datelor cu caracter personal deoarece:

1. operatorul sau persoana împuternicită de operator este stabilită pe teritoriul statului membru al autorității de supraveghere respective;

2. persoanele vizate care își au reședința în statul membru în care se află autoritatea de supraveghere respectivă sunt afectate în mod semnificativ sau sunt susceptibile de a fi afectate în mod semnificativ de prelucrare; 

3. la autoritatea de supraveghere respectivă a fost depusă o plângere;

23.„prelucrare transfrontalieră” înseamnă:

1. fie prelucrarea datelor cu caracter personal care are loc în contextul activităților sediilor din mai multe state membre ale unui operator sau ale unei persoane împuternicite de operator pe teritoriul Uniunii, dacă operatorul sau persoana împuternicită de operator are sedii în cel puțin două state membre;

2. fie prelucrarea datelor cu caracter personal care are loc în contextul activităților unui singur sediu al unui operator sau al unei persoane împuternicite de operator pe teritoriul Uniunii, dar care afectează în mod semnificativ sau este susceptibilă de a afecta în mod semnificativ persoane vizate din cel puțin două state membre; 

24.„obiecție relevantă și motivată” înseamnă o obiecție la un proiect de decizie în scopul de a stabili dacă există o încălcare a Regulamentului sau dacă măsurile preconizate în ceea ce privește operatorul sau persoana împuternicită de operator respectă prezentul regulament, care demonstrează în mod clar importanța riscurilor pe care le prezintă proiectul de decizie în ceea ce privește drepturile și libertățile fundamentale ale persoanelor vizate și după caz, libera circulație a datelor cu caracter personal în cadrul Uniunii; 

25.„serviciile societății informaționale” înseamnă un serviciu astfel cum este definit la articolul 1 alineatul (1) litera (b) din Directiva 98/34/CE a Parlamentului European și a Consiliului (19);

26.„organizație internațională” înseamnă o organizație și organismele sale subordonate reglementate de dreptul internațional public sau orice alt organism care este instituit printr-un acord încheiat între două sau mai multe țări sau în temeiul unui astfel de acord. 

27. “cookies” reprezintă fișiere text care conțin cantități mici de informații formate din litere și cifre, care sunt stocate pe dispozitivul utilizatorului, sunt instalate doar atunci când un webserver solicită acest lucru unui browser și sunt prelucrate prin intermediul unor tehnologii denumite generic “”module cookie”, în general în scopul optimizării funcționalității unui website sau a unei aplicațieii, efectuării de analize și statistici, facilitării accesului utilizatorului și oferirii unei experiențe mai sigure și mai eficiente de navigare, inclusiv afișarea de reclame în funcție de interesele utilizatorului.

 

2. Abrevieri

Banca - TECHVENTURES BANK S.A.

DPO/ OPD - Data Protection Officer/Ofiţer Protecţia Datelor

DJ - Departamentul Juridic

DPIA/ EIAP - Data protection impact assessment/ Evaluarea impactului asupra protecției datelor

BNR - Banca Naţională a României

ANSPDCP - Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal

Comisia - Comisia Europeană

ANAF - Agenția Națională de Administrare Fiscală

RECOM - Registrul Oficiului Comerțului

RNPM - Registrul Național de Publicitate Mobiliară

OCPI - Oficiul de Cadastru și Publicitate Imobiliară

MO - Monitorul Oficial

FATCA - Foreign Account Tax Compliance Act (“Legea conformității fiscale a conturilor straine” emisă de către autoritățile americane)

CRS - Common Reporting Standard (Standardul Comun de Raportare, reprezintă un set de standarde internaționale referitor la schimbul automat de informaţii cu privire la conturile financiare deținute de clienții instituțiilor financiare rezidenți din punct de vedere fiscal într-un alt stat)

DLP - Soluție Data Loss Prevention, reprezintă o soluție IT, care asigură protecția împotriva transmiterilor neautorizate de date cu caracter personal, pe diverse canale de comunicație cum ar fi: Email, Teams, SharePoint, One Drive

 

Capitolul 2. Prelucrarea datelor cu caracter personal

2.1.Principiile prelucrării 

Datele cu caracter personal trebuie să fie:

(a)prelucrate în mod legal, echitabil și transparent față de persoana vizată („legalitate, echitate și transparență”);

(b)colectate în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri; prelucrarea ulterioară în scopuri de arhivare în conformitate cu prevederile legislative aplicabile, nu este considerată incompatibilă cu scopurile inițiale („limitări legate de scop”);

(c)adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate („reducerea la minimum a datelor”); 

(d)exacte și, în cazul în care este necesar, să fie actualizate; trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate fără întârziere („exactitate”); 

(e)păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele; datele cu caracter personal pot fi stocate pe perioade mai lungi în măsura în care acestea vor fi prelucrate exclusiv în scopuri de arhivare în conformitate cu prevederile legislative aplicabile, sub rezerva punerii în aplicare a măsurilor de ordin tehnic și organizatoric adecvate prevăzute în prezenta Politică în vederea garantării drepturilor și libertăților persoanei vizate („limitări legate de stocare”); 

(f)prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare („integritate și confidențialitate”). 

Banca este responsabilă de respectarea principiilor de mai sus și trebuie să poată demonstra respectarea acestora. 

2.2.Legalitatea prelucrării

Prelucrarea este legală numai dacă și în măsura în care se aplică cel puțin una dintre următoarele condiții: 

(a)persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;

(b)prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;

(c)prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine Băncii;

(d)prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice, dacă este cazul;

(e)prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public;

(f)prelucrarea este necesară în scopul intereselor legitime urmărite de Bancă sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.

În cazul în care prelucrarea în alt scop decât cel pentru care datele cu caracter personal au fost colectate nu se bazează pe consimțământul persoanei vizate sau pe îndeplinirea unei obligaţii legale care îi revine Băncii, pentru a stabili dacă prelucrarea în alt scop este compatibilă cu scopul pentru care datele cu caracter personal au fost colectate inițial, Banca trebuie să ia în considerare cel puţin următoarele aspecte:

(a)orice legătură dintre scopurile în care datele cu caracter personal au fost colectate și scopurile prelucrării ulterioare preconizate;

(b)contextul în care datele cu caracter personal au fost colectate, în special în ceea ce privește relația dintre persoanele vizate și Bancă;

(c)natura datelor cu caracter personal, în special în cazul prelucrării unor categorii speciale de date cu caracter personal, sau în cazul în care sunt prelucrate date cu caracter personal referitoare la condamnări penale și infracțiuni;

(d)posibilele consecințe asupra persoanelor vizate ale prelucrării ulterioare preconizate;

(e)existența unor garanții adecvate, care pot include criptarea sau pseudonimizarea.

În cazul în care prelucrarea se bazează pe consimțământ, Banca trebuie să fie în măsură să demonstreze că persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal şi să ia în considerare şi următoarele aspecte:

1. în cazul în care consimțământul persoanei vizate este dat în contextul unei declarații scrise care se referă și la alte aspecte, cererea privind consimțământul trebuie să fie prezentată într-o maieră care o diferențiază în mod clar de celelalte aspecte, într-o formă inteligibilă și ușor accesibilă, utilizând un limbaj simplu și clar;

2. înainte de acordarea consimțământului, persoana vizată este informată cu privire la faptul că are dreptul să își retragă în orice moment consimțământul, dar că retragerea consimțământului nu afectează legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia;

3. prelucrarea datelor cu caracter personal care nu este necesară pentru executarea unui contract trebuie să se bazeze pe un consimțământ dat în mod liber, fără ca executarea contractului respectiv, inclusiv prestarea unui serviciu, să fie condiționată de acordarea consimțământului.

4. prelucrarea datelor cu caracter personal ale unui copil este legală dacă copilul are cel puțin vârsta de 16 ani. Dacă copilul are sub vârsta de 16 ani, respectiva prelucrare este legală numai dacă și în măsura în care consimțământul respectiv este acordat sau autorizat de titularul răspunderii părintești asupra copilului. 

5. prelucrarea de date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice, este interzisă în cadrul Băncii, iar prelucrarea de date biometrice pentru identificarea unică a unei persoane fizice sau de date privind sănătatea, este permisă numai dacă persoana vizată și-a dat consimțământul explicit pentru prelucrarea acestor date cu caracter personal pentru unul sau mai multe scopuri specifice şi numai cu respectarea prevederilor legislative aplicabile. Fac excepţie situaţiile în care prelucrarea este necesară în scopuri legate de medicina preventivă sau a muncii şi/sau de evaluarea capacității de muncă a angajaţilor Băncii, dar personalul de resurse umane sau alţi angajaţi ai Băncii care au acces la aceste date, au obilgaţia respectării cu stricteţe a confidenţialităţii acestor date.

6. prelucrarea de date cu caracter personal referitoare la condamnări penale și infracțiuni sau la măsuri de securitate conexe, se efectuează numai sub controlul unei autorități de stat sau în condiţiile prevăzute de legislaţia aplicabilă.

Alte exemple de prelucrări întemeiate pe consimțământ, sunt: 

1. prelucrări pentru transmiterea comunicărilor de marketing direct;

2. postarea sau utilizarea în scop de promovare a unor imagini cu persoana vizată, inclusiv de la evenimente organizate de Bancă.

Ulterior retragerii consimțământului (de exemplu pentru pentru prelucrarea imaginii), Banca nu va mai putea prelucra imaginea într-un context sau activitatea de prelucrare nouă (spre exemplu, prin integrarea imaginii în materiale publicitare noi ori în contextul unui nou proces de identificare biometrică), dar retragerea consimțământului nu va afecta prelucrarea deja realizată (spre exemplu, materialele în care a fost integrată imaginea persoanei vizate în baza consimțământului său inițial).

Banca, în calitate de entitate raportoare, poate prelucra date cu caracter personal pe baza prevederilor Legii nr. 129/2019 pentru prevenirea şi combaterea spălării banilor şi finanţării terorismului, precum şi pentru modificarea şi completarea unor acte normative, cu respectarea legislaţiei în vigoare privind prelucrarea datelor cu caracter personal, doar în scopul prevenirii spălării banilor şi a finanţării terorismului iar datele respective nu vor fi prelucrate ulterior într-un mod incompatibil cu acest scop. Este interzisă prelucrarea acestor date cu caracter personal în alte scopuri, cum ar fi cele comerciale.

