Informare despre detaliile legale privind datele personale GDPR

Informare nr: 286644-2018, 331441-2018

In toate tarile membre Uniunii Europene (UE), incepand cu data de 25.05.2018, devine aplicabil Regulamentul 2016/679 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date, cunoscut si sub acronimul GDPR (General Data Protection Regulation). 

GDPR intareste vechea legislatie si o uniformizeaza la nivelul tuturor tarilor din UE. In Romania, exista in prezent Legea 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestora, ale carei prevederi au fost aplicate deja de Raiffeisen Bank. In documentele contractuale, trimiterile la Legea 677/2001 vor fi inlocuite cu mentiuni privind GDPR.

Din acest motiv, Conditiile generale de derulare a operatiunilor bancare pentru persoane fizice (CGB-PF) vor fi actualizate in sectiunea Prelucrarea datelor cu caracter personal. Va descriem mai jos principalele modificari:

Care sunt datele cu caracter personal
Orice informatie prin care o persoana fizica devine identificabila, cum ar fi: un nume, un numar de identificare, date de localizare, un identificator online, unul sau mai multe elemente specifice identitatii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale etc.

Ce inseamna prelucrarea de date cu caracter personal
Orice operatiune sau set de operatiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fara utilizarea de mijloace automatizate, cum ar fi: colectarea, inregistrarea, organizarea, structurarea, stocarea, adaptarea, modificarea, extragerea, consultarea, utilizarea, dezvaluirea prin transmitere (inclusiv catre terti), diseminare sau punere la dispozitie in orice alt mod, alaturarea/alinierea ori combinarea, blocarea/restrictionarea, stergerea sau distrugerea.

Care sunt categoriile de persoane fizice ale caror date pot fi prelucrate 
Datele cu caracter personal care sunt prelucrate de catre Raiffeisen Bank apartin urmatoarelor categorii de persoane fizice: client (chiar si dupa incetarea relatiei contractuale), reprezentantii legali sau conventionali ai clientului, imputernicitii pe cont, utilizatorii de card suplimentar, codebitorii, garantii, beneficiarii reali, precum si membrii familiilor acestora. 

De ce prelucreaza Raiffeisen Bank date cu caracter personal
Raiffeisen Bank prelucreaza date cu caracter personal in scopul indeplinirii obligatiilor legale, pentru a respecta prevederile contractelor incheiate cu clientii sai si pentru a optimiza fluxurile de lucru si reglementarile interne, astfel incat fiecare client sa aiba parte, zi de zi, de servicii si produse mereu imbunatatite. De asemenea, un client Raiffeisen Bank sau oricine va folosi serviciile si produsele bancii, in baza consimtamantului deja exprimat, va putea primi comunicari prin care ne facem cunoscute ofertele.

Catre cine poate dezvalui Raiffeisen Bank datele cu caracter personal si in ce tari poate transfera aceste date
Banca poate dezvalui datele cu caracter personal catre urmatoarele categorii de destinatari: clientilor si imputernicitilor acestora, reprezentantilor Raiffeisen Bank, altor persoane fizice sau juridice care prelucreaza datele personale in numele Raiffeisen Bank, entitatilor din Grupul Raiffeisen, partenerilor contractuali ai Raiffeisen Bank si ai entitatilor din Grupul Raiffeisen, imputernicitilor Raiffeisen Bank in ceea ce priveste prelucrarea datelor cu caracter personal, autoritatilor judecatoreasti, autoritatilor publice centrale, autoritatilor publice locale, organizatiilor internationale, furnizorilor de servicii si de bunuri, birourilor de credit, societatilor de asigurare si reasigurare, organizatiilor profesionale, organizatiilor de cercetare a pietei, agentiilor de colectare a debitelor/recuperare a creantelor.

De asemenea, poate sa transfere anumite categorii de date cu caracter personal in afara Romaniei, in state din cadrul UE/ SEE, cat si in afara UE/SEE. Puteti obtine o lista actualizata cu statele unde se transfera datele cu caracter personal accesand Politica privind protectia datelor cu caracter personal si confidentialitatea datelor, disponibila la link-ul https://www.raiffeisen.ro/despre-noi/politica-de-confidentialitate/.

