Regulamentul UE 2016/679 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date (“Regulamentul” sau „GDPR”), contine o serie de reguli care vizeaza asigurarea prelucrarii datelor cu caracter personal in conformitate cu drepturile si libertatile fundamentale ale persoanelor fizice cu scopul de a creste nivelul de protectie a datelor personale.

Prezenta informare cuprinde detalii referitoare la aceste cerinte ale regulamentului si modalitatea in care Banca Comerciala Intesa Sanpaolo Romania S.A. prelucreaza datele cu caracter personal.

SECTIUNEA 1 - IDENTITATEA SI DATELE DE CONTACT ALE OPERATORULUI DE DATE

BANCA COMERCIALA INTESA SANPAOLO ROMANIA S.A. cu sediul social in Municipiul Bucuresti, Soseaua Nicolae Titulescu, nr. 4-8, Cladirea America House, Aripa Est si Aripa Vest, etaj 6, Sector 1, Cod postal 011141, in calitatea sa de Operator de date (denumita in continuare “Banca”) prelucreaza datele cu caracter personal (“date personale”) obtinute direct sau indirect de la dumneavoastra, inclusiv datele personale ale tertilor pe care le-ati furnizat in cadrul relatiilor contractuale existente cu Banca, in scopurile indicate in cadrul acestei informari. Persoanele fizice ale caror date sunt prelucrate de catre Banca sunt denumite in continuare „persoane vizate”.

In calitatea sa de operator de date cu caracter personal, Intesa Sanpaolo Bank Romania va avea intotdeauna in vedere ca prelucrarile de date sa fie caracterizate de legalitate, echitate si transparenta, datele solicitate fiind adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate.

SECTIUNEA 2 - RESPONSABILUL CU PROTECTIA DATELOR

B.C. Intesa Sanpaolo Romania S.A. a numit un Responsabil cu Protectia Datelor” (“DPO”) in conformitate cu cerintele Regulamentului. In cazul in care doriti informatii privind prelucrarea datelor dumneavoastra personale si/sau exercitarea drepturilor prevazute de Regulament, astfel cum sunt enumerate in Sectiunea 9 din prezenta informare, va rugam sa adresati o solicitare fie prin e-mail: dpo@intesasanpaolo.ro , fie prin posta la adresa din Bucuresti, Soseaua Nicolae Titulescu, nr. 4-8, Cladirea America House, Aripa Est si Aripa Vest, etaj 6, Sector 1, Cod postal 011141.

SECTIUNEA 3 – CATEGORII DE PERSOANE VIZATE SI CATEGORII DE DATE PRELUCRATE

A. Categorii de persoane vizate 

Functie de relatia de afaceri si stadiul de desfasurare al acesteia, Banca prelucreaza date cu caracter personal ale urmatoarelor categorii de persoane vizate precum, dar fara a se limita la:

• • potentiali clienti/clienti persoane fizice
  • potentiali clienti/clienti persoane fizice autorizate (PFA),
  • potentiali clienti/clienti intreprinzatori persoane fizice titulare ale Intreprinderii individuale;
  • potentiali clienti/clienti persoane fizice care desfasoara in mod independent, in condițiile legii, o profesie reglementata;
  • fosti clienti, din oricare din categoriile anterior mentionate;
  • reprezentanti legali, inclusiv tutorii sau curatorii sau reprezentanti convenționali ai clientilor din categoriile anterior mentionate;
• • reprezentanti legali sau conventionali ai garantilor persoane juridice, ai fideiusorilor persoane juridice, ai codebitorilor persoane juridice;
  • garanti ai persoanelor fizice, fideiusorii persoane fizice, codebitorii persoane fizice, beneficiarii reali persoane fizice;
  • mandatari;
  • acționari, asociati si/sau alte categorii de persoane fizice relevante in contextul relatiei contractuale dintre un client si Banca, ale caror date cu caracter personal sunt divulgate Bancii direct de acestia/acestea sau de catre clienti, pentru acestia/acestea;
  • parteneri contractuali persoane fizice ai Bancii sau reprezentanti sau angajati ai partenerilor contractuali persoane juridice ai Bancii, etc;

• • terti persoane fizice si/sau persoane juridice/autoritati si, inclusiv reprezentantii legali sau conventionali ai acestora, in masura in care au calitatea de parti litigante in actiunile judiciare in care Banca este parte.