În cazul prelucrării datelor cu caracter personal în scopul prevenirii spălării banilor şi a finanţării terorismului, Banca trebuie să furnizeze clienţilor noi, înainte de a stabili o relaţie de afaceri sau de a efectua o tranzacţie ocazională, cel puţin informaţiile prevăzute mai jos, cu excepţia cazului în care persoana este deja informată cu privire la aceste date: 

1. identitatea operatorului şi dacă este cazul, a reprezentantului;

2. scopul prelucrării căreia îi sunt destinate datele;

3. orice alte informaţii suplimentare, cum ar fi: 

   1. destinatarii sau categoriile de destinatari ai datelor;

   2. dacă răspunsurile la întrebări sunt obligatorii sau voluntare, precum şi consecinţele posibile ale evitării răspunsului;

   3. existenţa dreptului de acces la datele care o privesc şi de rectificare a datelor cu caracter personal, în măsura în care, ţinând seama de circumstanţele specifice în care sunt colectate datele, astfel de informaţii suplimentare sunt necesare pentru asigurarea unei prelucrări corecte a datelor cu privire la persoana vizată. 

Acestea trebuie să includă o informare generală cu privire la obligaţiile legale care îi revin Băncii în calitate de entitate raportoare în temeiul Legii 129/2019, atunci când prelucrează date cu caracter personal în scopul prevenirii spălării banilor şi a finanţării terorismului.

Prelucrarea datelor cu caracter personal în acest context este considerată ca fiind necesară în vederea ducerii la îndeplinire a unor măsuri de interes public, în conformitate cu prevederile Regulamentului (UE) 2016/679.

Datele cu caracter personal prelucrate în scopul prevenirii spălării banilor şi a finanţării terorismului vor fi raportate, păstrate și furnizate prompt la solicitarea autorităţilor competente, conform cerinţelor Legii 129/2019.

Banca va asigura, în conformitate cu principiile stabilite în Regulamentul (UE) 2016/679, protecţia datelor cu caracter personal ale clienților, reprezentanților legali sau convenționali ai clienților, împuterniciților pe cont/utilizatorilor clientului, beneficiarilor reali etc, precum și ale persoanei care raportează încălcarea de orice natură a Legii 129/2019, precum şi ale persoanei fizice suspectate că este responsabilă de încălcare.

2.3.Drepturile persoanelor vizate 

Persoanele vizate au următoarele drepturi, care le vor fi comunicate de către angajații Bancii prin utilizarea unui limbaj simplu și clar, în special pentru orice informații adresate în mod specific unui copil, precum şi prin înmânarea, sau atunci când este oportun, prin transmiterea în format electronic a documentului Informare privind drepturile în conformitate cu Regulamentul (UE) 679/27.04.2016 privind protecţia datelor personale, Anexa 1 la Procedura privind prelucrarea și protecţia datelor cu caracter personal și/sau după caz, a unor documente similare, specifice anumitor tipuri de prelucrări de date cu caracter personal (ex. Notă de informare cu privire la prelucrarea datelor cu caracter personal și a datelor biometrice în scopul deschiderii online a unui cont la TECHVENTURES BANK):

1. Dreptul la informare - În cazul în care datele cu caracter personal referitoare la o persoană vizată sunt colectate de către Bancă de la aceasta, Banca, în momentul obținerii acestor date cu caracter personal, furnizează persoanei vizate toate informațiile următoare: 

• identitatea si datele de contact ale operatorului de date şi după caz, ale reprezentantului acestuia;

• datele de contact ale responsabilului cu protecția datelor;

• categoriile de date cu caracter personal vizate și scopurile prelucrării datelor cu caracter personal, precum şi temeiul juridic al prelucrării de operator sau de o parte terţă;

• interesul legitim urmarit de operator sau de o parte terţă, prin prelucrarea datelor personale (atunci când prelucrarea este efectuată în temeiul interesului legitim);

• destinatarii sau categoriile de destinatari ai datelor cu caracter personal; 

• perioada pentru care se preconizează că vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;

• dacă este cazul, intenţia operatorului de a transfera date cu caracter personal catre o ţară terţă sau o organizaţie internatională și existența sau absența unei decizii a Comisiei Europene privind caracterul adecvat sau o trimitere la garanțiile adecvate sau corespunzătoare și la mijloacele de a obține o copie a acestora, în cazul în care acestea au fost puse la dispoziție;

• existenta drepturilor prevazute de legislația privind protecția datelor cu caracter personal pentru persoana vizată și condițiile în care pot fi exercitate;

• dacă furnizarea de date cu caracter personal reprezintă o obligație legală sau contractuală sau o obligație necesară pentru încheierea unui contract, precum și dacă persoana vizată este obligată să furnizeze aceste date cu caracter personal și care sunt eventualele consecințe ale nerespectării acestei obligații;

• existenţa unui proces decizional automatizat incluzând crearea de profiluri, precum şi informaţii pertinente privind logica utilizată şi privind importanţa şi consecinţele preconizate ale unei astfel de prelucrări pentru persoana vizată.

În cazul în care datele cu caracter personal nu au fost obținute de la persoana vizată, Banca furnizează persoanei vizate, pe lângă informațiile de mai sus și orice informaţii disponibile privind sursa datelor cu caracter personal și dacă acestea provin din surse disponibile public (dacă este cazul). Banca trebuie să furnizeze toate informațiile menționate:

1. într-un termen rezonabil după obținerea datelor cu caracter personal, dar nu mai mare de o lună, ținându-se seama de circumstanțele specifice în care sunt prelucrate datele cu caracter personal;

2. dacă datele cu caracter personal urmează să fie utilizate pentru comunicarea cu persoana vizată, cel târziu în momentul primei comunicări către persoana vizată respectivă;

3. dacă se intenționează divulgarea datelor cu caracter personal către un alt destinatar, cel mai târziu la data la care acestea sunt divulgate pentru prima oară.

2. Dreptul de acces – persoana vizată are oricand posibilitatea de a solicita Băncii şi de a obţine o confirmare referitoare la efectuarea sau nu a unor operaţiuni de prelucrare a datelor sale personale, iar în cazul în care sunt efectuate operaţiuni de prelucrare, acces la datele respective şi la informaţiile prevăzute de dreptul la informare (inclusiv furnizarea de către operator a unei copii a datelor personale care fac obiectul prelucrării);

3. Dreptul la rectificare - persoana vizată are dreptul de a obţine la cerere si in mod gratuit, rectificarea datelor inexacte care o privesc, precum și completarea datelor cu caracter personal care sunt incomplete, inclusiv prin furnizarea unei declaraţii suplimentare;

4. Dreptul la ştergere (cunoscut şi sub denumirea de “dreptul de a fi uitat”) - persoana vizată are dreptul de a solicita şi obţine stergerea datelor cu caracter personal prelucrate de catre Bancă, în cazul în care se aplică motivele prevazute de lege;

5. Dreptul la restricţionare - persoana vizată are dreptul de a obține din partea operatorului restricţionarea prelucrării în cazul în care contestă exactitatea datelor sau legalitatea prelucrării precum şi de a fi informată înainte de ridicarea restricţiei de prelucrare;

6. Dreptul la portabilitatea datelor - dreptul persoanei vizate de a primi, la cerere si in mod gratuit, datele cu caracter personal care o privesc si pe care le-a furnizat Băncii, intr-un format structurat, utilizat în mod curent și care poate fi citit automat, precum si dreptul ca aceste date sa fie transmise de catre Bancă altui operator de date, daca acest lucru este posibil din punct de vedere tehnic și sunt indeplinite conditiile prevazute de lege;

7. Dreptul la opoziţie – persoana vizată are dreptul de a se opune din motive legate de situaţia particulară în care se află, prelucrării datelor cu caracter personal (care o privesc) incusiv creării de profiluri pe această bază, precum şi de a se opune în orice moment prelucrărilor de date cu caracter personal care au drept scop marketingul direct, inclusiv creării de profiluri, în măsura în care este legată de marketingul direct.

8. Dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată – dreptul persoanei vizate de a cere și de a obține retragerea, anularea sau reevaluarea oricărei decizii individuale bazate exclusiv pe prelucrări efectuate prin mijloace automate (incluzând crearea de profiluri) care produce efecte juridice în privința persoanei vizate sau o afectează în mod similar într–o măsură semnificativă.

9. Dreptul de a depune o plângere, în conformitate cu reglementarile legale, la Autoritatea Naţionala de Supraveghere a Prelucrarii Datelor cu Caracter Personal, iar în cazul în care autoritatea de supraveghere nu tratează o plângere sau nu informează persoana vizată în termen de trei luni cu privire la progresele sau la soluţionarea plângerii depuse, fiecare persoană vizată are dreptul de a exercita o cale de atac judiciară eficientă împotriva operatorului.

Persoana vizată are și dreptul de retragere a consimţământului cu privire la prelucrarea datelor cu caracter personal, în orice moment, pentru datele prelucrate pe bază de consimțământ. Retragerea consimțământului nu afectează legalitatea prelucrării efectuate deja, pe baza consimţământului înainte de retragerea acestuia. 

În înţelegerea şi respectarea acestor drepturi trebuie luate în considerare şi următoarele aspecte:

1. Persoana vizată are dreptul de a primi datele cu caracter personal care o privesc și pe care le-a furnizat Băncii, pentru a permite persoanei vizate sa obţină şi să reutilizeze datele personale în scopuri proprii în cadrul diferilor servicii. Acest drept permite mutarea, copierea sau transferul datelor personale cu uşurinţă de la un mediu IT la altul, într-un mod sigur, acolo unde acest lucru este fezabil din punct de vedere tehnic, fără obstacole din partea Băncii dar şi fără a aduce atingere drepturilor și libertăților altora, în cazul în care: 

• prelucrarea se bazează pe consimțământ sau pe un contract;

• prelucrarea este efectuată prin mijloace automate. 

2. În orice moment, persoana vizată are dreptul să se opună, din motive legate de situația particulară în care se află, prelucrării datelor cu caracter personal care o privesc, inclusiv creării de profiluri pe baza respectivelor dispoziții. În această situaţie, Banca nu mai prelucrează datele cu caracter personal, cu excepția cazului în care demonstrează că are motive legitime și imperioase care justifică prelucrarea și care prevalează asupra intereselor, drepturilor și libertăților persoanei vizate sau că scopul este constatarea, exercitarea sau apărarea unui drept în instanță. 

3. Cel târziu în momentul primei comunicări cu persoana vizată, va fi adus în mod explicit în atenția persoanei vizate și prezentat în mod clar și separat de orice alte informații, faptul că atunci când prelucrarea datelor cu caracter personal are drept scop marketingul direct, persoana vizată are dreptul de a se opune în orice moment prelucrării în acest scop a datelor cu caracter personal care o privesc, inclusiv creării de profiluri, în măsura în care este legată de marketingul direct respectiv. În cazul în care persoana vizată se opune prelucrării în scopul marketingului direct, datele cu caracter personal nu mai sunt prelucrate în acest scop. 

