NOTĂ DE INFORMARE PRIVIND PRELUCRAREA DATELOR CU CARACTER PERSONAL

CERTSIGN S.A. (denumită în cele ce urmează “certSIGN”), cu sediul social în Bucureşti, Șos. Olteniței nr. 107 A, corp C1, et.1, camera 16, sector 4, înregistrată la Registrul Comerţului sub nr. J40/484/17.01.2006, CUI 18288250, Telefon: 0311 011 870, Fax: 021 311 9905, E-mail: office@certsign.ro, în calitate de operator de date cu caracter personal, prelucrează datele cu caracter personal furnizate de dumneavoastră în vederea prestării serviciilor de certificare pentru semnătură electronică, în concordanță cu prevederile Regulamentului (UE) nr. 910/2014, a Regulamentului UE 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date (“GDPR”) și a altor dispoziții de drept ale Uniunii sau drept intern referitoare la protecția datelor.

Scopul și temeiul prelucrării datelor cu caracter personal

Scopurile prelucrării datelor dumneavoastră cu caracter personal sunt:

  • prestarea serviciilor de certificare pentru emiterea de certificate digitale calificate, utilizarea certificatului în vederea semnării electronice a documentelor de către titularul de certificat, livrarea certificatului digital și a token-ului, în cazul în care certificatul digital este emis pe dispozitiv criptografic (token), inclusiv plata serviciului de încredere, conform articolului 6 (1) (b) din GDPR;
  • identificarea titularului de certificat și validarea identității sale prin verificarea datelor de identitate din actul de identitate ce conține și fotografia persoanei vizate în vederea emiterii certificatului digital calificat, fața în față sau prin mijloace video, conform articolului 6 (1) (c) din GDPR coroborat cu articolul 24 (1) din Regulamentul eIDAS;
  • identificarea unică a dumneavoastră prin prelucrarea datele biometrice, respectiv prelucrarea imaginii faciale transpusă în date biometrice, în cazul în care identificarea s-a realizat prin mijloace video, conform art. 6 (1) (a) din GDPR,
  • identificarea și autentificarea persoanei vizate pentru utilizarea aplicațiilor de semnare Paperless aparținând certSIGN, conform articolului 6 (1) (c) din GDPR;
  • accesarea și utilizarea de către dumneavoastră a platformelor de semnare Paperless aparținând certSIGN, conform articolului 6 (1) (b) din GDPR;
  • reînnoirea certificatului digital la solicitarea persoanei vizate, conform articolului 6 (1) (b) din GDPR;
  • confirmarea validității certificatului de semnătură electronică, la cererea titularului sau la cererea unei persoane care își bazează conduita pe serviciile de încredere furnizate de certSIGN sau în cadrul unei proceduri judiciare, după caz, conform:
    • articolului 6 (1) (b) GDPR pentru validarea la cererea persoanei vizate sau
    • articolului 6 (1) (c) GDPR coroborat cu articolul 24 (2) (h), (3) (4) din Regulamentul eIDAS pentru validarea în celelalte situații;
  • revocarea/suspendarea certificatului în condițiile prevăzute în contract conform articolului 6 (1) (b) din GDPR sau ca urmare a unei obligații legale a certSIGN conform articolului 6 (1) (c) GDPR coroborat cu articolul 24 (3) (4) din Regulamentul eIDAS;
  • în cazul în care ați făcut o achiziție de servicii de certificare de la distanță vom prelucra datele dumneavoastră și în scopul respectării dreptului de retragere pe care l-ați exercitat conform OUG 34/2014 privind drepturile consumatorilor în cadrul contractelor încheiate cu profesioniștii, precum și pentru modificarea și completarea unor acte normative, coroborat cu art. 6 (1) (c) GDPR;
  • asigurarea securității sistemelor și bazelor de date conform articolului 6 (1) (c) GDPR coroborat cu articolul 24 (2) (e), (f), (i) din Regulamentul eIDAS;
  • prevenirea și/sau identificarea fraudelor conform art. 6 alin. (1) lit. (c) RGPD coroborat cu art. 24 alin. (2) lit. (g) din Regulamentul eIDAS;
  • respectarea obligațiilor legale ale Operatorului de date (de ex. transmiterea informațiilor care reprezintă date cu caracter personal la cererea autorităților de stat competente, instituirea și actualizarea permanentă a bazei de date a certificatelor de semnătură electronică conform articolului 6 (1) (c) GDPR coroborat cu prevederile Regulamentului eIDAS (articolul 24 (2) k))
  • stocarea datelor pe o perioadă de 10 ani de la încetarea valabilității certificatului de semnătură electronică. Aceste date se pot folosi și în cadrul unei proceduri judiciare, pe lângă scopul asigurării continuității serviciului conform art. 6 alin. (1) lit. (c) RGPD coroborat cu art. 24 alin. (2) lit. (h) din Regulamentul eIDAS;
  • transmiterea de newsletter-e, materiale promoționale, comunicări de marketing, oferte comerciale sau orice alte informații relevante privind produsele și serviciile certSIGN în cazul în care v-ați dat consimțământul în acest sens 6 (1) (a) GDPR;
  • pentru urmărirea intereselor legitime ale Operatorului de date sau ale unui terț cum ar fi pentru raportările interne ale operatorului sau pentru eficientizarea proceselor companiei, pentru gestionarea contractelor sau documentelor justificativ-contabile, pentru soluționarea sesizărilor, pentru auditarea sau verificarea proceselor interne, pentru apărarea drepturilor operatorului cum ar fi recuperarea creanțelor deținute de acesta, conform articolului 6 (1) (f) din GDPR.