B. Categorii de Date cu Caracter Personal

In functie de scopul si natura relatiei, Banca poate prelucra date cu caracter personal precum, dar fara a se limita la:

• • date de identificare directa sau indirecta, precum: nume, prenume, CNP sau NIF, denumire persoana fizica autorizata si CIF, date din continutul actelor de identitate, al pasaportului, documentelor de rezidenta fiscala furnizate Bancii, cetatenie, data, locul si tara nasterii, tara de rezidenta, semnatura olografa si electronica, imaginea faciala (fotografia din actul de identitate, "selfie" - fotografia realizata cu ajutorul telefonului mobil/tabletei, imaginea video), aceste date fiind convertite in date biometrice pentru verificarea identitatii dumneavoastra prin tehnica de recunoastere faciala;
  • date de contact (adresa de domiciliu/resedinta/corespondenta, adrese electronice si nr. de telefon mobil);
  • datele din actele de stare civila, situatia familiala, date privind studiile, situatia profesionala, profesia, ocupatia, functia, locul de munca/numele angajatorului, tipul contractului de munca (perioada determinata / nedeterminata), data ultimei angajari, date privind vechimea in munca/vechime in profesie, functia publica detinuta, expunerea politica (daca este cazul);
  • situatia economica si financiara (venituri, date privind tranzactiile, istoric tranzactional, relatia cu alte banci);
  • date necesare pentru stabilirea credibilitatii dumneavoastra, a posibilitatii de achitare a creditelor, a capacitatii de plata, a comportamentului de plata, informații cu privire la bonitatea dumneavoastră, inclusiv scorul FICO, modul de îndeplinire al altor criterii de eligibilitate, informatii privind proprietatile detinute, precum si situatia litigiilor;
  • date financiare legate de sursa, tipul, fluctuațiile și nivelul veniturilor dumneavoastră, rulajul contului bancar, angajamentele de plată lunare, popriri sau executări silite, date despre creditul refinanțat, dacă este cazul; informatiile legate de angajamentele inregistrate in conturi bilantiere si extrabilantiere (produse de tip credit, similar sau de asigurari); informatii privind indeplinirea sau neindeplinirea angajamentelor fata de Banca;
  • date privind situația actuală și istoricul relațiilor de creditare cu instituțiile financiare, bancare și nebancare și informații care derivă din acestea în urma prelucrărilor efectuate de instituțiile financiare (ex. datele înregistrate în sisteme de tipul Biroului de Credit, Centrala Riscului de Credit, informații provenite din baze de date publice etc.);
  • date privind activitatea frauduloasă, date referitoare la suspiciuni și condamnări legate de infracțiuni precum frauda, spălare de bani și finanțarea actelor de terorism (ex: date provenite de la autorități, date provenite de la alte instituții financiare sau din baze de date publice precum Starbyte, World Check, portalul instanțelor de judecată etc.);
  • informatii privind garantarea obligatiilor dumneavoastra contractuale fata de Banca (inclusiv identitatea si datele personale ale garantului, in masura necesara incheierii si executarii contractului de garantie) sau privind garantarea obligatiilor unui alt client al Bancii (garantie reala mobiliara, drept de ipoteca, garantie personala sau alte mijloace de garantare permise de lege);
  • date privind beneficiarul real și apartenența la un grup de clienți, participatia in alte societati;
  • date privind serviciile și produsele bancare utilizate, accesorii ale acestora și date privind modalitatea de accesare a acestora sau de accesare a paginii web a instituției de credit (produsele bancare achiziționate și tranzacțiile bancare, extrase de cont, date privind istoricul tranzacțiilor, garanțiile oferite instituției de credit, date bancare precum lichiditatea; sistemul de operare al dispozitivului utilizat pentru accesarea serviciilor online);
  • adresa IP a dispozitivului/echipamentului (e.g. telefon mobil, computer, tableta etc.) utilizat pentru accesarea serviciilor de Internet si Mobile Banking ale Bancii, nume utilizator si alte date de accesare, fișierele de acces (log-uri); date privind locația geografică, paginile web vizitate și traficul în aplicațiile Bancii, preferințe personale și cookies);
  • date privind starea de sănătate, în cazul persoanelor care dețin un produs de asigurare sau solicită restructurarea unui produs de credit;
• • date referitoare la interacțiunile persoanei vizate cu Banca pe rețelele de socializare;
  • vocea si alte informatii rezultate din înregistrările audio precum înregistrarea conversațiilor telefonice efectuate cu personalul Bancii din centrele de servicii-suport clienți;

• • informatii rezultate in urma inregistrarii video in cazul in care vizitati una din locatiile noastre (unitati teritoriale sau sediu central) sau utilizati un ATM al Bancii;
  • date obtinute din instructiunile de plata, date provenite din instalarea si utilizarea aplicatiilor Bancii sau categorii speciale de date cu caracter personal.