Persoanele vizate vor fi informate că pentru obţinerea oricăror clarificări sau sprijin privind exercitarea drepturilor lor în relaţia cu Banca se pot adresa Ofiţerului Protecţia Datelor din cadrul Băncii, ale cărui date de contact vor fi furnizate prin intermediul documentului Informare privind drepturile în conformitate cu Regulamentul (UE) 679/27.04.2016 privind protecţia datelor personale, care va fi disponibil şi pe website-ul Băncii.

Drepturile menţionate mai sus se pot exercita prin adresarea de către persoana vizată a unei cereri scrise, transmisă pe suport hârtie sau în format electronic către una dintre unităţile teritoriale, sau direct către Ofiţerul Protecţia Datelor din cadrul Băncii, la care se va răspunde în termen de cel mult o lună de la primirea cererii. Această perioadă poate fi prelungită cu două luni atunci când este necesar, ţinându-se seama de complexitatea şi numărul cererilor, Banca informînd persoana vizată cu privire la orice astfel de prelungire, în termen de o lună de la primirea cererii, prezentând şi motivele întârzierii. În cazul în care persoana vizată introduce o cerere în format electronic, informațiile sunt furnizate în format electronic acolo unde este posibil, cu excepția cazului în care persoana vizată solicită un alt format. 

Dacă nu ia măsuri cu privire la cererea persoanei vizate, Banca informează persoana vizată, fără întârziere și în termen de cel mult o lună de la primirea cererii, cu privire la motivele pentru care nu ia măsuri și la posibilitatea de a depune o plângere în fața unei autorități de supraveghere și de a introduce o cale de atac judiciară. 

În cazul în care cererile din partea unei persoane vizate sunt în mod vădit nefondate sau excesive, în special din cauza caracterului lor repetitiv, Banca poate să refuze să dea curs cererii, dar având sarcina de a demonstra caracterul vădit nefondat sau excesiv al cererii. 

În cazul în care are îndoieli întemeiate cu privire la identitatea persoanei fizice care înaintează cererea de execitare a drepturilor, Banca poate solicita furnizarea de informații suplimentare necesare pentru a confirma identitatea persoanei vizate. 

În cazul în care Comisia va adopta acte delegate în vederea determinării informațiilor care urmează să fie prezentate de pictograme și a procedurilor pentru furnizarea de pictograme standardizate, Banca poate decide ca informațiile care urmează să fie furnizate persoanelor vizate să fie prezentate în combinație cu pictograme standardizate pentru a oferi într-un mod ușor vizibil, inteligibil și clar lizibil, o imagine de ansamblu semnificativă asupra prelucrării avute în vedere. În cazul în care pictogramele sunt prezentate în format electronic, acestea trebuie să poată fi citite automat. 

2.4.Precizări privind restricţionarea prelucrării datelor

Banca are obligaţia de a de curs solicitării persoanei vizate de restricționare a prelucrării datelor cu caracter personal, în următoarele situaţii: 

1. persoana vizată contestă exactitatea datelor, pentru o perioadă care îi permite Băncii să verifice exactitatea datelor; 

2. prelucrarea este ilegală, iar persoana vizată se opune ștergerii datelor cu caracter personal, solicitând în schimb restricționarea utilizării lor; 

3. Banca nu mai are nevoie de datele cu caracter personal în scopul prelucrării, dar persoana vizată i le solicită pentru constatarea, exercitarea sau apărarea unui drept în instanță; 

4. persoana vizată s-a opus prelucrării în conformitate cu drepturile sale, pentru intervalul de timp în care se verifică dacă drepturile legitime ale Băncii prevalează asupra celor ale persoanei vizate. 

În cazul în care prelucrarea a fost restricționată conform prevederilor de mai sus, datele cu caracter personal pot, cu excepția stocării, să fie prelucrate numai cu consimțământul persoanei vizate sau pentru constatarea, exercitarea sau apărarea unui drept în instanță sau pentru protecția drepturilor unei alte persoane fizice sau juridice sau din alte motive prevăzute de legislaţia aplicabilă. 

O persoană vizată care a obținut restricționarea prelucrării, trebuie să fie informată de către Bancă înainte de ridicarea restricției de prelucrare. 

2.5.Precizări privind ștergerea datelor 

Baca are obligația de a șterge datele cu caracter personal fără întârzieri nejustificate în cazul în care se aplică unul dintre următoarele motive: 

1. datele cu caracter personal nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate;

2. persoana vizată își retrage consimțământul pe baza căruia are loc prelucrarea și nu există niciun alt temei juridic pentru prelucrare;

3. persoana vizată se opune prelucrării și nu există motive legitime care să prevaleze în ceea ce privește prelucrarea;

4. datele cu caracter personal au fost prelucrate ilegal;

5. datele cu caracter personal trebuie șterse pentru respectarea unei obligații legale care revine Băncii.

În cazul în care Banca a făcut publice datele cu caracter personal și este obligată, în temeiul prevederilor de mai sus, să le șteargă, Banca, ținând seama de tehnologia disponibilă și de costul implementării, ia măsuri rezonabile, inclusiv măsuri tehnice, pentru a informa operatorii care prelucrează datele cu caracter personal în baza unei relaţii cu Banca, că persoana vizată a solicitat ștergerea de către acești operatori a oricăror linkuri către datele respective sau a oricăror copii sau reproduceri ale acestor date cu caracter personal. 

Prevederile privind ştergerea datelor nu se aplică în măsura în care prelucrarea este necesară pentru respectarea unei obligații legale care prevede prelucrarea, sau în scopuri de arhivare în conformitate cu prevederile legislaţiei aplicabile, sau pentru constatarea, exercitarea sau apărarea unui drept în instanță. 

Banca va comunica fiecărui destinatar căruia i-au fost divulgate datele cu caracter personal orice rectificare sau ștergere a datelor cu caracter personal sau restricționare a prelucrării efectuate conform prevederilor de mai sus, cu excepția cazului în care acest lucru se dovedește imposibil sau presupune eforturi disproporționate. Banca informează persoana vizată cu privire la destinatarii respectivi dacă persoana vizată solicită acest lucru. 

2.6.Scopurile și elemente conexe prelucrării

2.6.1.Datele clienților, non-clienților și partenerilor contractuali ai Băncii

Categoriile de date prelucrate

În calitate de operator de date, Banca, în relaţia cu clienţii săi, va prelucra date personale de natura următoarelor categorii: nume şi prenume, pseudonim (dacă este cazul), imagine, CNP sau un alt element unic de identificare similar, precum CUI pentru persoane fizice autorizate sau CIF pentru persoanele fizice care desfășoară profesii liberale, date act de identitate, data şi locul naşterii, rezidenţă, naţionalitate, cetăţenie, stare civilă, adresă de domiciliu/reşedinţă/corespondenţă, număr de telefon, adresă de e-mail, ocupaţie, loc de muncă, venit realizat, sursa şi beneficiarul real al fondurilor, expunere publică, apartenenţa la un grup de clienţi aflaţi în legătură, anumiţi identificatori acordaţi (ex. cod client, număr cont, serie card), tranzacţii efectuate şi informaţii specifice anumitor produse/ relaţii de afaceri. 

Scopurile și temeiurile prelucrării

În vederea încheierii și executării contractelor dintre Bancă și Client, Banca prelucrează datele cu caracter personal în următoarele scopuri: pentru încheierea, derularea și gestionarea relațiilor contractuale cu Clientul (inclusiv efectuarea unor demersuri, la cererea Clientului, înainte de încheierea unui contract), în vederea furnizării produselor și serviciilor financiar-bancare (inclusiv a serviciilor on-line și a funcționalităților și operațiunilor disponibile prin intermediul acestor servicii), încheierea și/sau executarea contractelor de asigurări, evaluarea bunurilor propuse în garanție, obținerea de garanții de la entități terțe, asigurarea suportului tehnic și a activităților de mentenanță, inclusiv cele necesare pentru derularea și gestionarea relației contractuale cu Clientul, obligații de raportare internă/externă, gestionarea unor incidente care pot aparea pe parcursul executării contractului dintre Bancă și Client, gestionarea reclamațiilor și sesizărilor primite cu privire la produsele și/sau serviciile bancare contractate, colectarea de debite/recuperarea creanțelor și activitățile premergătoare acestora, optimizarea serviciilor financiar-bancare și asigurarea calității datelor, realizarea de servicii de registratură și secretariat cu privire la corespondența adresată Băncii și/sau expediată de aceasta, precum și pentru desfășurarea activităților de curierat. De asemenea, Banca prelucrează date cu caracter personal în contextul relaționării telefonice și apelurilor video, toate apelurile primite sau efectuate de către Bancă prin call center fiind înregistrate. În cazul relaționărilor telefonice are loc o prelucrare a datelor cu caracter personal aparținând persoanelor cu care Banca interactionează, pentru întreprinderea demersurilor necesare pentru identificarea/ autentificarea Clientului, gestionarea calitatii datelor, furnizarea serviciilor bancare constând in operațiuni de plată/care implică tranzacții bancare, gestionarea solicitărilor și sesizărilor primite. În cazul apelurilor video datele vor fi prelucrate în scopul de a efectua identificarea clientului, în două faze care vor avea loc in paralel, una automată, efectuată de algoritmii aplicației informatice și una manuală, efectuata de operatorul uman, ambele procese validând documentul de identitate și stabilind similaritatea dintre figura persoanei aflată în apelul video și poza din documentul de identitate.

Pentru îndeplinirea acestor scopuri, Banca se va baza, în măsura în care este necesar și pe interesul său legitim în desfășurarea obiectului său de activitate. În vederea îndeplinirii interesului legitim în contextul desfășurarii obiectului său de activitate, Banca prelucrează datele cu caracter personal pentru evaluarea eligibilității în vederea furnizării unor produse și servicii bancare standard sau personalizate și reducerii riscului de creditare, pentru transmiterea/consultarea informațiilor la Biroul de Credit și Centrala Riscului de Credit înainte de intrarea într-o relație de creditare și pe parcursul derulării acesteia, după caz pentru efectuarea înregistrărilor în RNPM, prelucrează date colectate Bancă din alte surse externe (ex. parteneri contractuali ai Băncii în diverse domenii, organe de executare, surse publice – cum ar fi dar fără a se limita la RECOM, RNPM, OCPI, MO, social media, internet, de la furnizori privați de baze de date- ex. entități abilitate să administreze baze de date cu persoanele acuzate de finanțarea actelor de terorism și cele expuse public etc), efectuează operațiuni de prelucrare aferente gestionării unor evidențe interne, cum ar fi liste de avertizare, lista popririlor, lista litigiilor; date tranzacționale sau care rezultă din utilizarea produselor și serviciilor Băncii; date privind istoricul relației Clientului cu Banca, operațiuni de prelucrare aferente gestionării reclamațiilor și sesizarilor ori altor solicitari ale Clienților, operațiuni de prelucrare prin utilizarea sistemelor informatice și a serviciilor IT (inclusiv stocarea bazelor de date în țară sau în străinatate), precum și operațiuni de prelucrare în vederea imbunătățirii calității produselor și serviciilor bancare furnizate și a experienței Clienților în relația cu Banca.

