NOTĂ DE INFORMARE PRIVIND PRELUCRAREA DATELOR CU CARACTER PERSONAL

CERTSIGN S.A. (denumita in cele ce urmeaza “certSIGN”), cu sediul social în Bucureşti, Șos. Olteniței nr. 107 A, corp C1, et.1, camera 16, sector 4, înregistrată la Registrul Comerţului sub nr. J40/484/17.01.2006, CUI 18288250, Telefon: 0311 011 870, Fax: 021 311 9905, E-mail: office@certsign.ro, in calitate de operator de date cu caracter personal, prelucreaza datele cu caracter personal furnizate de dumneavoastra in vederea prestarii serviciilor de certificare pentru semnatura electronica, in concordanta cu prevederile Regulamentului (UE) nr. 910/2014 privind identificarea electronică și serviciile de încredere pentru tranzacțiile electronice pe piața internă și de abrogare a Directivei 1999/93/CE (eIDAS), a Regulamentului UE 2016/679 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date (“GDPR”) si a altor dispozitii de drept ale Uniunii sau drept intern referitoare la protectia datelor si identificarea electronica la distanta utilizand mijloace video.

Datele de contact ale Responsabilului cu protectia datelor al certSIGN:

  • Email: dpd@certsign.ro / fax:(+4021) 3119905;
  • Adresa: Bdul. Tudor Vladimirescu, nr. 29A, cladirea AFI Tech Parc 1, et.2, Bucuresti, sector 5.

Sectiunea 1. Scopul si temeiul prelucrarii datelor cu caracter personal

Scopurile prelucrarii datelor dumneavoastra cu caracter personal sunt:

a) prestarea serviciilor de incredere pentru emiterea de certificate digitale calificate, utilizarea certificatului in vederea semnarii electronice a documentelor de catre titularul de certificat, livrarea certificatului digital si a token-ului, in cazul in care certificatul digital este emis pe dispozitiv criptografic (token), inclusiv plata serviciului de incredere daca este cazul, conform articolului 6 (1) (b) din GDPR;

b) identificarea titularului de certificat digital calificat sau a persoanei desemnate de titularul unui certificat calificat pentru sigiliu electronic sau server web si validarea identitatii sale prin verificarea datelor de identitate din actul de identitate ce contine si fotografia persoanei vizate sau prin utilizarea mijlocului de identificare electronica certME, dupa caz, operatiuni realizate in vederea emiterii certificatului digital calificat, conform articolului 6 (1) (c) din GDPR coroborat cu articolul 24 (1) din Regulamentul eIDAS;

c) fotocopierea documentului de identitate in situatia identificarii dumneavoastra la distanta prin mijloace video conform art. 6 (1) (a) din GDPR si art. 16 (1) din Normele Autoritatii pentru Digitalizarea Romaniei privind reglementarea, recunoaşterea, aprobarea sau acceptarea procedurii de identificare a persoanei la distanţă utilizând mijloace video aprobate prin Decizia Autoritatii pentru Digitalizarea Romaniei nr. 564/2021 (Norma ADR);

d) identificarea unica a dumneavoastra prin prelucrarea datelor biometrice, respectiv prelucrarea imaginii faciale transpusa in date biometrice, in cazul in care identificarea s-a realizat prin mijloace video, conform art. 6 (1) (a) si art. 9 (2) (a) din GDPR;

e) inregistarea sesiunii video-audio in situatia in care identificarea se realizeaza la distanta prin mijloace video in conformitate cu art. 6 (1) (a) din GDPR, utilizarea acestei modalitati de identificarea a dumneavoastra in vederea obtinerii unui certificat digital calificat fiind optiunea dumneavoastra,

f) accesarea si utilizarea de catre dumneavoastra a platformelor de semnare Paperless apartinand certSIGN, conform articolului 6 (1) (b) din GDPR;

g) identificarea si autentificarea persoanei vizate pentru utilizarea aplicatiilor de semnare Paperless apartinand certSIGN, conform articolului 6 (1) (c) din GDPR;

h) reinoirea certificatului digital la solicitarea persoanei vizate, conform articolului 6 (1) (b) din GDPR;

i) confirmarea validitatii certificatului de semnatura electronica, la cererea titularului sau la cererea unei persoane care-si bazeaza conduita pe serviciile de incredere furnizate de certSIGN sau in cadrul unei proceduri judiciare, dupa caz, conform:

  • articolului 6 (1) (b) GDPR pentru validarea la cererea persoanei vizate sau
  • articolului 6 (1) (c) GDPR coroborat cu articolul 24 (2) (h), (3) (4) din Regulamentul eIDAS pentru validarea in celelalte situatii;

j) revocarea/suspendarea certificatului in conditiile prevazute in contract conform articolului 6 (1) (b) din GDPR sau ca urmare a unei obligatii legale a certSIGN conform articolului 6 (1) (c) GDPR coroborat cu articolul 24 (3) (4) din Regulamentul eIDAS;

k) in cazul in care ati facut o achizitie de servicii de incredere de la distanta, vom prelucra datele dumnavoastra si in scopul respectarii dreptului de retragere pe care l-ati exercitat conform OUG 34/2014 privind drepturile consumatorilor in cadrul contractelor incheiate cu profesionistii, precum si pentru modificarea si completarea unor acte normative, coroborat cu art. 6 (1) (c) GDPR;

l) asigurarea securitatii sistemelor si bazelor de date conform articolului 6 (1) (c) GDPR coroborat cu articolul 24 (2) (e), (f), (i) din Regulamentul eIDAS;

m) prevenirea si/sau identificarea fraudelor conform art. 6 alin. (1) lit. (c) RGPD coroborat cu art. 24 alin. (2) lit. (g) din Regulamentul eIDAS;

n) respectarea obligatiilor legale ale Operatorului de date (de ex. transmiterea informatiilor care reprezinta date cu caracter personal la cererea autoritatilor de stat competente, instituirea si actualizarea permanenta a bazei de date a certificatelor de semnatura electronica conform articolului 6 (1) (c) GDPR coroborat cu prevederile Regulamentului eIDAS (articolul 24 (2) k);

o) stocarea datelor, inclusiv a copiei documentului de identitate daca identificarea nu s-a realizat prin mijlocul de identificare electronica certME, pe o perioada de 10 ani de la incetarea valabilitatii certificatului digital. Aceste date se pot folosi si in cadrul unei proceduri judiciare, pe langa scopul asigurarii continuitatii serviciilor de incredere prestate de operator conform art. 6 alin. (1) lit. (c) RGPD coroborat cu art. 24 alin. (2) lit. (h) din Regulamentul eIDAS si art. 20 lit h) din Legea romana nr. 455/2001 privind semnatura electronica, precum si art. 16 alin.(2) si art. 22 din Norma ADR;

p) transmiterea de newsletter-e, materiale promotionale, comunicari de marketing, oferte comerciale sau orice alte informatii relevante privind produsele si serviciile certSIGN in cazul in care v-ati dat consimtamantul in acest sens potrivit art. 6 (1) (a) GDPR;

q) pentru urmarirea intereselor legitime ale Operatorului de date sau ale unui tert cum ar fi pentru raportarile interne ale operatorului sau pentru eficientizarea proceselor companiei, pentru gestionarea contractelor sau documentelor justificativ-contabile, pentru solutionarea sesizarilor, pentru auditarea sau verificarea proceselor interne, pentru apararea drepturilor operatorului cum ar fi recuperarea creantelor detinute de acesta, conform articolului 6 (1) (f) din GDPR.

Temeiurile juridice ale operatiunilor de prelucrare a datelor vizeaza articolul 6 alineat (1) literele (a), (b), (c) si (f) din GDPR si respectiv art. 9 (2) (a) din GDPR, dupa cum au fost detaliate mai sus.

Sectiunea 2. Categoriile de date cu caracter personal pe care le prelucram

Datele dumneavoastra cu caracter personal pe care le prelucram sunt, dupa caz, urmatoarele:

  • numele, prenumele, codul numeric personal, seria si numarul actului de identitate, adresa, precum si toate celelalte date cu caracter personal incluse in actul dumneavoastra de identitate, copia actului de identitate,
  • numar de telefon, adresa de email,
  • imaginea si vocea dumneavoastra (inregistrarea video a interactiunii cu agentul certSIGN in vederea verificarii identitatii in sesiunea de videoconferinta);
  • datele biometrice in scopul identificarii unice a dumneavoastra prin prelucrarea imaginii faciale transpusa in date biometrice,
  • datele din certificatul digital,
  • semnatura electronica si numarul semnaturilor acordate/utilizate in cazul certificatelor digitale pentru semnare la distanta,
  • apartenenta titularului de certificat la contul unui client care a transmis certSIGN cererea de emitere a certificatului digital,
  • Codul de autorizare OTP/TOTP,
  • codul IBAN, dupa caz,
  • adresa de livrare pentru furnizarea certificatului digital si a token-ului, in cazul in care certificatul este emis pe dispozitiv criptografic (token),
  • log-uri / IP-ul,
  • semnatura olografa,
  • calitatea de persoana desemnata de titularul unui certificat digital calificat pentru sigiliu electronic sau server web,
  • referinta – codul criptat generat de aplicatia certME a certSIGN necesar identificarii prin intermediul mijlocului de identificare electronica certME.
  • referinta – codul aleatoriu unic generat de aplicatia de emitere certME necesar identificarii prin intermediul mijlocului de identificare electronica certME.