In ceea ce priveste prelucrarea categoriilor speciale de date cu caracter personal (care dezvaluie originea rasiala sau etnica, opiniile politice, confesiunea religioasa sau convingerile filozofice sau apartenenta la sindicate si prelucrarea de date genetice, de date biometrice pentru identificarea unica a unei persoane fizice, de date privind sanatatea sau de date privind viata sexuala sau orientarea sexuala ale unei persoane fizice) necesare pentru a furniza servicii si produse specifice, Banca poate prelucra date cum ar fi: date biometrice necesare identificarii la distanta prin mijloace video, date privind sanatatea necesare fie in vederea incheierii unui produs de asigurare sau pentru restructurarea unui produs de credit, pentru asigurarea accesibilizarii produselor si/sau serviciilor contractate sau cele asimilate serviciilor de asistenta sociala. Aceste prelucrari se bazeaza pe consimtamantul persoanei vizate, fara a aduce atingere cazurilor specifice prevazute de Regulament care permit prelucrarea categoriilor speciale de date cu caracter personal, fara consimtamantul explicit.

C. Obtinerea datelor personale

Banca obtine datele personale direct de la persoanele vizate (client, imputernicit, reprezentant legal etc. la momentul completarii documentelor/formularelor solicitate sau al utilizarii serviciilor Bancii (ex: Internet si Mobile Banking), sau de la terti prin intermedierea informatiilor (de exemplu, prin brokeri de credite/furnizorii de lead-uri) sau prin interogarea de baze de date/platforme sau site-uri de informatii publice, in conditiile legii (de exemplu, prin interogarea bazei de date a Registrului National pentru Evidenta Persoanelor, a bazei de date ANAF sau prin interogarea informatiilor publice de pe siteuri/platforme precum portal.just.ro sau RECOM) sau de la clientii Bancii in cadrul unor contracte specifice pentru produse/servicii bancare (ex: date ale garantilor, persoane de contact etc.).

D. Tipologii de prelucrare a datelor

Conform Regulamentului UE 2016/679, prin „prelucrare de date” se intelege orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea.

SECTIUNEA 4 - SCOPURILE SI TEMEIURILE LEGALE DE PRELUCRARE

Scopurile si temeiul juridic al prelucrarii

Datele personale obtinute de Banca sunt prelucrate ca parte a activitatii sale, in baza urmatoarelor temeiuri legale in vederea indeplinirii urmatoarelor scopuri:

a. In vederea executarii unui contract la care adera persoana vizata sau pentru actiunile premergatoare incheierii unui contract, conform art. 6, alin. 1, lit. b din GDPR, Banca prelucreaza datele cu caracter personal astfel, dar fara a se limita la: colectarea datelor potentialilor clienti in vederea initierii relatiei de afaceri; prelucrarea datelor clientilor, necesare pentru demersuri in vederea incheierii si executarii contractului, respectiv pentru prestarea anumitor servicii bancare sau realizarea de tranzactii dupa initierea relatiei de afaceri; furnizarea serviciilor de obtinere a certificatului de semnătură electronică calificata atașate produselor și serviciilor furnizate de Banca și solicitate de persoanele vizate, prin canalele puse la dispozitie de Banca; realizarea si autorizarea unor operațiuni de tranzacționare, depunere/retragere sume, transfer interbancar și intrabancar; realizarea scoring-urilor în vederea contractării unui credit; prelucrarea datelor pentru analize de risc in scopul deciziei de aprobare/respingere si, dupa caz, a administrarii relatiei de client; operatiuni si tranzactii privind activele si pasivele Bancii (precum, dar fara a se limita la cesiuni de creante); colectarea debite/recuperarea creante si toate activitatile conexe, inclusiv actiunile de contactare, notificare, executare silita; prelucrarea datelor reprezentand credentiale de logare in aplicatiile utilizate de persoanele vizate in relatie cu Banca; prelucrari in vederea furnizarii produselor de asigurare asociate produselor de creditare specifice; prelucrarea datelor in vederea derularii contractelor de asigurare incheiate de Banca sau contractate de client pentru acoperirea diferitelor riscuri; transmiterea de comunicari si notificari cu privire la derularea contractului de prestare servicii bancare; operatiuni de inscriere a ipotecilor mobiliare si publicitate a operatiunilor juridice aferente;