În baza consimțămantului exprimat de către persoana vizată cu ocazia inițierii relației de afaceri sau în alte situații, prin oricare alte formulare/ modalitați puse la dispoziție de Bancă, aceasta poate colecta/prelucra date din surse externe (ANAF - în condițiile Ordinului ANAF nr. 146/2022), poate prelucra date biometrice pentru realizarea obiectului său de activitate, sau poate efectua operațiuni de prelucrare în scop de marketing direct adresat persoanelor fizice, inclusiv prin imputerniciții săi.

În vederea îndeplinirii obligațiilor sale legale, Banca prelucrează datele cu caracter personal prin preluarea în aplicațiile sale informatice a datelor din actul de identitate, conform cerintelor legale aplicabile în scopul cunoașterii clientelei în vederea prevenirii spălării banilor și combaterii finanțării terorismului (inclusiv prin crearea si utilizarea unor liste de avertizare), prevenirea și reducerea riscurilor legate de fraudă și corupție, garantarea secretului bancar, prin întreprinderea demersurilor necesare pentru identificarea clientelei, procesarea operațiunilor de plăți/incasari prin sistemele SWIFT, SEP, SENT, REGIS, TARGET, procesarea operațiunilor aferente cardurilor prin intermediul partenerilor Băncii si raportări către organizațiile de profil, raportarea tranzacțiilor, rapoarte despre incidentele de plați la Centrala Incidentelor de Plăți și alte raportări legale, realizarea de audituri si investigații interne, gestionarea conflictelor de interese, gestionarea solicitarilor si/sau controalelor efectuate de autorități, gestiunea administrativ-financiară, îndeplinirea obligațiilor de supraveghere bancară asupra Băncii, de raportare către autoritățile de supraveghere/alte entități și de conformare cu cerințele prudențiale aplicabile instituțiilor de credit. De asemenea, în vederea îndeplinirii obligațiilor sale legale, Banca poate prelucra datele cu caracter personal și pentru soluționarea cererilor autorităților/instituțiilor de stat competente (precum solicitările de informații din partea instanțelor, parchetelor, Ministerului de Interne și a altor structuri cu atribuții în acest sens, precum DNA, DIICOT etc) sau transmiterea informatiilor catre alti operatori, inclusiv terți în conformitate cu cerințele legale aplicabile (de ex., experți, notari, avocați, executori judecătorești).

Datele colectate în scopurile menționate pot fi prelucrate și în scopuri subsecvente, însă numai în măsura în care aceste scopuri subsecvente sunt compatibile cu scopurile inițiale în care au fost colectate datele.

În anumite situații, în vederea îndeplinirii scopurilor de prelucrare menționate, Banca poate să prelucreze date cu caracter personal aparținând anumitor categorii de persoane vizate (de exemplu, beneficiarii reali, sau asociați, acționari, reprezentanți legali sau convenționali, împuterniciți/delegați/alți angajați/colaboratori ai unei persoane juridice Client al Băncii, ori membri de familie ai Clientului persoană fizică - pentru care pot fi prelucrate date privind starea de sănătate, situația socială, financiară, profesională sau orice alte date relevante - în contextul unei solicitări cum ar fi acordarea unei facilități de creditare ori restructurarea/refinanțarea/darea în plată/cesiunea contractului de credit/cesiunea creanței/amânarea obligatiilor de plată aferente creditului), fără a dispune însă de modalitatea practică de a asigura în mod direct informarea acestor categorii de persoane, în situația în care Clientul este cel care transmite datele persoanelor vizate către Bancă. În acest context este responsabilitatea Clientului să informeze în prealabil persoanele în cauză cu privire la prelucrarea datelor lor cu caracter personal și să obțină consimțământul acestora privind prelucrarea datelor, în măsura în care este necesar, în vederea îndeplinirii condițiilor prevazute de cadrul legislativ aplicabil. De asemenea, în relația cu partenerii săi contractuali (sau în scopul încheierii unor contracte), Banca poate să prelucreze date cu caracter personal (cum ar fi dar fara a se limita la: nume, prenume, functie, semnatură, adresa de corespondență inclusiv e-mail, numar de telefon), ale unor persoane vizate din categoria reprezentanților legali/semnatari ai contractelor/convențiilor și ale altor persoane de contact responsabile de respectiva relație contractuală (indiferent că acestea sunt nominalizate in cuprinsul contractului sau comunicate ulterior), fără a dispune de modalitatea practică de a asigura în mod direct informarea acestor categorii de persoane și revine partenerului contractual al Băncii, obligația de a informa în prealabil persoanele în cauză cu privire la prelucrarea datelor lor cu caracter personal, în acest context.

Anumite date cu caracter personal colectate de Banca pot avea un regim special potrivit legislației aplicabile, context în care este necesară asigurarea unor garanții suplimentare pentru prelucrarea lor. Spre exemplu, prelucrarea de date cu caracter personal referitoare la condamnări penale și infracțiuni sau la măsuri de securitate conexe este permisă fie sub controlul unei autorități publice fie atunci când prelucrarea este autorizată de lege cu instituirea unor granții adecvate pentru drepturile și libertățile persoanelor vizate. În cazul prelucrării unor astfel de date cu regim special, Banca trebuie să asigure garantiile suplimentare prevăzute de legislația aplicabilă în domeniul protecției datelor.

Datele biometrice pot fi prelucrate în următoarele situații: 

1. Persoana vizată și-a dat consimțământul explicit pentru prelucrarea acestora pentru unul sau mai multe scopuri specifice;

2. Prelucrarea este necesară în scopul îndeplinirii obligațiilor și al exercitării unor drepturi specifice ale operatorului sau ale persoanei vizate în domeniul ocupării forței de muncă și al securității/ protecției sociale – în condițiile legale;

3. Alte situații (prelucrare necesară pentru protejarea intereselor vitale ale unei persoane/ prelucrare efectuată de un organism fără scop lucrativ - fundație, asociație etc/date cu caracter personal făcute publice în mod manifest de către persoana vizată/ prelucrare necesară în instanță/ prelucrare necesară din motive de interes public major – în condițiile legii/ prelucrare în scopuri legate de medicina preventivă sau a muncii, de evaluarea capacității de muncă a angajatului, asistență medicală etc/ prelucrare din alte motive de interes public.

Durata prelucrarii

În vederea realizarii scopurilor de prelucrare menționate, Banca va prelucra datele cu caracter personal pe durata relațiilor contractauale necesare îndeplinirii serviciilor bancare, precum și ulterior, atunci cand există un interes legitim, sau o obligație legală în acest sens, inclusiv dar fără limitare la dispozițiile în materia arhivării. Este posibil ca, în urma îndeplinirii termenelor legale de arhivare, Banca să dispună anonimizarea datelor, lipsindu-le astfel de caracterul personal și să continue prelucrarea datelor anonime pentru scopuri statistice.

Procese decizionale automatizate, incluzând crearea de profiluri 

În anumite situații, în activitatea desfășurată în cadrul Bancii se pot utiliza procesele decizionale automatizate, inclusiv ca urmare a creării unor profiluri. Acestea sunt decizii luate de Bancă, de regulă cu intervenția unui factor uman (inclusiv prin analiza/interpretarea rezultatelor de către acesta) și care pot produce efecte juridice și/sau pot afecta Clienții în mod similar, într-o măsură semnificativă. 

Asemenea situații, pot fi de exemplu: 

1. conform legislației aplicabile acordarea produselor de creditare este condiționată de existența unui anumit grad de îndatorare al solicitanților. Determinarea eligibilității de a contracta un produs de creditare raportat la gradul de îndatorare poate fi efectuată pe baza unor criterii automate, pornind de la nivelul veniturilor și al cheltuielilor pe care le înregistrează solicitantul, fiind utilizată inslusiv o aplicație de scoring a Băncii care va analiza date completate în cererea de credit coroborat cu informații rezultate din verificări efectuate în evidențele proprii ale Băncii și/sau în cele ale Centralei Riscului de Credit si Biroului de Credit, în scopul determinării riscului de credit, dar decizia finală de aprobare sau respingere a solicitării de credit este bazată pe analiza efectuată de angajații Băncii (intervenția umană); 

2. pentru aplicarea măsurilor de cunoaștere a clientelei în scopul prevenirii și combaterii spălării banilor și al finanțării terorismului, se vor efectua verificări în bazele de date cu persoanele suspecte de finanțare a actelor de terorism sau, după caz, cu persoane cu risc ridicat de fraudă, iar în cazul în care Clienții se regăsesc înscriși în aceste evidențe, Banca își rezervă dreptul de a refuza intrarea în relație de afaceri cu aceștia sau de a înceta relația contractuală. Pentru ca Banca să își îndeplinească în mod adecvat obligațiile de cunoaștere a clientelei, monitorizează tranzacțiile clienților, iar în cazul în care identifică operațiuni suspecte (cum ar fi plăți neobișnuite ca frecvență, valoare, raportat inclusiv la sursa fondurilor declarată de clienții titulari de cont sau la scopul și natura relației de afaceri, ori diferite alte anomalii), poate adopta în consecință măsuri de blocare a tranzacțiilor, cardurilor conturilor, inclusiv în mod automat;

3. măsuri de blocare a tranzacțiilor, cardurilor, conturilor, pot fi luate și pentru a proteja clienții împotriva fraudelor; 

4. în cazul în care clienții Bancii și-au exprimat pe formularul dedicat acordul pentru ca datele lor cu caracter personal să fie prelucrate în scop de marketing direct (transmiterea unor mesaje publicitare), pentru a se efectua doar promovarea produselor/serviciilor/evenimentelor care s-ar potrivi clienților, se pot realiza anumite profiluri bazate pe analiza automata a unor criterii, cum ar fi, dar fără a se limita la date despre tranzacții, vârstă, locaƫie, interval de venituri etc. Aceste profiluri pot determina doar promovarea unui anumit produs/serviciu/eveniment către clienții care corespund profilului respectiv, sau pot face ca doar persoanele care îndeplinesc criteriile profilului să poată beneficia de anumite oferte promoționale. 