Care sunt drepturile persoanelor vizate:
Dreptul la informare - dreptul de a fi informat cu privire la prelucrarea si protejarea datelor cu caracter personal de catre Raiffeisen Bank;
Dreptul de acces la date - dreptul de a obtine de la operatorul de date (precum Raiffeisen Bank si Biroul de Credit) confirmarea faptului ca datele cu caracter personal sunt sau nu prelucrate de catre acesta;
Dreptul la rectificare - dreptul de a obtine rectificarea datelor inexacte, precum si completarea datelor incomplete;
Dreptul la stergerea datelor („dreptul de a fi uitat”) - dreptul de a obtine, in masura in care sunt indeplinite conditiile legale, stergerea datelor cu caracter personal;
Dreptul la restrictionarea prelucrarii - dreptul de a obtine, in masura in care sunt indeplinite conditiile legale, marcarea datelor cu caracter personal stocate, cu scopul de a limita prelucrarea ulterioara a acestora;
Dreptul la portabilitatea datelor - dreptul de a primi datele cu caracter personal intr-o modalitate structurata, folosita in mod obisnuit si intr-un format usor de citit, precum și dreptul ca aceste date să fie transmise de către Raiffeisen Bank S.A. către alt operator de date, in măsura in care sunt indeplinite condițiile legale;
Dreptul la opozitie - dreptul de a se opune in orice moment, din motive intemeiate si legitime legate de situatia particulara, ca datele cu caracter personal sa faca obiectul unei prelucrari, in măsura in care sunt indeplinite condițiile legale;
Dreptul de a nu fi supus unei decizii individuale - dreptul de a cere si de a obtine retragerea, anularea sau reevaluarea oricarei decizii bazate exclusiv pe prelucrari efectuate prin mijloace automate (incluzand crearea de profiluri) care produce efecte juridice sau afectează in mod similar, intr-o măsura semnificativa, persoanele vizate;
Dreptul de a se adresa justitiei sau Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal - dreptul de a se adresa cu plangere Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal, respectiv de a se adresa justitiei pentru apararea oricaror drepturi garantate de legislația aplicabilă in domeniul protectiei datelor cu caracter personal, care au fost incalcate.

In cazul in care un client nu este de acord cu modificarile prezentate mai sus, pana la 1 august 2018 pentru informarea 286644-2018, respectiv 22 august 2018 pentru informarea 331441-2018, are dreptul de a denunta in mod unilateral contractul cu Raiffeisen Bank fara a suporta penalitati si fara a fi necesara invocarea unui motiv. Ulterior acestei date, modificarile vor fi considerate acceptate.

Increderea clientilor nostri este cea mai importanta pentru noi, iar siguranta si confidentialitatea datelor lor reprezinta prioritatea noastra pentru ca ne dorim sa oferim permanent servicii financiar-bancare la cel mai inalt nivel de securitate!

Pentru informatii complete privind toate modificarile mentionate, se poate consulta ANEXA 1. De asemenea, daca clientii au intrebari ne pot contacta telefonic la *2000, pe e-mailul centrala@raiffeisen.ro, va puteti adresa responsabilului pentru Protectia datelor la adresa dpo@raiffeisen.ro  sau puteti cere detalii in orice agentie Raiffeisen Bank. 

1. Ce este GDPR si ce scop are?

GDPR este  noul regulament european in materia prelucrarii datelor personale ce a intrat in vigoare in 2016 si devine direct aplicabil in Romania incepand cu 25 mai 2018. Regulamentul abroga Directiva 95/46/CE, transpusa in legea nationala prin Legea nr. 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulaţie a acestor date.

Reglementarea are ca scop principal asigurarea, la nivelul Uniunii Europene, a unui cadru legislativ uniform pentru protejarea drepturilor si intarirea protectiei datelor personale ale persoanelor fizice aflate in Uniunea Europeana, precum si reglarea transferului de date intre statele Uniunii Europene cat si in afara acesteia, in masura in care prelucrarea datelor vizeaza persoane fizice din cadrul Uniunii, prin:
- prelucrarea legala, echitabila si transparenta
- micsorarea volumului de date personale colectate de la persoana vizata
- stergerea datelor nenecesare
- asigurarea exactitatii datelor cu caracter personal prelucrate de catre Raiffeisen Bank
- securizarea datelor personale ale persoanei vizate 

Este esential sa stim ca GDPR se refera la datele cu caracter personal ale persoanelor fizice.