b. In vederea indeplinirii unor obligații/cerințe legale ce-i revin Bancii, conform art. 6, alin. 1, lit. c din GDPR, datele cu caracter personal vor fi prelucrate in urmatoarele scopuri, dar fara a se limita la acestea: aplicarea masurilor de cunoastere a clientelei si a măsurilor de prevenire și combatere a spălării banilor și finanțării terorismului (Legea nr 129/2019, Regulamentul BNR nr. 2/2019) sau de aplicare a sancțiunilor internaționale, precum prelucrari necesare pentru realizarea identificării față în față și/sau la distanță prin mijloace audio și/sau video (tip video-selfie, autentificarea pe o platforma electronică), monitorizarea relatiei de afaceri atat in ceea ce priveste verificarea identitatii, inclusiv prin interogarea bazelor de date ale Registrului National de Evidenta a Persoanelor, derularea si monitorizarea tranzactiilor, inclusiv raportarea tranzacțiilor suspecte catre autoritatile competente, consultarea bazelor de date relevante, cum ar fi cele gestionate de Agenția Națională de Administrare Fiscală și Centrala Riscului de Credit, RECOM, Starbyte, World Check, Dow Jones, sau alti prestatori de servicii similare (Keysfin, ICAP, etc), portalul instanțelor de judecată, adrese și informații de la autorități și instituții publice etc.; efectuarea demersurilor de prevenire și combatere a fraudelor; derularea de actiuni de audit sau obligatii de raportare conform legi catre diverse institutii/organisme de stat, precum BNR, Ministerul Finantelor, ANAF, ASF, CRC, inclusiv pentru raportări FATCA când Persoana vizată este cetățean SUA și raportări CRS pentru combaterea evaziunii fiscale; prelucrarea datelor din contractele de prestari servicii, precum îndeplinirea cerințelor legale din aria plăților/serviciilor de plăți; prelucrarea datelor unor terti, din documentele justificative (precum contracte de chirii, contracte de utilitati) necesare indeplinirii cerintelor de cunoastere a clientelei; verificarea si consemnarea identității vizitatorilor unităților financiar bancare si prelucrarea imaginilor video, in conformitate cu Legea nr. 333/2003 si Hotararea Guvernului 301/2012; soluționarea cererilor autorităților/instituțiilor de stat competente (precum solicitările de informații din partea instanțelor, parchetelor, Ministerului de Interne și a altor structuri cu atribuții în acest sens, precum DIICOT etc); gestionarea reclamațiilor și sesizărilor ce vizează produsele și/sau serviciile bancare contractate de către persoana vizată precum și a exercitării de către persoanele vizate a drepturilor reglementate de GDPR; transmiterea de notificări și informări privind produsele și serviciile deținute și relația de afaceri sau a altor informari expres reglementate de lege (precum prezenta Informare); evaluarea solvabilitatii, bonitatii si eligibilității unui client/garant/codebitor in vederea acordarii unui credit; realizarea executărilor silite a sumelor datorate precum și a administrării popririlor și sechestrelor;

c. In vederea indeplinirii intereselor legitime ale Bancii, în baza art. 6, alin.1, lit.f din GDPR, datele cu caracter personal vor fi prelucrate in urmatoarele scopuri, dar fara a se limita la acestea: consultarea unor surse publice, inclusiv a bazelor de date cu informatii de risc, in vederea asigurarii unui nivel optim de cunoastere a clientelei in vederea prevenirii spalarii banilor si combaterii finantarii terorismului, dar si in vederea asigurarii exactitatii datelor prin furnizarea de catre Directia Generala pentru Evidenta Persoanelor („DGEP”) a datelor din actele de identitate ale clientilor existenti, precum si informatii legate de decesul unui client (daca este cazul) printr-un schimb reciproc de informatii prin interogarea bazei de date a DGEP, atat in vederea actualizarii continue a datelor cu ocazia initierii relatiei de client, cat si pe parcursul derularii acesteia inclusiv in anumite situatii specifice (ex: suspiciuni de frauda); prelucrari privind gestionarea reclamatiilor si sesizarilor, dar si pentru exercitarea și apărarea drepturilor Bancii in instanță; operatiuni de reducere a riscului de frauda prin monitorizarea tranzacțiilor, inclusiv contactarea persoanelor vizate implicate; prevenirea si investigarea fraudelor pentru a preîntâmpina fraudele tranzacționale și plățile nedatorate, incusiv prin aderarea la serviciul SANB (in colaborare cu Transfond si alti participanti); prelucrari de date in scopuri statistice sau efectuarea de analize pe baza de informatii agregate; prelucrarea in sistemele de tipul Biroului de Credit (in relatie cu care Banca are calitatea de Operator Asociat); activitatile realizate in vederea recuperarii debitelor inclusiv prin apelarea la serviciile unei entitati terte; consultarea in evidentele Registrului Comertului in vederea administrarii dosarelor de insolventa pentru persoanele fizice; prelucrarea datelor prin actiuni de tip studii de piata sau sondaje/opinii (inclusiv Second-day call) efectuate in vederea imbunatatirii produselor si serviciilor Bancii si optimizarea fluxurilor, politicilor și a procedurilor interne; prelucrari privind inscrierea in concursurile, tombolele, promotiile sau alte campanii similare pe care Banca le organizeaza, in regim propriu sau in colaborare Grupul din care face parte Banca si/sau cu partenerii sai de afaceri, in cazul in care sunt indeplinite criteriile de eligibilitate prevazute in regulamentul campaniei; prelucrari prin instrumente de securitate informatica (precum DLP, firewall); prelucrarea date in medii de test in procesul de proiectare, dezvoltare si utilizare a sistemelor informatice, in cazurile in care obiectivele testarii sunt calitatea si/sau acuratetea datelor; prelucrari de date efectuate in vederea optimizarii fluxurilor si aplicatiilor dedicate, prin asigurarea suportului tehnic si a activitatilor de mentenanta; inregistrarea audio a convorbirilor telefonice realizate de catre personalul din cadrul Contact Center in vederea soluționarii anumitor cereri, realizarii unor investigatii, probarii unui litigiu, precum si pentru imbunatatirea calitatii serviciilor; transmiterea de comunicari in scop educativ si informativ pentru a asigura utilizarea corecta a produselor detinute, reamintirea facilitatilor asociate produselor detinute sau cresterea nivelului de intelegere asupra masurilor de siguranta pentru prevenirea fraudelor (de ex. mesaje awareness card skimming, e-mail phising etc); obtinerea unor imagini sau inregistrari video prin folosirea sistemelor de supraveghere video in scop de securitate fizica si suspiciuni de frauda; prelucrari automate, fara insa a exclude interventia umana, in activitati de segmentare si profilare de marketing in vederea oferirea unor produse personalizate sau configurarii unor oferte dedicate; efectuarea raportarilor specifice la nivelul Grupului Intesa Sanpaolo ce pot cuprinde date privind persoana, proprietatea, activitatea, afacerea sau relațiile de afaceri sau cu persoanele din cadrul aceluiași grup de clienți care constituie sau pot constitui un singur risc, respectiv la tranzacțiile contului/conturilor deschise la Bancă, în temeiul interesului legitim, și anume de a asigura un management prudențial al riscurilor la nivel de Grup; prelucrari realizate in interesul legitim al Intesa Sanpaolo Bank Romania pentru a realiza din punct de vedere legal, tehnic si operational procesul de fuziune si integrare a clientilor si activitatii First Bank si de a asigura administrarea corespunzatoare si in mod continuu a produselor si serviciilor bancare, asigurand obligatia legala a Bancii privind continuitatea serviciilor bancare in conditii optime. În acest context, prelucrarea datelor personale ale clienților First Bank in perioada pre-fuziune este esențiala pentru alinierea sistemelor, proceselor, produselor și serviciilor, migrarea conturilor clienților, a istoricului tranzacțiilor și a altor informații importante către un sistem unificat, asigurând o tranziție fără probleme, minimizând orice întreruperi și menținând continuitatea serviciului în relația cu clienții;