Utilizarea modulelor cookie

Utilizarea modulelor cookie este în conformitate cu documentul Termeni și condiții de utilizare a modulelor cookies pe website-ul techventures.bank și în aplicația de Internet Banking și este bazată pe consimțământul expres al utilizatorului, prealabil începerii navighării pe website-ul Băncii. Acesta este exprimat prin intermediul unei fereastre de tip pop-up care informează utilizatorul cu privire la modulele cookie și prin care i se solicită consimțământul de a le utiliza. Cookie-urile pentru accesarea și continuarea navigării pe website-ul techventures.bank sunt strict necesare și sunt permanent active, iar cookie-urile de analiză și de publicitate sunt opționale. Pentru accesarea website-ului, utilizatorul are opțiunile de a accepta toate cookie-urile, de a selecta doar categoriile de cookie-uri care corespund preferințelor sale, sau de a bloca inclusiv cookie-urile strict necesare, din setările browser-ului utilizat, fiind informat că blocarea anumitor tipuri de cookie-uri poate influența experiența sa pe site și serviciile oferite, sau poate duce la indisponibilitatea anumitor funcții (în cazul blocării cookie-urilor strict necesare). De asemenea, utilizatorul are opțiunea de a dezactiva modulele cookie, prin restricționare, blocare sau ștergere, utilizând setările particulare ale browser-ului pe care îl folosește pentru navigare.

Consecințele refuzului de furnizare a datelor

Refuzul persoanelor vizate de a furniza/de a le fi prelucrate datele cu caracter personal necesare Băncii pentru încheierea/executarea unor contracte aferente produselor/serviciilor solicitate ori pentru soluționarea altor cereri ale acestora, pentru a-și îndeplini obligații legale și/sau pentru îndeplinirea unei sarcini care serveşte unui interes public, poate determina imposibilitatea, după caz, stabilirii unei relații de afaceri sau poate conduce la încetarea acesteia, imposibilitatea contractării sau utilizarii de către aceste persoane a produselor/serviciilor Băncii, sau poate face imposibilă împuternicirea acestora pe conturile Clienților persoane fizice și juridice titulari de cont. 

În cazul în care este necesară prelucrarea datelor de către Bancă în temeiul interesului său legitim, refuzul persoanelor vizate ca acestea să le fie prelucrate poate avea consecințe diferite, în funcție de situația concretă, respectiv în funcție de motivele pentru care Banca justifică prelucrarea și de motivele legate de situaţia particulară în care se află persoana vizată care se opune prelucrării datelor. pentru a prelucra datele în baza interesului legitim al Băncii și/sau al unor terți,

Destinatarii datelor cu caracter personal prelucrate

Pentru îndeplinirea scopurilor de prelucrare, Banca poate dezvalui datele cu caracter personal către următoarele categorii de destinatari: persoana vizată, reprezentanții legali sau convenționali ai persoanei vizate, reprezentanții/angajații Băncii cu atribuții privind prelucrarea datelor cu caracter personal, alte persoane fizice sau juridice care prelucrează datele personale în numele Băncii, parteneri contractuali ai Băncii, autoritatea judecatorească, autoritati publice centrale, inclusiv cu atributii in domeniul prevenirii și combaterii spălării banilor și finanțării terorismului, autoritați publice locale, autoritați/organe cu atribuții în materie penală, institutii bancare în contextul plăților initiate de Clientul Băncii, beneficiarul plății inițiate de Clientul Băncii, organizații internaționale (ex. Mastercard), furnizorii de servicii și bunuri, birouri de credit, fonduri de garantare, societăți de asigurare și reasigurare, organizații profesionale, organizații de cercetare a pietei, agenți de colectare a debitelor/recuperare a creanțelor. Pentru efectuarea operațiunilor de prelucrare a datelor cu caracter personal în relația cu diverși parteneri (societăți de asigurare, fonduri de garantare, furnizori de servicii de arhivare, pretatori de alte servicii etc), Banca va avea după caz în funcție de tipul operațiunilor de prelucrare și prevederile contractuale, calitatea de operator în relație cu o persoană împuternicită, operator asociat, operator independent, sau persoană împutenicită.

Transferuri de date cu caracter personal către state terțe și/sau organizații internaționale

Banca va transfera în străinatate date cu caracter personal atunci când este necesar pentru derularea contractelor încheiate cu Clienții (sau pentru aplicarea unor măsuri precontractuale adoptate la cererea Clientului în vederea încheierii unui contract), inclusiv atunci când Clienții ordonă prin intermediul Băncii tranzacții de plată către destinatari situați în state terțe și/sau când în procesarea/raportarea tranzacțiilor sunt implicate organizații internaționale (ex. Mastercard).

Banca va urmări ca astfel de transferuri să fie efectuate doar în situații specifice sau în baza unor garanții adecvate (cum ar fi, dar fără a se limita la, clauze contractuale standard adoptate de Comisia Europeană, reguli corporatiste obligatorii etc, precum și existeța unor drepturi și căi de atac eficiente pentru persoanele vizate), cu respectarea prevederilor GDPR. Banca va urmări ca astfel de transferuri să fie efectuate de regulă doar în state din cadrul Uniunii Europene (UE), dar în anumite situații pot exista si transferuri de date către state din afara UE, cum ar fi realizarea raportărilor FATCA în cazul în care clientului-persoana vizată îi sunt aplicabile direct dispozițiile legale privind regimul fiscal al SUA, CRS în cazul în care clientului-persoana vizată este rezident din punct de vedere fiscal într-un alt stat, ori transferuri către state care nu sunt considerate ca asigurând un nivel de protecție adecvat al datelor cu caracter personal, cum ar fi de exemplu cazurile în care Clienții Băncii ordonă tranzacții către destinatari situați în astfel de state. 

2.6.2.Datele angajaților și candidaților la ocuparea unor posturi/efectuarea unor stagii de practică în cadrul Băncii

Banca prelucrează următoarele categorii de date cu caracter personal ale angajaților săi: nume, prenume, serie si numar act de identitate, cod numeric personal, sex, data și locul nașterii, cetățenie, semnatură, imagine, telefon, e-mail, adresa de domiciliu/reședință, date din actele de stare civilă, date din hotărâri de divorț si/sau de încredințare a minorului, certificatele de naștere ale copiilor, profesie, funcție, loc de muncă, formare profesională (studii/certificari/atestate), date privind istoricul angajărilor, marca, date istorice privind salarizarea, măriri de salariu, bonusuri acordate, informații privind monitorizarea activității, informatii privind istoricul training-urilor, obisnuințe/preferințe/comportament, date privind starea de sănătate, date privind sancțiuni disciplinare, date privind cazierul judiciar, date privind săvârșirea de infractiuni, date cu caracter personal care pot rezulta in cursul cercetărilor disciplinare, descrierea incidentelor raportate prin intermediul whistleblowing, ora intrării/ ieșirii din incintele Băncii, precum și orice alte categorii de date pe care angajații Băncii le furnizează în mod direct.

Suplimentar categoriilor de date menționate mai sus, pentru scopul facilitării accesului la servicii medicale pentru membrii de familie ai angajaților sau terțe persoane, Banca va prelucra următoarele categorii de date aparținând soțului/soției/copiilor angajaților sau terțelor persoane: nume, prenume, numar si serie act de identitate, adresa, telefon, e-mail, cod numeric personal.

Având în vedere că datele cu carcater personal mai sus menționate nu se obtin în mod direct de la membrii de familie ai angajaților sau ale terțelor persoane și că Banca nu ar avea cum sa realizeze, în mod practic, informarea acestora cu privire la activitățile de prelucrare, angajații Băncii iși asumă responsabilitatea să se asigure ca membrii lor de familie sau terțele persoane au fost informați în mod corect și complet și că s-a obtinut consimțământul acestora (în masura în care este necesar, potrivit prevederilor legale) cu privire la activitățile de prelucrare menționate.

Furnizarea datelor cu caracter personal de către angajați este necesară pentru Bancă în scopul gestionării raporturilor de muncă/mandat/colaborare, precum și pentru îndeplinirea obligațiilor legale ce revin Băncii în calitate de angajator. 

Datele cu caracter personal ale angajaților sunt stocate de către Bancă în vederea prelucrării lor pe durata derulării relației de muncă/mandat/colaborare și ulterior, conform prevederilor din reglementările interne ale Băncii, precum și în conformitate cu cerințele legale aplicabile, inclusiv, dar fara limitare dispozițiile în materia arhivării.

Refuzul furnizării acestor date poate atrage imposibilitatea gestionării relației de muncă/mandat/colaborare și a îndeplinirii obligațiilor menționate.

În vederea îndeplinirii scopurilor de prelucrare a datelor, Banca poate dezvălui datele cu caracter personal ale angajaților săi către următoarele categorii de destinatari: parteneri contractuali, imputerniciți, autorități publice centrale/locale, furnizori de servicii medicale, furnizori de servicii privind pensiile facultative, furnizori de servicii de asigurări, precum și angajaților în cazul primirii unei solicitări în baza dreptului de acces.

Banca prelucrează următoarele categorii de date personale ale candidaților la ocuparea unui post: date care îi sunt furnizate în mod direct de către candidați: nume, prenume, sex, data și locul nașterii, cetățenie, imagine, numar de telefon, adresă de e-mail, adresă de domiciliu/reședință, date din CV, date obținute la interviuri organizate, date de contact ale unor persoane care pot furniza referințe, scrisori de recomandare, precum și date pe care le generează pe baza acestora, cum ar fi de exemplu rezultatele unor teste tehnice/de personalitate.

În procesul de recrutare Banca prelucrează date cu caracter personal ale candidaților în scopul efectuării demersurilor necesare înaintea încheierii contractului de muncă/de colaborare în următoarele scopuri: analiza pre-angajare a pregătirii și experienței profesionale pe baza datelor din CV, a reputației și integritatii candidatilor, în vederea conformarii cu regulile prudentiale aplicabile, identificării conflictelor de interese care ar putea fi generate de activitățile extra-profesionale, precum și de relațiile de rudenie, precum şi pentru confirmarea informaţiilor din CV-uri/biografii/scrisori de intenţie şi după caz, pentru obţinerea unor scrisori de recomandare şi/sau pentru realizarea unor verificări privind performanţele anterioare. De asemenea, în scopul urmăririi unei bunei reputaţii a viitorilor angajaţi, se poate verifica imaginea pe care o are un candidat în presă şi/sau pe reţelele de socializare (iclusiv care este tonul şi direcţia postărilor publice pe reţelele de socializare), precum şi dacă respectivul candidat este implicat în vreun litigiu care ar putea afecta reputaţia Băncii sau a unui client al acesteia (prin consultarea unor informaţii publice, cum sunt cele listate pe portalul instanţelor de judecată). Datele vor fi prelucrate si pentru întocmirea şi transmiterea unei oferte scrise din partea Băncii privind condiţiile de angajare, în cazul candidaturilor acceptate de Bancă, pentru întocmirea documentelor şi îndeplinirea formalităţilor necesare angajării, în cazul acceptării de către candidaţi a ofertei Băncii, precum și pentru îndeplinirea unor obligaţii legale, ca efectuarea unui control medical anterior angajării, la clinica de medicină a muncii parteneră a Băncii, în condiţiile legislaţiei aplicabile privind asigurarea sănătaţii şi securităţii în muncă. 