Temeiurile juridice ale operațiunilor de prelucrare a datelor vizează articolul 6 alineat (1) literele (a), (b), (c) și (f) din GDPR, după cum a fost detaliat mai sus.

Categoriile de date cu caracter personal pe care le prelucrăm

Datele dumneavoastră cu caracter personal pe care le prelucrăm sunt, după caz, următoarele:

  • număr de telefon, adresa de e-mail;
  • numele, prenumele, codul numeric personal, seria și numărul actului de identitate, adresa, precum și toate celelalte date cu caracter personal incluse în actul dumneavoastră de identitate, copia actului de identitate;
  • dacă identificarea dvs. s-a realizat prin mijloace video, înregistrarea video a interacțiunii cu agentul certSIGN în vederea verificării identității, imagine și voce (în cazul în care ați fost de acord să intrați în videoconferință în scopul identificării dumneavoastră prin mijloace video);
  • de asemenea, în cazul în care v-ați dat consimțământul (art. 6 (1) (a) GDPR) pentru prelucrarea datele biometrice în scopul identificării unice a dumneavoastră prin prelucrarea imaginii faciale transpusă în date biometrice, prelucrăm și această categorie de date;

Prelucrarea datelor biometrice menționate anterior presupune obținerea și compararea template-urilor biometrice din fotografia actului de identitate și din fotografia chipului dumneavoastră și se realizează prin intermediul aplicației videolD (https://www.electronicid.eu/en/solutions/videoid).

Templateul biometric reprezintă referința digitală a caracteristicilor distincte care au fost extrase dintr-o probă biometrică. Templateurile biometrice sunt utilizate în timpul procesului de identificare video. Practic, ceea ce se compară nu sunt fotografiile (din actul de identitate și cea obținută în timpul interviului, ci templaturile biometrice ale celor două fotografii). Proba biometrică este în acest caz chiar fotografia.

  • semnătura olografă;
  • datele din certificatul digital;
  • semnătura electronică și numărul semnăturilor acordate/utilizate în cazul certificatelor digitale pentru semnare la distanță;
  • apartenența titularului de certificat la contul unui client care a transmis certSIGN cererea de emitere a certificatului digital;
  • codul de autorizare OTP/TOTP;
  • codul IBAN pentru restituirea prețului, în cazul în care vă manifestați dreptul de retragere;
  • adresa de livrare pentru furnizarea certificatului digital și a token-ului, în cazul în care certificatul este emis pe dispozitiv criptografic (token);
  • log-uri / IP-ul.