d. In baza consimtamantului exprimat al persoanelor vizate, conform art. 6, alin. 1, lit. a din GDPR, datele vor fi prelucrate in urmatoarele scopuri: marketing direct, precum dar fara a se limita la: participare in campanii si acordare de premii, programe de loializare si oferte speciale lansate pentru clienti, inclusiv pentru promovarea oricaror produse si servicii ale Bancii si ale partenerilor sai, reclama/publicitate; prelucrarea datelor din cadrul convorbirilor telefonice efectuate prin serviciul de Contact Center; prelucrarile de consultare a bazelor de date CRC si ANAF, in cazul solicitarii unui produs de creditare; pentru prelucrarea datelor biometrice, in contextul identificarii de la distanta in vederea accesarii anumitor servicii/produse ale Bancii (ex. initierea relatiei de afaceri prin internet/mobile banking, actualizarea datelor de la distanta, pentru inrolarea in scopul eliberarii unui certificat pentru semnatura digitala; analiza comportamentului cu prilejul accesarii website-ului Bancii, prin folosirea de cookies, atat ale Bancii, cat si ale tertilor;

Procese decizionale automatizate si crearea de profiluri

In ceea ce priveste crearea de profiluri, Banca poate efectua prelucrari in vederea evaluarii comportamentului dvs. si a altor aspecte personale. Pe baza acestor date si a consimtamantului acordat, Banca poate realiza un profil atat pentru a identifica preferintele dvs. referitoare la produsele, serviciile si ofertele Bancii, modalitatea de comunicare preferata si comportamentul dvs. in relatia cu Banca, cat si pentru a dezvolta noi produse si servicii. De asemenea, unele activitati de profilare sunt bazate pe interesul legitim la Bancii, precum cele de încadrare într-un grad de risc din perspectiva spălării banilor, finanțării terorismului și sancțiunilor internaționale.