2. Ce sunt datele cu caracter personal?

Orice informatie care direct  sau prin asociere cu alte date poate avea ca efect identificarea unei persoane fizice. Exemple de date cu caracter personal: prenume, telefon, e-mail, data nasterii, loc de munca, CNP, serie si numar CI/BI, semnatura, imagine, voce, adresa IP, incadrare in clasa de risc, detalii tranzactionale, comportament, obisnuinte, etc.

3. Ce inseamna prelucrarea de date?

Orice operatiune care implica date cu caracter personal, cum ar fi colectarea, inregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea  sau  punerea  la  dispoziţie  in  orice  alt  mod,  alinierea  sau  combinarea, restricţionarea, stergerea sau distrugerea, inclusiv  simpla vizualizare a datelor.

4. Cine este operator de date?

Orice persoana fizica sau juridica, autoritate publica sau alta entitate care stabileste scopul si mijloacele de prelucrare a datelor cu caracter personal. Operatorul poate actiona, din perspectiva prelucrarii de date cu caracter personal,singur,  impreuna cu un alt operator/alti operatori (operatori asociati) sau prin intermediul unei terte parti (persoana imputernicita de operator) care va prelucra date in numele operatorului, conform limitelor si conditiilor stabilite de acesta.

5. Cine este persoana vizata?

Acea persoana care poate fi identificata prin intermediul activitatii de prelucrare date cu caracter personal, in mod direct sau indirect, in special prin referire la un element de identificare (de ex. nume, numar  de identificare, date de localizare, identificator online, etc.) ori la unul sau la mai mulţi factori specifici identitaţii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.

6. Care sunt principalele noutati ale GDPR?

Introducerea  a doua noi drepturi ale persoanelor vizate:

- Dreptul de a fi uitat: persoana poate cere stergerea datelor sale daca acestea sunt prelucrate ilegal, fara consimtamant sau daca datele nu mai sunt necesare scopului pentru care au fost furnizate;
- Dreptul la portabilitatea datelor: utilizatorul poate alege sa transmita datele sale personale catre alt operator;

Introducerea a doua noi concepte de protectie a datelor:
- Privacy by Design – aspectele de protectia datelor care trebuie sa fie luate in considerare la momentul initierii unei noi activitati de prelucrare, a unei noi aplicatii prin intermediul careia se prelucreaza date etc., precum si la momentul prelucrarii efective, având in vedere natura, domeniul de aplicare, contextul si scopurile prelucrarii, precum si riscurile cu grade diferite de probabilitate si gravitate pentru drepturile si libertatile persoanelor fizice pe care le prezinta prelucrarea;
- Privacy by Default :punerea in aplicare a unor masuri tehnice si organizatorice adecvate pentru a asigura ca, in mod implicit, sunt prelucrate numai date cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrarii, tinând cont de volumul de date colectate, gradul de prelucrare a acestora, perioada lor de stocare si caracterul accesibil al acestora. In special, astfel de masuri asigura ca, in mod implicit, datele cu caracter personal nu pot fi accesate fara interventia persoanei, de un numar nelimitat de persoane. 

Bresele in securitatea datelor cu caracter personal, inclusiv scurgerile de date – trebuie raportate in 72 de ore catre autoritatile responsabile cu protectia datelor

Intarirea obligatiei de informare a persoanei vizate prin transparentizarea activitatii de prelucrare date; persoana vizata este informata de catre operator referitor la scopurile si temeiurile procesarii, drepturile de care dispune, perioada de stocare a datelor, potentialii destinatari ai datelor colectate, sursele din care operatorul a obtinut datele (daca acestea nu au fost obtinute total sau partial de la persoana vizata), efectele refuzului de a furniza date etc.