Prelucrarea datelor biometrice mentionate anterior presupune obtinerea si compararea template-urilor biometrice din fotografia actului de identitate si din fotografia chipului dumneavoastra si se realizeaza prin intermediul aplicatiei videolD (https://www.electronicid.eu/en/solutions/videoid).

Template-ul biometric reprezinta referinta digitala a caracteristicilor distincte care au fost extrase dintr-o proba biometrica. Templateurile biometrice sunt utilizate in timpul procesului de identificare video. Practic, ceea ce se compara nu sunt fotografiile (din actul de identitate si cea obtinuta in timpul interviului, ci templaturile biometrice ale celor doua fotografii).

Sectiunea 3. Utilizarea datelor cu caracter personal si consecintele nefurnizarii acestora

Prelucrarea datelor cu caracter personal este necesara in principal pentru semnarea documentelor cu semnatura electronica sau aplicarea sigliilor electronice, respectiv pentru emiterea certificatelor digitale de semnatura electronica sau pentru sigiliu eletcronic si pentru utilizarea aplicatiilor de semnare Paperless ale certSIGN, precum si pentru emiterea certificatelor digitale calificate de server web. Datele cu caracter personal sunt astfel necesare identificarii persoanei vizate pentru emiterea certificatelor digitale.

Datele cu caracter personal mentionate mai sus sunt prelucrate direct de catre certSIGN sau cu ajutorul altor operatori cu care ne asociem in vederea identificarii viitorilor titulari de certificate sau a persoanelor desemnate de titularii de certificate digitale pentru sigiliu electronic sau server web si inregistrarii cererilor de emitere certificate, cu respectarea art. 26 din GDPR.

De asemenea, certSIGN, mai poate prelucra datele cu caracter personal in scopul identificarii viitorilor titulari de certificate sau a persoanelor desemnate si inregistrarii cererilor de emitere certificate si prin persoane imputernicite care ofera garantii adecvate, in conformitate cu art.28 din GDPR. Astfel de persoane pot fi persoane juridice carora le-au fost delegate atributii de autoritate de inregistrare delegata a certSIGN sau furnizori ai solutiei de identificare prin mijloace video.

Refuzul de a furniza datele necesare emiterii certificatului digital si prestarii serviciilor de incredere, conduce la imposibilitatea emiterii certificatului, respectiv a utilizarii semnaturii electronice sau a sigiliului electronic ori a certificatului de server web.

In situatia in care nu sunteti de acord cu operatiunile de prelucrare a datelor dumneavoastra implicate de identificarea persoanei la distanţă utilizând mijloace video prevazute in Sectiunea 1, literele c) – e), va puteti prezenta la sediul Operatorului sau al unui partener al Operatorului (lista partenerilor certSIGN fiind disponibila la www.certsign.ro) pentru obtinerea unui certificat digital calificat de semnatura electronica prin identificarea fizica – fata in fata cu un agent al Operatorului.

Sectiunea 4. Durata prelucrarii datelor cu caracter personal

Dupa emiterea certificatului digital, datele cu caracter personal aferente identificarii titularului de certificat si certificatului digital vor fi stocate pentru o perioada de 10 ani de la data incetarii valabilitatii certificatului emis pentru dumneavoastra, in special pentru a putea face dovada certificarii in cadrul unui eventual litigiu si in scopul asigurarii continuitatii serviciului conform articolului 6 (1) (c) RGPD coroborat cu articolul 24 (2) (h) din Regulamentul eIDAS si cu 20 lit h) din Legea romana nr. 455/2001 privind semnatura electronica.

Datele vor putea fi prelucrate si dupa aceasta data, atunci cand exista o obligatie legala sau un temei legal justificativ.

Mentionam ca datele biometrice nu se stocheaza, fiind sterse automat, imediat ce a fost generat rezultatul operatiei de comparare descris in cadrul Sectiunii 2 de mai sus privind categoriile de date.

In cazul in care dupa furnizarea datelor, nu mai doriti emiterea certificatului digital sau nu finalizati procedura de emitere intr-un termen de 60 de zile de la solicitarea certificatului digital, certSIGN va sterge toate datele dumneavoastra cu caracter personal colectate.

De asemenea, in cazul in care nu veti mai dori sa primiti newsletter-e, materiale promotionale, comunicari de marketing, oferte comerciale sau orice alte informatii relevante privind produsele si serviciile noastre, certSIGN nu va mai prelucra datele dumneavoastra in acest scop.