Banca procesează și datele cu caracter personal ale candidaților le efectuarea unor stagii de practică în cadrul Bancii, precum și după caz ale îndrumătorilor/supervizorilor acestora, potrivit convențiilor/ contractelor încheiate cu instituții de învățământ, în scopul derulării stagiilor respective, iar categoriiile de date prelucrate sunt datele din actul de identitate și datele de contact (numărul de telefon și adresa de e-mail) ale candidatului la efectuarea stagiului de practică și respectiv numele, funcția și datele de contact (numărul de telefon și adresa de e-mail) ale îndrumatorului/supervizorului acestuia.

Datele cu caracter personal ale candidaților la ocuparea unor posturi în cadrul Băncii (care nu au fost selectați în procesul de recrutare inițial), precum și datele persoanelor care au efectuat stagii de practică în cadrul Băncii, vor fi stocate pentru o perioadă (durată) de 18 luni, în vederea identificării unor viitoare oportunităţi de angajare.

2.6.3.Alte prelucrări de date

Datele vor fi prelucrate și în pentru realizarea interesului legitim al Băncii, cum ar fi supravegherea video în vederea asigurării protecţiei bunurilor şi persoanelor, în scopul evitării pierderi datelor pentru garantarea securităţii sistemelor informatice. În acest scop, Banca urmărește surprinderea unor cadre largi/de ansamblu, care nu au ca focus imaginea persoanei vizate (clienți/non-clienți care efectuează tranzacții ocazionale/vizitatori/angajați), dar care o pot surprinde în măsura în care o persoană vizată se află în cadru.

Datele vor fi păstrate în evidențele Băncii pentru o perioadă de 30 de zile, care poate fi prelungită numai în situațiile expres reglementate de lege sau în cazuri temeinic justificate. La expirarea perioadei de păstrare datele vor fi șterse. În cazul producerii unui incident de securitate (inclusiv a unei încălcări a securității datelor cu caracter personal), durata de păstrare a înregistrărilor video poate depăşi durata normală de pastrare, în funcţie de timpul necesar investigării suplimentare a incidentului de securitate.

Capitolul 3. Măsuri tehnice şi organizatorice pentru prelucrarea datelor

3.1.Măsuri tehnice şi organizatorice pentru prelucrarea datelor în cadrul Băncii

Ținând seama de natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și de riscurile cu grade diferite de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice pe care le prezintă prelucrarea, dar şi având în vedere stadiul actual al dezvoltării/ tehnologiei şi costurile implementării, Banca, atât în momentul stabilirii mijloacelor de prelucrare cât și în cel al prelucrării în sine, pune în aplicare măsuri tehnice și organizatorice adecvate, care sunt destinate să asigure respectarea în mod eficient a principiilor de protecție a datelor și asigură integrarea garanțiilor necesare în cadrul prelucrării, pentru a proteja drepturile persoanelor vizate şi a garanta și a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prevederile prezentei Politici şi cu îndeplinirea cerinţelor GDPR.

Măsurile tehnice şi organizatorice respective asigură că, în mod implicit:

1. sunt prelucrate numai date cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrării; această obligație, poate fi interpretată în sensul reducerii la minimum a datelor şi se aplică volumului de date colectate, gradului de prelucrare a acestora, perioadei lor de stocare și accesibilității lor;

2. datele cu caracter personal nu pot fi accesate, fără intervenția persoanei, de un număr nelimitat de persoane.

Aceste măsuri tehnice și organizatorice includ, după caz: 

1. pseudonimizarea și criptarea datelor cu caracter personal; 

2. capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continuă a sistemelor și serviciilor de prelucrare; 

3. capacitatea de a restabili disponibilitatea datelor cu caracter personal și accesul la acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică; 

4. un proces pentru testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării. 

La evaluarea nivelului adecvat de securitate, se ține seama în special de riscurile prezentate de prelucrare, generate în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod.

Banca are implementate soluții privind jurnalizarea accesului la date, soluții antivirus, soluții de prevenire a pierderii datelor și soluții de asigurare a continuității activității, soluții de criptare a datelor, soluții de limitare a accesului la date, soluții de pseudonimizare și/sau anonimizare, măsuri de identificare și autentificare a utilizatorilor bazelor de date, securizarea căilor de acces către încăperile în care sunt stocate documente sau echipamente ce conțin date cu caracter personal etc.

Banca monitorizează prin intermediul soluției DLP, în conformitate cu cadrul de reglementare aplicabil, traficul de date cu caracter personal, tansmise de toți utilizatorii interni, prin e-mail, în afara Băncii, precum și alertele generate automat de DLP, în funcție de volumul datelor transmise, sau în cazul identificării unor tentative de transmitere date în format criptat/parolat, precum și tentativele de transmitere a datelor cu caracter personal pe canalele Teams, SharePoint, One Drive, care sunt automat blocate de DLP. Singurul canal autorizat de transmitere a datelor cu caracter personal în afara Băncii este e-mailul.

3.2.Măsuri în cazul prelucrării datelor de către persoane împuternicite de Bancă

În cazul în care prelucrarea urmează să fie realizată în numele Băncii (de exemplu în cazul activităţilor externalizate sau al prelucrării de date de către alţi operatori cu care Banca are încheiate contracte), se urmărește respectarea următoarelor cerinţe:

1. Banca va recurge doar la persoane împuternicite care oferă garanții suficiente pentru punerea în aplicare a unor măsuri tehnice și organizatorice adecvate, astfel încât prelucrarea să respecte cerințele prevăzute în prezentul regulament și să asigure protecția drepturilor persoanelor vizate. 

2. Persoana împuternicită de Bancă nu trebuie să recruteze o altă persoană împuternicită fără a primi în prealabil o autorizație scrisă, specifică sau generală, din partea Băncii. 

3. În cazul unei autorizații generale scrise, persoana împuternicită de Bancă informează Banca cu privire la orice modificări preconizate privind adăugarea sau înlocuirea altor persoane împuternicite, oferind astfel posibilitatea Băncii de a formula obiecții față de aceste modificări. 

4. Prelucrarea de către o persoană împuternicită de Bancă este reglementată printr-un contract sau act adiţional la contract, care are caracter obligatoriu pentru persoana împuternicită de Bancă în raport cu Banca și care stabilește cel puţin următoarele:

• obiectul prelucrării;

• durata prelucrării;

• natura prelucrării;

• scopul prelucrării;

• tipul de date cu caracter personal;

• categoriile de persoane vizate;

• obligațiile și drepturile părţilor. 

5. Respectivul contract sau act juridic prevede în special că persoană împuternicită de Bancă: 

1. prelucrează datele cu caracter personal numai pe baza unor instrucțiuni documentate din partea Băncii, inclusiv în ceea ce privește transferurile de date cu caracter personal către o țară terță sau o organizație internațională;

2. se asigură că persoanele autorizate să prelucreze datele cu caracter personal s-au angajat să respecte confidențialitatea sau au o obligație statutară adecvată de confidențialitate;

3. respectă condiţia de a nu recruta o altă persoană împuternicită fără a primi în prealabil o autorizație scrisă, specifică sau generală, din partea Băncii, iar în cazul în care recrutează o altă persoană împuternicită pentru efectuarea de activități de prelucrare specifice în numele Băncii, respectă obligaţii prevăzute la punctul i) de mai jos;

4. ținând seama de natura prelucrării, oferă asistență Băncii prin măsuri tehnice și organizatorice adecvate, în măsura în care acest lucru este posibil, pentru îndeplinirea obligației Băncii de a răspunde cererilor privind exercitarea de către persoana vizată a drepturilor acesteia;

5. ajută Banca să asigure respectarea obligațiilor prevăzute de GDPR, ținând seama de caracterul prelucrării și informațiile aflate la dispoziția persoanei împuternicite de Bancă;

6. la alegerea Băncii, șterge sau returnează acesteia toate datele cu caracter personal după încetarea furnizării serviciilor legate de prelucrare și elimină copiile existente, cu excepția cazului în care legislaţia aplicabilă impune stocarea datelor cu caracter personal;

7. pune la dispoziția Băncii toate informațiile necesare pentru a demonstra respectarea obligațiilor prevăzute de GDPR, permite desfășurarea auditurilor, inclusiv a inspecțiilor, efectuate de Bancă sau alt auditor mandatat și contribuie la acestea;

8. informează imediat Banca în cazul în care, în opinia sa, o instrucțiune încalcă GDPR sau alte dispoziții legale;

9. înștiințează Banca fără întârzieri nejustificate după ce ia cunoștință de o încălcare a securității datelor cu caracter personal;

10. în cazul în care persoana împutenicită de Bancă recrutează o altă persoană împuternicită pentru efectuarea de activități de prelucrare specifice în numele Băncii, aceleași obligații privind protecția datelor prevăzute în contractul sau în alt act juridic încheiat între Bancă și persoana împuternicită de Bancă, revin celei de a doua persoane împuternicite, prin intermediul unui contract sau al unui alt act juridic în condiţiile prevăzute de legislaţia aplicabilă, în special furnizarea de garanții suficiente pentru punerea în aplicare a unor măsuri tehnice și organizatorice adecvate, astfel încât prelucrarea să îndeplinească cerințele GDPR. În cazul în care ce de-a doua persoană împuternicită nu își respectă obligațiile privind protecția datelor, persoana împuternicită inițială rămâne pe deplin răspunzătoare față de Bancă în ceea ce privește îndeplinirea obligațiilor acestei a doua persoane împuternicite.

Banca și persoana împuternicită de acesta iau măsuri pentru a asigura faptul că orice persoană fizică care acționează sub autoritatea Băcii sau a persoanei împuternicite de operator și care are acces la date cu caracter personal nu le prelucrează decât la cererea Bancii, cu excepția cazului în care această obligație îi revine baza dispoziţiilor legale aplicabile.