Cresterea rigorilor aplicabile consimtamantului dat de catre persoana vizata asupra prelucrarii datelor sale, prin stabilirea unor cerinte precise de informare detaliata, intr-un limbaj clar si simplu,  a persoanei asupra aspectelor pentru care isi da acordul in mod liber si neconditionat. Conform GDPR, consimtamantul poate fi retras oricand de catre persoana vizata.

7. Care sunt categoriile de persoane fizice?

- clienti Raiffeisen si reprezentanti ai acestora – persoane fizice
- reprezentanti/persoane de contact/asociati ai (i) clientilor - persoane juridice ; (ii) partenerilor Raiffeisen Bank
- beneficiari reali
- utilizatori suplimentari de card
- non-clienti
- angajati
- vizitatori
- codebitori
- garanti
- membrii familiilor clientilor

8. Cum asigura Raiffeisen Bank respectarea principiilor GDPR?

Datele sunt prelucrate in scopuri determinate, explicite si legitime si nu sunt  prelucrate ulterior intr-un mod incompatibil cu aceste scopuri.

Scopurile sunt indicate in documentele de informare asupra activitatii de prelucrare date cu caracter personal efectuata de catre Raiffeisen Bank. Datele sunt prelucrate intr-o forma care permite identificarea persoanelor vizate strict pe perioada necesara indeplinirii scopurilor de prelucrare, luand in calcul durata contractuala,  obligatiile legale  de arhivare 

Datele sunt prelucrate intr-o modalitate care asigura securitatea datelorDatele personale ale persoanelor vizate sunt accesate si folosite numai pentru indeplinirea obligatiilor legale, contractuale si a intereselor legitime ale Raiffeisen Bank..

Raiffeisen Bank utilizeaza doar programe software verificate in prealabil de catre departamentele relevante din cadrul organizatiei, nu si cele care provin din surse externe, neverificate.

9. Care sunt Drepturile persoanelor vizate privind protectia datelor lor?

Dreptul de informare = dreptul de a primi continutul minim de informatii prevazut de lege privind prelucrarea datelor cu caracter personal
Dreptul de acces = dreptul de a obtine confirmarea din partea Raiffeisen Bank cu privire la prelucrarea datelor cu caracter personal, precum si detalii privind activitatile de prelucrare
Dreptul la portabilitatea datelor = dreptul de a primi datele cu caracter personal furnizate in mod direct intr-o modalitate structurata, folosita in mod obisnuit si intr-un format usor de citit, precum si dreptul ca aceste date sa fie transmise de catre Raiffeisen catre alt operator de date, in masura in care sunt indeplinite conditiile prevazute de lege
Dreptul de a nu fi supus unei decizii individuale automate = dreptul de a nu fi subiectul unei decizii luate numai pe baza unor activitati de prelucrare automate
Dreptul de rectificare = dreptul de a obtine rectificarea de catre Raiffeisen a datelor inexacte, precum si completarea datelor incomplete
Dreptul de opozitie = dreptul de a se opune activitatilor de prelucrare, in conditiile prevazute de lege; pentru marketing direct, opozitia poate fi exercitata in orice moment, prin transmiterea unei solicitari catre Raiffeisen
Dreptul la restrictionarea folosirii datelor = dreptul de a se obtine restrictionarea activitatilor de prelucrare, in conditiile prevazute de lege
Dreptul de stergere a datelor = dreptul de a obtine stergerea datelor daca sunt indeplinite anumite conditii prevazute de lege

10. Cum pot solicita exercitarea drepturilor?

Toate aceste drepturi pot fi exercitate prin depunerea unei cereri scrise, semnata si datata in orice agentie Raiffeisen Bank, prin e-mail transmis la adresa centrala@raiffeisen.ro sau prin apel inregistrat in Call Center apeland numarul *2000.
Sesizarile sau intrebarile legate de prelucrarea datelor personale pot fi adresate Responsabilului pentru protectia datelor la adresa dpo@raiffeisen.ro.

11. Care sunt autoritatile responsabile cu protectia datelor?

Plangerile referitoare la prelucrarea datelor personale pot fi adresate Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal http://dataprotection.ro/