Procesele decizionale automatizate, reglementate de art. 22 din GDPR, reprezinta acele decizii luate de Banca fără intervenția unui factor uman și care pot produce efecte juridice sau care vă pot afecta în mod similar într-o măsură semnificativă. In anumite circumstante, Banca poate derula astfel de prelucrari in scopuri, precum dar fara a se limita la: verificarea persoanelor în listele de sancțiuni internaționale in momentul inițierii unei relații de afaceri cu Banca, monitorizarea tranzactiilor si adoptarea masurilor de blocare a acestora functie de suma tranzactionata sau frecventa acestora in caz de identificare a unor operatiuni suspecte, determinarea eligibilității de contractare a unui produs bancar prin aplicarea unui scoring intern, continand criterii eliminatorii automate (cum ar fi criteriile minime de creditare, grad de indatorare, venituri detinute, scorul FICO furnizat de către Biroul de Credite S.A.). Scoringul este un instrument de evaluare a riscului la care se expune Banca atunci când acordă un credit. Acesta are la bază o analiză statistică, care folosește datele dumneavoastră cu caracter personal și ne ajută să stabilim posibilul comportament de rambursare prin generarea unui scor. Scorul este un punctaj rezultat în urma analizei datelor, care exprimă posibilitatea de îndeplinire a obligațiilor de plată a ratelor de credit pe toată perioada contractului de credit. Banca stabilește un scor minim pe care îl acceptă atunci când acordă credite, astfel de fiecare dată când scorul calculat se va afla sub pragul minim pe care Banca l-a stabilit, nu se va putea acorda creditul.

SECTIUNEA 5 - OBLIGATIA DE FURNIZARE A DATELOR PERSONALE

Datele personale sunt furnizate catre Banca de catre persoana vizata sau persoane autorizate la solicitarea produselor/serviciilor furnizate de Banca in cadrul documentelor specifice, iar cu privire la acestea, refuzul pentru prelucrarea datelor, exprimat la initierea relatiilor de afaceri, va determina imposibilitatea Bancii de a da curs solicitarilor pentru astfel de produse sau servicii. De asemenea, ulterior incheierii unor contracte cu Banca, furnizarea periodica de date actualizate este necesara pentru derularea acestora si a indeplinirii obligatiilor legale si intereselor legitime ale Bancii.

SECTIUNEA 6 - CATEGORII DE DESTINATARI

Pentru atingerea scopurilor indicate mai sus, in functie de relatia de client si produsele sau serviciile achizitionate, Banca poate transmite datele dumneavoastra cu caracter personal urmatoarelor categorii de destinatari:

a. persoana vizata si/sau reprezentantii sai legali sau conventionali;

b. terti contractanti si parteneri contractuali ai Băncii din toate ariile necesare derularii optime a activității curente a Băncii (ex.: asiguratori, agenții de recuperare creanțe, avocați, notari, executori judecătoresti, evaluatori, auditori, consultanti, societăți din aria IT/plăți, furnizori ai serviciilor de investigare și documentare fraude, servicii postale si de curierat, furnizori de servicii IT, de servicii de arhivare in format fizic si/sau electronic);

c. banci partenere si banci de corespondent, banci sau institutii financiare participante in creditele sindicalizate si alta entitati financiare/ prestatoare de servicii de plată, inclusiv terți PSP (precum prestatori de servicii de inițiere a plății, prestatori de servicii de informare cu privire la conturi, și prestatori de servicii de plată care emit instrumente de plata bazate pe card) pentru a executa anumite servicii de plată și retrageri de numerar;

d. prestatori de servicii tehnice de procesare facilitare a plăţilor inter-bancare (ex. Nexi Croatia, Transfond, SWIFT, Bursa de Valori Bucuresti), furnizori de servicii de productie si personalizare a instrumentelor de plata, furnizori de servicii tehnice de facilitare a platilor (precum Visa si Mastercard), prestatori de servicii de initiere a platii si prestatori de servicii de informare cu privire la conturi;

e. furnizori de servicii de incredere (precum Onfido, CertSign) in vederea identificari, autentificarii dumneavoastra si pentru generarea certificatului de semnatura electronica;

f. furnizori de servicii de cercetare de piata/ agentii de media, furnizori de transmitere a comunicarilor de orice natura, inclusiv legale/ contractuale sau de marketing;

g. in cazul in care ati contractat produse de creditare, datele pot fi transmise catre birouri de organizare a bazelor de date, precum Biroul de Credit, Centrala Riscului de Credit, Centrala Incidentelor de Plati, dar si catre entitati cu rol de garant, precum FNGCIMM, Fondul de Garantare a Creditului Rural, APIA, BID sau autorități și instituții publice cum sunt Agenția Națională de Cadastru și Publicitate Imobiliară (“ANCPI”), Registrul Național de Publicitate a Garanțiilor Reale Mobiliare (“RNPM”);

h. angajatorul Persoanei vizate;

i. companii din cadrul Grupului Intesa Sanpaolo, atat catre compania-mama, cat si catre alte subsidiare sau entitati din cadrul Grupului, inclusiv companii care ofera servicii de IT, servicii administrative si/sau financiare;

j. actionari;

k. entitati cu care Banca a incheiat contracte de finantare sau cesiuni de creante, terti in cazul cesionarii/ transferului drepturilor Bancii;