Structurile din Bancă responsabile de activitatea care face obiectul contractului cu persoana împuternicită evaluează periodic (de regulă trimestrial, dar periodicitatea poate fi adaptată specificului activității), conformarea persoanelor împuternicite, cu obligațiile stabilite prin contract. Această evaluare se poate face de sine stătător sau în contextul auditării stabilite conform cadrului legal aplicabil (de exemplu pentru activitățile externalizate).

3.3.Evidenţa activităţilor de prelucrare la nivelul Băncii

Banca păstrează o evidență scrisă, în format electronic a activităților de prelucrare desfășurate sub responsabilitatea sa, care cuprinde următoarele informații: 

• numele și datele de contact ale Băncii și după caz, ale opertaorilor asociaţi, ale reprezentanţilor Băncii si operatorilor asociaţi și ale responsabilului cu protecția datelor din cadrul Băncii şi din cadrul operatorilor asociaţi;

• scopurile prelucrării;

• descrierea categoriilor de persoane vizate și a categoriilor de date cu caracter personal;

• categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv destinatarii din țări terțe sau organizații internaționale;

• dacă este cazul, transferurile de date cu caracter personal către o țară terță sau o organizație internațională, inclusiv identificarea țării terțe sau a organizației internaționale respective și după caz, documentația care dovedește existența unor garanții adecvate; 

• acolo unde este posibil, termenele-limită preconizate pentru ștergerea diferitelor categorii de date;

• acolo unde este posibil, o descriere generală a măsurilor tehnice și organizatorice de securitate;

• în cazul în care Banca deţine calitatea de operator asociat/ persoană împuternicită de un operator, evidenţa va conţine şi numele și datele de contact ale fiecărui operator în numele căruia acționează Banca, precum și ale reprezentantului operatorului și ale responsabilului cu protecția datelor, iar dacă Banca împuterniceşte la rândul său un alt operator pentru aceste activităţi, evidenţa va conţine şi datele similare pentru acesta.

Banca sau persoana împuternicită de acesta, precum și, după caz, reprezentantul Băncii sau al persoanei împuternicite de Bancă pun evidențele la dispoziția autorității de supraveghere, la cererea acesteia şi cooperează, la cerere, cu autoritatea de supraveghere în îndeplinirea sarcinilor acesteia.

3.4.Păstrarea evidențelor privind existența consimțământului

În cazul în care este necesar consimțământul, Banca trebuie sa fie în măsură să demonstreze că persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal, prin urmare trebuie să solicite exprimarea consimțământului în forme ce permit păstrarea evidențelor privind existența acestuia.

Exprimarea consimțământul poate fi efectuată inclusiv printr-o acțiune directă manifestată de persoana vizată în acest scop, de exemplu: 

1. prin bifarea unei casete în mediul online;

2. prin răspunsul afirmativ dat de persoana vizată la întrebarea pusă de reprezentantul Băncii (aplicată în baza unui script de interacțiune cu potențialii clienți), cu reflectarea opțiunii, în sistemele IT ale Băncii. 

Notă: 

În cazul exprimării consimțământului oral și reflectarea acestuia în aplicații de către reprezentanții Băncii:

• documentarea caracterului liber al consimțământului se poate realiza și prin modul de configurare a sistemelor IT;

• angajații Băncii responsabili pentru relația cu clienții vor primi instrucțiuni clare privind modul în care va fi colectat consimțământul (de ex., prin sesiuni de formare profesionale dedicate, proceduri, instrucțiuni etc.);

• persoana vizată trebuie atenționată să verifice reflectarea corectă a opțiunilor exprimate înainte să semneze documentele furnizate de Bancă.

Banca are obligația de a menține log-urile sau orice altă evidență care demonstrează obținerea consimțământului:

1. pe toată durata operațiunii de prelucrare a datelor bazată pe temeiul juridic al consimțământului, precum și o perioadă de până la 3 ani după încetarea operațiunii respective, cu excepția situației în care există un alt motiv întemeiat, care să impună un termen mai îndelungat de păstrare;

2. o periodă de 8 ani, pentru consimțămîntul acordat de persoanele vizate, în vederea obțienerii de informații de la ANAF în condițiile Ordinului ANAF 146/2022, precum și pentru solicitarile de informații (incluzând seturile de date colectate pentru interogare)și răspunsurile ANAF, aferente.

3.5.Evaluarea impactului operaţiunilor de prelucrare asupra protecţiei datelor 

Având în vedere natura, domeniul de aplicare, contextul și scopurile prelucrării, în cazul în care un tip de prelucrare, în special cel bazat pe utilizarea noilor tehnologii, este susceptibil să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, Banca efectuează, înaintea prelucrării, o evaluare a impactului operațiunilor de prelucrare prevăzute asupra protecției datelor cu caracter personal (DPIA), care va fi avizată de DPO. Pentru un set de operațiuni de prelucrare similare care prezintă riscuri ridicate similare, se poate efectua o evaluare unică.

DPIA va conține cel puțin: 

1. o descriere sistematică a operațiunilor de prelucrare preconizate și a scopurilor prelucrării, inclusiv, după caz, interesul legitim urmărit de Bancă, în calitate de operator; 

2. o evaluare a necesității și proporționalității operațiunilor de prelucrare în legătură cu aceste scopuri;

3. o evaluare a riscurilor pentru drepturile și libertățile persoanelor vizate;

4. măsurile preconizate în vederea abordării riscurilor, inclusiv garanțiile, măsurile de securitate și mecanismele menite să asigure protecția datelor cu caracter personal și să demonstreze conformitatea cu dispozițiile GDPR, luând în considerare drepturile și interesele legitime ale persoanelor vizate și ale altor persoane interesate.

DPIA este privită ca un instrument pentru a ajuta la luarea deciziilor cu privire la prelucrare și este practică în stadiul proiectării operațiunii de prelucrare – în mod optim este derulată în paralel cu proiectarea operațiunilor de prelucrare chiar dacă la momentul inițierii sale unele dintre operațiile de prelucrare sunt încă necunoscute. În sensul celor mai bune practici, după elaborare, DPIA este revizuită continuu și reevaluată în mod regulat, efectuarea DPIA fiind considerată un process continuu și nu un exercițiu unic.

Dacă prelucrarea de date este efectuată parțial sau în totalitate de o persoană împuternicită de operator, persoana împuternicită de operator trebuie să ajute operatorul la realizarea DPIA și să furnizeze informațiile necesare.

În baza Deciziei ANSPDCP nr. 174/2018 privind lista operaţiunilor pentru care este obligatorie realizarea evaluării impactului asupra protecţiei datelor cu caracter personal, se poate considera că operațiunile care ar fi aplicabile activității Băncii pentru care este obligatorie DPIA sunt următoarele: 

1. prelucrarea datelor cu caracter personal în vederea realizării unei evaluări sistematice şi cuprinzătoare a aspectelor personale referitoare la persoane fizice, care se bazează pe prelucrarea automată, inclusiv crearea de profiluri şi care stă la baza unor decizii care produc efecte juridice privind persoana fizică sau care o afectează în mod similar într-o măsură semnificativă; 

2. prelucrarea pe scară largă a unor categorii speciale de date, conform celor menționate la subcapitolul 2.2., punctele v) și vi); 

3. prelucrarea datelor cu caracter personal având ca scop monitorizarea sistematică pe scară largă a unei zone accesibile publicului, cum ar fi supravegherea video;

4. prelucrarea pe scară largă a datelor cu caracter personal ale persoanelor vulnerabile, în special ale minorilor şi ale angajaţilor, prin mijloace automate de monitorizare şi/sau înregistrare sistematică a comportamentului, inclusiv în vederea desfăşurării activităţilor de reclamă, marketing şi publicitate;

5. prelucrarea pe scară largă a datelor cu caracter personal prin utilizarea inovatoare sau implementarea unor tehnologii noi, în special în cazul în care operaţiunile respective limitează capacitatea persoanelor vizate de a-şi exercita drepturile, cum ar fi utilizarea tehnicilor de recunoaştere facială în vederea facilitării accesului în diferite spaţii. 

Când este necesar, Banca efectuează o analiză pentru a evalua dacă prelucrarea are loc în conformitate cu evaluarea impactului asupra protecției datelor, cel puțin atunci când are loc o modificare a riscului reprezentat de operațiunile de prelucrare.

3.6.Măsuri în cazul încălcării securității datelor cu caracter personal 

În cazul în care are loc o încălcare a securității datelor cu caracter personal, Banca prin DPO notifică acest lucru ANSPDCP, fără întârzieri nejustificate și dacă este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoștință de aceasta, cu excepția cazului în care este puțin probabil să genereze un risc pentru drepturile și libertățile persoanelor fizice.

Notificarea va cuprinde cel puţin următoarele:

1. descrie caracterul încălcării securității datelor cu caracter personal, inclusiv, acolo unde este posibil, categoriile și numărul aproximativ al persoanelor vizate în cauză, precum și categoriile și numărul aproximativ al înregistrărilor de date cu caracter personal în cauză;

2. comunică numele și datele de contact ale responsabilului cu protecția datelor sau un alt punct de contact de unde se pot obține mai multe informații;

3. descrie consecințele probabile ale încălcării securității datelor cu caracter personal;

4. descrie măsurile luate sau propuse spre a fi luate de operator pentru a remedia problema încălcării securității datelor cu caracter personal, inclusiv, după caz, măsurile pentru atenuarea eventualelor sale efecte negative. 

În cazul în care notificarea către autoritatea de supraveghere nu are loc în termen de 72 de ore, aceasta este însoțită de o explicație motivată pentru întârziere. 

Atunci când și în măsura în care nu este posibil să se furnizeze informațiile în același timp, acestea pot fi furnizate în mai multe etape, fără întârzieri nejustificate. 

Persoanele împuternicite de Bancă înștiințează Banca fără întârzieri nejustificate după ce iau cunoștință de o încălcare a securității datelor cu caracter personal. 

Banca păstrează documente referitoare la toate cazurile de încălcare a securității datelor cu caracter personal, care cuprind o descriere a situației de fapt în care a avut loc încălcarea securității datelor cu caracter personal, a efectelor acesteia și a măsurilor de remediere întreprinse, pentru a permite ANSPDCP să efectueze verificările corespunzătoare.

În cazul în care încălcarea securității datelor cu caracter personal este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, Banca informează persoana vizată fără întârzieri nejustificate cu privire la această încălcare. 