Sectiunea 5. Destinatarii datelor cu caracter personal

Datele dumneavoastra cu caracter personal pot fi dezvaluite: dumneavoastra pentru exercitarea drepturilor pe care le aveti in conformitate cu GDPR, auditorilor certSIGN, organismului de supraveghere conform legislatiei aplicabile, autoritatilor si institutiilor publice in baza obligatiilor de drept public, avocatilor pentru a ne reprezenta in cazul unui eventual litigiu sau pentru consultanta, executorilor judecatoresti pentru comunicari contractuale sau punerea in executare a eventualelor hotarari judecatoresti, firme de recuperare creante, partenerilor contractuali ai certSIGN pentru incheierea si executarea contractului (precum: persoane juridice carora le-au fost delegate atributii de autoritate de inregistrare delegata, firme de curierat, furnizori de servicii de identificare prin mijloace video sau furnizori de servicii de plata electronica ori de servicii de mentananta si suport, firmele afiliate certSIGN). De asemenea, datele din certificat pot fi dezvaluite tertilor care-si bazeaza conduita pe serviciile de certificare furnizate de certSIGN (in relația cu care dumneavoastra folositi certificatul), iar in cazul in care tertii sunt institutii publice, pot fi dezvaluite si alte date personale din actul de identitate, in afara de cele din certificat, in scopul dovedirii certificarii potrivit dispozitiilor legale aplicabile.

Sectiunea 6. Transferul datelor in afara Uniunii Europene

certSIGN nu transfera datele dumneavoastra cu caracter personal in afara Uniunii Europene/Spatiului Economic European.

Sectiunea 7. Drepturile persoanei vizate

In calitate de persoana vizata, aveti urmatoarele drepturi prevazute de Regulamentul General privind protectia datelor (art. 13 – 22 din GDPR):

  • Dreptul la informare: dreptul de a fi informat cu privire la operatiunile de prelucrare a datelor dumneavoastra cu caracter personal conform art. 13 si 14 din GDPR;
  • Dreptul de acces la date: dreptul de a obtine de la operatorul de date confirmarea faptului ca datele cu caracter personal care va vizeaza sunt sau nu prelucrate de catre acesta precum si informatii privind operatiunile de prelucrare a datelor dumneavoastra conform art. 15 din GDPR;
  • Dreptul la rectificare: dreptul de a obtine rectificarea datelor inexacte care va privesc, precum si completarea datelor incomplete conform art. 16 din GDPR;
  • Dreptul la stergerea datelor in conditiile art. 17 din GDPR;
  • Dreptul la restrictionarea prelucrarii datelor dumneavoastra cu caracter personal in conditiile reglementate de art. 18 din GDPR;
  • Dreptul de a obtine notificarea de catre certSIGN a destinatarilor carora le-a divulgat datele cu caracter personal orice stergere, rectificare sau restrictionare a prelucrarii datelor cu caracter personal efectuate in conformitate cu art. 16, 17 alin.(1) si 18 din GDPR, cu exceptia cazului in care acest lucru se dovedeste imposibil sau presupune eforturi disproportionate (art. 19 din GDPR).
  • Dreptul la portabilitatea datelor cu caracter personal pe care ni le-ati furnizat, in masura in care operatiunea de prelucrare a datelor se bazeaza pe consimtamant sau are ca temei contractul incheiat cu dumneavoastra in conditiile art. 20 din GDPR.
  • Dreptul la opozitie din motive legate de situatia dumneavoastra particulara asupra prelucrarilor de date efectuate in scopul urmaririi intereselor legitime ale certSIGN sau ale unor terti, potrivit art. 21 din GDPR.
  • Dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automata, inclusiv crearea de profiluri, care produce efecte juridice care privesc persoana vizata sau o afecteaza in mod similar intr-o masura semnificativa, in conformitate cu art. 22 din GDPR.

De asemenea, dumneavoastra, in calitate de persoana vizata, aveti dreptul de a va retrage oricand consimtamantul, in masura in care operatiunea de prelucrare a datelor se bazeaza pe consimtamantul dumneavoastra fara ca legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia sa fie afectata (art. 7 (3) din GDPR).

Totodata, va informam ca aveti dreptul de a va adresa Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal – ANSPDCP pentru apararea oricaror drepturi acordate de legislatia aplicabila in domeniul protectiei datelor cu caracter personal, care v-au fost incalcate, precum si de a apela la instantele de judecata competente.

Pentru exercitarea drepturilor prevazute de art. 13-22 si art. 7 (3) din GDPR, astfel cum au fost prezentate mai sus, va puteti adresa cu o cerere scrisa, datata si semnata, transmisa Departamentului Protectia Datelor cu Caracter Personal certSIGN:

  • adresa de email: dpd@certsign.ro
  • fax:(+4021) 3119905
  • bdul. Tudor Vladimirescu, nr. 29A, cladirea AFI Tech Parc 1, et.2, Bucuresti, sector 5.

In cazul in care veti adresa o asemenea solicitare privind exercitarea drepturilor dumneavoastra privind protectia datelor cu caracter personal, veti primi raspuns in termen de cel mult 30 de zile, in conditiile prevazute de GDPR.

Te sunăm noi!

Îţi mulţumim pentru că vrei să intri în contact cu noi!