Utilizarea datelor cu caracter personal și consecințele nefurnizarii acestora 

Prelucrarea datele cu caracter personal este necesară în principal pentru semnarea documentelor cu semnătură electronică, respectiv pentru emiterea certificatelor digitale de semnătură electronică și pentru utilizarea aplicațiilor de semnare Paperless ale certSIGN. Datele cu caracter personal sunt astfel necesare identificării persoanei vizate pentru emiterea certificatelor digitale.

Datele cu caracter personal menționate mai sus sunt prelucrate direct de către certSIGN sau cu ajutorul altor operatori cu care ne asociem în vederea identificării viitorilor titulari de certificate și înregistrării cererilor de emitere certificate, cu respectarea art. 26 din GDPR.

De asemenea, certSIGN, mai poate prelucra datele cu caracter personal în scopul identificării viitorilor titulari de certificate și înregistrării cererilor de emitere certificate și prin persoane împuternicite care oferă garanții adecvate, în conformitate cu art. 28 din GDPR. Astfel de persoane pot fi persoane juridice cărora le-au fost delegate atribuții de autoritate de înregistrare delegată a certSIGN sau furnizori ai soluției de identificare prin mijloace video.

Refuzul de a furniza datele necesare emiterii certificatului digital și prestării serviciilor de certificare, conduce la imposibilitatea emiterii certificatului, respectiv a utilizării semnăturii electronice.

Durata prelucrării datelor cu caracter personal

După emiterea certificatului digital, datele cu caracter personal aferente identificării titularului de certificat și certificatului digital vor fi stocate pentru o perioadă de 10 ani de la data încetării valabilității certificatului emis pentru dumneavoastră, în special pentru a putea face dovada certificării în cadrul unui eventual litigiu și în scopul asigurării continuității serviciului conform articolului 6 (1) (c) RGPD coroborat cu articolul 24 (2) (h) din Regulamentul eIDAS. 

Datele vor putea fi prelucrate și după această dată, atunci când exista o obligație legală sau un interes legitim în acest sens. 

Menționăm că datele biometrice nu se stochează, fiind șterse automat, imediat ce a fost generat rezultatul operației de comparare descris în cadrul secțiunii de mai sus privind categoriile de date.

În cazul în care după furnizarea datelor, nu mai doriți emiterea certificatului digital sau nu finalizați procedura de emitere într-un termen de 60 de zile de la solicitarea certificatului digital, certSIGN vă șterge toate datele personale colectate.

De asemenea, în cazul în care nu veți mai dori să primiti newsletter-e, materiale promoționale, comunicări de marketing, oferte comerciale sau orice alte informații relevante privind produsele și serviciile noastre, certSIGN nu va mai prelucra datele dumneavoastră în acest scop.

Transmiterea datelor cu caracter personal pentru îndeplinirea scopurilor de prelucrare ale certSIGN  

Datele dumneavoastră cu caracter personal pot fi dezvăluite: dumneavoastră pentru exercitarea drepturilor pe care le aveți în conformitate cu GDPR, auditorilor certSIGN, organismului de supraveghere conform legislației aplicabile, autorităților și instituțiilor publice în baza obligațiilor de drept public, avocaților pentru a ne reprezenta în cazul unui eventual litigiu sau pentru consultanță, executorilor judecătorești pentru comunicări contractuale sau punerea în executare a eventualelor hotărâri judecătorești, firme de recuperare creanțe, partenerilor contractuali ai certSIGN pentru încheierea și executarea contractului (precum: persoane juridice cărora le-au fost delegate atribuții de autoritate de înregistrare delegată, firme de curierat, furnizori de servicii de identificare prin mijloace video sau furnizori de servicii de plată electronică ori de servicii de mentananta și suport, firmele afiliate certSIGN) și în orice alte situații justificate cu înștiințarea dumneavoastră în prealabil, dar numai în vederea îndeplinirii scopului amintit mai sus și urmărind protejarea cu prioritate a drepturilor pe care le aveți. De asemenea, datele din certificat pot fi dezvăluite terților care-și bazează conduita pe serviciile de certificare furnizate de certSIGN (în relația cu care dumneavoastră folosiți certificatul), iar în cazul în care terții sunt instituții publice, pot fi dezvăluite și alte date personale din actul de identitate, în afara de cele din certificat, în scopul dovedirii certificării.