l. autoritati de stat, conform competentelor acestora si a legislatiei aplicabile, si sisteme publice de informatii infiintate la nivelul administratiilor/autoritatilor publice, cum ar fi: Banca Nationala a Romaniei (BNR), ASF, Autoritatea Nationala pentru Protectia Consumatorilor - ANPC, Oficiul National de Prevenire si Combatere a Spalarii Banilor - ONPCSB, Agentia Nationala de Administrare Fiscala (ANAF), Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal – ANSPDCP;

m. ANAF - in vederea respectării legislaţiei FATCA („Foreign Account Tax Compliance Act”) şi CRS (Common Reporting Standard), în cazul în care datele cu caracter personal sau operaţiunile efectuate de catre dumneavoastra se incadreaza in criteriile de raportare stabilite de FATCA şi/sau CRS;

n. Casa Nationala de Pensii Publice, Ministerul Apararii Nationale, Ministerul Afacerilor Interne, Agentiile Judetene pentru Plati si Inspectie Sociala (pentru livrarea pensiilor, alocatiilor si/sau altor indemnizatii);

o. autoritati judiciare/de investigatie si control, autoritati judecatoresti, autoritati publice centrale si locale;

p. orice alte categorii de parteneri contractuali necesari desfasurarii activitatii curente a Băncii.

SECTIUNEA 7 - TRANSFERURI DE DATE CU CARACTER PERSONAL CATRE TARI TERTE SAU ORGANIZATII INTERNATIONALE IN AFARA UNIUNII EUROPENE

Datele cu caracter personal pot fi transferate anumite categorii de date cu caracter personal pot fi transferate si in afara României, atat in interiorul Spatiului Economic European (SEE), in tari precum Italia, Croatia, Ungaria, Germania, Irlanda, cat si in afara SEE, inclusiv Statele Unite ale Americii și Regatul Unit al Marii Britanii.

Banca se va asigura ca transferul, dupa caz, al datelor cu caracter personal in afara SEE indeplineste un nivel adecvat de protectie similar celui din cadrul SEE, fie prin clauzele contractuale standard adoptate la nivelul Comisiei Europene (alături de alte măsuri suplimentare de protecție, atunci când este cazul) sau alte garanții recunoscute de lege (precum deciziile de adecvare – cum este cazul transferului de date în Regatul Unit al Marii Britanii). Banca nu va dezvalui datele cu caracter personal partilor care nu sunt autorizate sa le prelucreze.

SECTIUNEA 8 - PERIOADA DE PASTRARE A DATELOR PERSONALE

Datele dvs. personale sunt prelucrate folosind instrumente manuale, electronice si automate si intr-un mod care sa le asigure securitatea, confidentialitatea, integritatea si disponibilitatea.

Datele dumneavoastra personale sunt pastrate, pentru o perioada care nu depaseste perioada necesara pentru atingerea scopurilor pentru care sunt prelucrate, fara a aduce atingere conditiilor de pastrare impuse de lege. Spre exemplificare, dar fara limitare la acestea:

• datele dumneavoastra personale sunt pastrate pentru o perioada de 10 ani de la data incetarii relatiei contractuale sau pentru o perioadă de 6 luni în cazul în care între dumneavoastră și Bancă nu se încheie o relație contractuală (cu exceptia cazului in care este necesara sau prevazuta de lege o perioada mai lunga de pastrare);
• datele cu caracter personal transmise catre Biroul de Credit S.A sunt stocate pe o perioada de 4 ani de la data ultimei actualizari;
• datele cu caracter personal transmise catre Centrala Riscului de Credit sunt stocate de aceasta timp de 7 ani de la data inscrierii;
• inregistrarile video vor fi pastrate pentru o perioada de maxim 30 de zile, exceptand situatia in care exista motive temeinice pentru pastrarea acestora o perioada mai indelungata;
• datele personale prelucrate in scopurile de marketing direct vor fi pastrate astfel: a) pe o perioadă de cel mult 3 ani de la momentul încetării relațiilor contractuale încheiate cu Banca, în cazul în care ati devenit client al Bancii sau b) pe o perioadă de cel mult 3 ani de la momentul acordarii consimtamantului, în cazul în care între dumneavoastra și Banca nu se initiază o relație contractuală.

Este posibil ca, in urma indeplinirii termenelor legale de arhivare, Banca sa dispuna anonimizarea datelor, lipsindu-le astfel de caracterul personal si sa continue prelucrarea datelor anonime pentru scopuri statistice.