În informarea transmisă persoanei vizate se include o descriere într-un limbaj clar și simplu a caracterului încălcării securității datelor cu caracter personal, precum și cel puțin următoarele:

1. descrie caracterul încălcării securității datelor cu caracter personal;

2. comunică numele și datele de contact ale responsabilului cu protecția datelor sau un alt punct de contact de unde se pot obține mai multe informații;

3. descrie consecințele probabile ale încălcării securității datelor cu caracter personal;

4. descrie măsurile luate sau propuse spre a fi luate de Bancă pentru a remedia problema încălcării securității datelor cu caracter personal, inclusiv, după caz, măsurile pentru atenuarea eventualelor sale efecte negative. 

Informarea persoanei vizate nu este necesară în cazul în care oricare dintre următoarele condiții este îndeplinită: 

1. Banca a implementat măsuri de protecție tehnice și organizatorice adecvate, iar aceste măsuri au fost aplicate în cazul datelor cu caracter personal afectate de încălcarea securității datelor cu caracter personal, în special măsuri prin care se asigură că datele cu caracter personal devin neinteligibile oricărei persoane care nu este autorizată să le acceseze, cum ar fi criptarea;

2. Banca a luat măsuri ulterioare prin care se asigură că riscul ridicat pentru drepturile și libertățile persoanelor vizate nu mai este susceptibil să se materializeze;

3. informarea ar necesita un efort disproporționat; în această situație, se efectuează în loc o informare publică sau se ia o măsură similară prin care persoanele vizate sunt informate într-un mod la fel de eficace. 

DPO va aprecia oportunitatea informării persoanelor vizate şi va propune Comitetului de Conducere măsurile adecvate.

De asemenea, Banca va efectua informarea persoanei/lor vizate la solicitarea ANSPDCP, în cazul în care acesta ia în considerare probabilitatea ca încălcarea securității datelor cu caracter personal să genereze un risc ridicat. ANSPDCP poate decide şi dacă oricare dintre condițiile menționate la punctele a) - c) sunt îndeplinite şi în consecinţă, nu este necesară informarea persoani/lor vizate.

Capitolul 4.Responsabilităţi în prelucrarea datelor cu caracter personal

Întregul personal al Băncii are responsabilitatea respectării, în activitatea de prelucrare a datelor cu caracter personal, a prevederilor prezentei Politici şi ale celorlalte reglementări interne şi legislative aplicabile, iar personalul implicat în încheierea cu entităţi terţe a unor contracte/ convenţii/ acorduri sau acte juridice de altă natură care pot viza aspecte de protecţia datelor personale, are obligaţia de a urmări împreună cu DJ încheierea în condiţii corespunzătoare a acestora, precum şi modul de derulare a acestora pe parcursul duratei relaţiei contractuale.

Ca urmare a faptului că activitățile principale ale Băncii includ operațiuni de prelucrare care, prin natura, domeniul de aplicare și/ sau scopurile lor, necesită o monitorizare periodică și sistematică a persoanelor vizate, Banca va desemna un responsabil cu protecţia datelor (DPO), care va fi implicat în mod corespunzător și în timp util în toate aspectele legate de protecția datelor cu caracter personal. Responsabilul cu protecția datelor va fi desemnat din cadrul personalului Băncii, pe baza calităților profesionale și în special, a cunoștințelor de specialitate în dreptul și practicile din domeniul protecției datelor, precum și pe baza capacității de a îndeplini sarcinile stabilite, iar datele de contact ale acestuia vor fi publicate pe pagina de website a Băncii şi comunicate ANSPDCP (prin completarea on-line a formularului de declarare a responsabilului cu protecția datelor existent pe site-ul ANSPDCP), precum şi celorlalte entităţi terţe interesate, cu toate actualizările ulterioare. DPO poate îndeplini și alte sarcini și atribuții, dar Banca trebuie să se asigure că niciuna dintre aceste sarcini și atribuții nu generează un conflict de interese. 

DPO are obligația de a respecta secretul/ confidențialitatea în ceea ce privește îndeplinirea sarcinilor sale, în conformitate cu prevederile reglementărilor interne şi legale aplicabile.

Banca sprijină DPO în îndeplinirea sarcinilor sale, asigurându-i resursele necesare pentru:

1. executarea corespunzătoare a acestor sarcini;

2. accesarea tuturor datelor cu caracter personal și a operațiunilor de prelucrare;

3. menținerea cunoștințelor sale de specialitate.

Banca se asigură că DPO nu primește niciun fel de instrucțiuni în ceea ce privește îndeplinirea sarcinilor sale şi că acesta nu este demis sau sancționat pentru îndeplinirea sarcinilor sale, iar DPO răspunde direct în fața Consiliului de Administraţie al Băncii. 

Banca se asigură că persoanele vizate pot contacta DPO cu privire la toate aspectele legate de prelucrarea datelor lor și în vederea exercitării drepturilor lor în conformitate cu prezenta Politică, precum şi cu prevederile GDPR şi legislaţiei aplicabile. 

Principalele responsabilităţi şi atribuţii ale DPO, sunt următoarele:

1. Informarea și consilierea Băncii, sau a persoanelor împuternicite de Bancă, cu privire la obligațiile care le revin în temeiul reglementărilor referitoare la protecția datelor;

2. Monitorizeaza continuu intreg procesul de conformare cu cerintele GDPR la nivelul Băncii prin colectarea de informatii in vederea identificarii operatiunilor de prelucrare, analizeaza si verifica conformitatea operatiunilor de prelucrare; informeaza, consiliaza si emite recomandari;

3. Contribuie la elaborarea sau actualizarea politicilor, procedurilor si normelor interne cu privire la GDPR;

4. Identifica si evalueaza riscurile de neconformitate, propune recomandari si monitorizeaza implementarea masurilor de remediere privind activitatea prelucrarii datelor cu caracter personal;

5. Asigura informarea si ofera consiliere tuturor directiilor/ departamentelor/ unităţilor teritoriale impactate de GDPR;

6. Asigura instruirea/dezvoltarea profesionala angajaților cu responsabilitati in aria de protectie a datelor;

7. Actioneaza ca punct de contact pentru ANSPDCP privind aspectele legate de prelucrarea datelor cu caracter personal, avand atributii inclusiv referitoare la consultarea prealabila cu, ANSPDCP pentru aspecte privind activitățile de prelucrare care ar putea conduce la un risc ridicat pentru persoana vizată şi pentru care nu au fost identificate acţiuni de mitigare adecvate, sau aspecte de altă natură;

8. Ofera asistenta si se pronunta asupra actiunilor necesare atunci cand are loc o incalcare a securitatii datelor sau un alt incident; notifica autoritatea si persoanele vizate, dupa caz;

9. Detine un registru al operatiunilor de prelucrare a datelor cu caracter personal intocmit pe baza informatiilor furnizate de directii/departamente din cadrul organizatiei;

10. Elaborează şi întreţine un jurnal despre toate încălcările de securitate a datelor care apar, împreună cu efectele și acțiunile de remediere întreprinse;

11. Testează periodic planul de incidente/ încălcare a securităţii datelor, cu suportul Departamentului Informatica/altor structuri implicate;

12. Asigură consiliere cu privire la identificarea existenţei unor riscuri majore pentru persoanele vizate, în cazul noilor produse, tehnologii, procese sau proiecte şi după caz a realizării unor analize de impact, pe care le avizează înainte de implementarea acestora; monitorizează activitățile de procesare pentru a respecta recomandările stabilite;

13. Supraveghează evaluarea cel puțin anuală în cadrul Băncii a riscurilor privind activităţile de prelucrare a datelor cu caracter personal;

14. Monitorizează/urmăreşte implementarea unor procese prin care se asigură respectarea și evaluarea impactului legilor sau reglementărilor noi sau modificate, cel puțin o dată pe an; 

15. Urmăreşte ca toate cererile primite de la persoanele vizate, privind exercitarea drepturilor acestora, să primească răspuns în termenele stabilite;

16. Monitorizează prin intermediul unor soluții informatice specifice, traficul de date cu caracter personal direcționat în afara Băncii, în scopul identificării/prevenirii unor tentative de transmitere neautorizată a datelor;

17. Avizează reglementările interne și proiectele de contracte în relația cu partenerii Băncii, din perspectiva implicațiilor/prevederilor/clauzelor privind prelucrarea și protecția datelor cu caracter personal;

18. Atunci cand este invitat, participa la sedintele organelor de conducere si analizeaza in prealabil documentatia cu impact pe protectia datelor in vedere formularii de opinii; 

19. Elaboreaza si transmite situatii si raportari (periodice si ocazionale) vizand activitatea desfasurată;

20. Prezintă propuneri conducerii Băncii, privind modul de implementare a recomandărilor/măsurilor formulate de Banca Națională a României/alte autorități, auditori externi etc, care vizează aria sa de responsabilitate.

În îndeplinirea sarcinilor sale, DPO ține seama în mod corespunzător de riscul asociat operațiunilor de prelucrare, luând în considerare natura, domeniul de aplicare, contextul și scopurile prelucrării.

Capitolul 5.Control intern

Procesul de control intern asupra activităţii de prelucrare a datelor cu caracter personal va fi asigurat de coordonatorii structurilor organizaţionale din cadrul Băncii (direcţii/ departamente/ unităţi teritoriale) pentru activităţile de prelucrare derulate în cadrul structurilor respective, va fi supervizat de DPO şi verificat de funcţiile de control de la nivelul Băncii şi va consta în principal în analiza şi verificarea:

1. modului de implementare a prevederilor prezentei Politici şi a celorlalte reglementări interne si legislative aplicabile;

2. corectitudinii şi legalităţii tuturor operaţiunilor de prelucrare în sensul respectării reglementărilor menţionate;

3. securităţii, confidenţialitătii şi integritătii datelor şi informaţiilor;

4. evaluării, înregistrării şi conservării datelor şi istoricului operaţiunilor de prelucrare;

5. securităţii şi funcţionării corespunzătoare a sistemului informatic şi de comunicaţii;

6. operaţiunilor de orice natură, în vederea depistării în timp util a acelora care pot genera pierderi, prejudicii şi/sau fraude.

Capitolul 6.Dispoziţii finale

Respectarea prevederilor prezentei Politici este urmărită de Bancă atât în cazul în care asigură prelucrarea datelor în calitate de operator de date cu caracter personal, cât şi în cazul în care acţionează ca operator asociat/ persoană împuternicită în numele unui alt operator de date cu caracter personal.

Prevederile prezentei Politici, precum şi măsurile puse în aplicare de Bancă pentru respectarea acesteia, se revizuiesc și se actualizează ori de câte ori este necesar, dar cel puțin anual.

În cazul în care între prevederile prezentei Politici şi dispoziţiile legislative aplicabile există discrepanţe, acestea din urmă prevalează.