Transferul datelor în afara Uniunii Europene

certSIGN nu transferă datele dumneavoastră cu caracter personal în afara Uniunii Europene.

Drepturile persoanei vizate  

În calitate de persoană vizată, aveți următoarele drepturi prevăzute de Regulamentul General privind protecția datelor: 

Dreptul la informare: dreptul de a fi informat cu privire la identitatea și datele de contact ale operatorului și ale Responsabilului cu protecția datelor, scopurile în care se face prelucrarea datelor, categoriile de date cu caracter personal vizate, destinatarii sau categoriile de destinatari ai datelor, existența drepturilor prevăzute de legislația privind protecția datelor cu caracter personal pentru persoana vizată și condițiile în care pot fi exercitate;

Dreptul de acces la date: dreptul de a obține de la operatorul de date confirmarea faptului că datele cu caracter personal care vă vizează sunt sau nu prelucrate de către acesta;

Dreptul la rectificare: dreptul de a obține rectificarea datelor inexacte care vă privesc, precum și completarea datelor incomplete;

Dreptul la restricţionarea prelucrării în cazul în care persoana vizată s-a opus prelucrării în scopul intereselor legitime urmărite de certSIGN sau de terți ori în cazul în care certSIGN nu mai are nevoie de datele cu caracter personal, dar persoana vizată le solicită pentru constatarea, exercitarea sau apărarea unui drept în instanță;

Dreptul de a vă retrage oricând consimțământul, în măsură în care operațiunea de prelucrare a datelor se bazează pe consimțământul dumneavoastră. 

Dreptul la ștergerea datelor înainte de emiterea certificatului digital. După emiterea certificatului digital certSIGN va stoca datele dumneavoastră pe perioada de 10 ani menționată mai sus.

Dreptul la portabilitatea datelor cu caracter personal ni le-ați furnizat, în măsura în care operațiunea de prelucrare a datelor se bazează pe consimțământ sau are ca temei contractul încheiat cu dumneavoastră.

Dreptul la opoziție din motive legate de situația dumneavoastră particulară asupra prelucrărilor de date efectuate în scopul urmăririi intereselor legitime ale certSIGN sau ale unor terți.

certSIGN va notifica destinatarilor cărora le-a divulgat datele cu caracter personal orice ștergere, rectificare sau restricționare a prelucrării datelor cu caracter personal efectuate în conformitate cu art. 16, 17 alin. (1) și 18 din GDPR, cu excepția cazului în care acest lucru se dovedește imposibil sau presupune eforturi disproporționate.

Dreptul de a vă adresa Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal – ANSPDCP pentru apărarea oricăror drepturi acordate de legislația aplicabilă în domeniul protecției datelor cu caracter personal, care v-au fost încălcate.

Pentru exercitarea acestor drepturi, vă puteți adresa cu o cerere scrisă, datată și semnată, transmisă Departamentului Protecția Datelor cu Caracter Personal certSIGN:

  • adresa de email: dpd@certsign.ro
  • fax:(+4021) 3119905
  • Bdul. Tudor Vladimirescu, nr. 29A, clădirea AFI Tech Parc 1, et. 2, București, sector 5.

În cazul în care veți adresa o solicitare privind exercitarea drepturilor dumneavoastră privind protecția datelor cu caracter personal, veți primi răspuns în termen de cel mult 30 de zile, în condițiile prevăzute de GDPR. 

Te sunăm noi!

Îţi mulţumim pentru că vrei să intri în contact cu noi!