SECTIUNEA 9 - DREPTURILE PERSOANEI VIZATE

In calitatea dumneavoastra de persoana vizata aveti urmatoarele drepturi:

1. dreptul de acces, dreptul la informare: posibilitatea de a fi informat daca si care sunt datele cu caracter personal pe care le detinem despre dumneavoastra, acces la acestea si la informatii precum: scopurile si durata prelucrarii, sursa datelor, destinatarii sau categoriile de destinatari carora datele cu caracter personal le-au fost sau urmeaza sa le fie divulgate etc;
2. dreptul la rectificare: posibilitatea de a solicita actualizarea, completarea sau corectarea datelor referitoare la dumneavoastra, astfel incat acestea sa fie intotdeauna exacte;
3. dreptul la stergere (“dreptul de a fi uitat”): posibilitatea de a solicita stergerea datelor dumneavoastra daca sunt indeplinite anumite conditii, in conformitate cu prevederile legale. Va informam ca Banca nu va poate sterge datele personale daca prelucrarea acestora este necesara, de exemplu, pentru a respecta o obligatie legala, pentru motive de interes public, pentru a formula sau exercita o actiune in instanta;
4. dreptul la restrictionarea prelucrarii: posibilitatea de a obtine din partea Bancii restrictionarea prelucrarii datelor cu caracter personal, in anumite situatii, cum ar fi: persoana vizata contesta exactitatea datelor sau legalitatea prelucrarii, persoana vizata se opune stergerii datelor, atunci cand Banca nu mai are nevoie de datele personale in scopul prelucrarii, dar persoana vizata le solicita pentru constatarea, exercitarea sau apararea unui drept in instanta sau atunci persoana vizata se opune prelucrarii, pentru intervalul de timp in care se verifica daca interesele legitime ale Bancii prevaleaza asupra celor ale persoanei vizate;
5. dreptul la portabilitatea datelor: in cazul in care prelucrarea datelor dumneavoastra personale este bazata pe consimtamant sau este necesara pentru desfasurarea unui contract sau in cadrul demersurilor facute pentru incheierea unuia, si prelucrarea se realizeaza prin mijloace automate, puteti: solicita sa primiti datele dumneavoastra cu personal furnizate intr-un format structurat, utilizat in mod curent si care poate fi citit automat; transmite aceste date altui operator, fara obstacole din partea operatorului caruia i-au fost furnizate datele cu caracter personal. De asemenea, aveti dreptul de a solicita ca datele dumneavoastra personale sa fie transmise de Banca direct catre un alt operator de date indicat de dumneavoastra, in cazul in care acest lucru este posibil din punct de vedere tehnic pentru Banca. In acest caz, veti pune la dispozitia Bancii detaliile exacte ale noului operator de date catre care intentionati transmiterea acestora si veti furniza Bancii o autorizare scrisa in acest sens;
6. dreptul la opozitie: in orice moment, aveti dreptul de a va opune prelucrarii datelor dumneavoastra cu caracter personal daca prelucrarea se realizeaza in scopul executarii unei sarcini indeplinite in interes public sau este necesara in scopul interesului legitim al Bancii (inclusiv crearea de profiluri). In cazul in care veti decide exercitarea acestui drept, Banca nu va mai prelucra datele cu caracter personal, cu exceptia cazului in care demonstreaza ca are motive legitime si imperioase sau obligatii legale care justifica prelucrarea si care prevaleaza asupra intereselor, drepturilor si libertatilor persoanei vizate sau ca scopul este constatarea, exercitarea sau apararea unui drept in instanta;
7. Procesul decizional individual automatizat, inclusiv crearea de profiluri: Regulamentul acorda persoanei vizate dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automatizata a datelor personale, inclusiv crearea de profiluri, care pot produce efecte juridice care privesc persoana vizata sau o afecteaza in mod similar intr-o masura semnificativa, cu exceptia cazului in care decizia mentionata mai sus: a) este necesara pentru incheierea sau executarea unui contract intre persoana vizata si Banca; b) este autorizata prin dreptul Uniunii sau dreptul intern care se aplica Bancii; c) are la baza consimtamantul explicit al persoanei vizate. In cazurile mentionate la literele (a) si (c), Banca pune in aplicare masuri corespunzatoare pentru protejarea drepturilor, libertatilor si intereselor legitime ale persoanei vizate, cel putin dreptul acesteia de a obtine interventie umana din partea operatorului, de a-si exprima punctul de vedere si de a contesta decizia. In acest sens, persoana vizata trebuie sa transmita Bancii o cerere prin care solicita interventia unui operator uman, isi exprima punctul de vedere si contesta decizia, la datele de contact mentionate in prezenta Informare;
8. Dreptul de a depune o plangere catre autoritatea de supraveghere competenta pentru protectia datelor: fara a aduce atingere dreptului de a face apel la orice alta instanta administrativa sau jurisdictionala, in cazul in care considerati ca prelucrarea datelor dumneavoastra personale are loc cu incalcarea Regulamentului si/sau a reglementarilor aplicabile, puteti depune o plangere la Autoritatea Nationala pentru Supravegherea Datelor cu Caracter Personal (site oficial: www.dataprotection.ro ).