Protecția datelor

 

Informare privind protecția datelor cu caracter personal în cadrul ASF

În conformitate cu Regulamentul European 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date (G.D.P.R.) și cu celelalte prevederi legale incidente acestui domeniu, Autoritatea de Supraveghere Financiară prelucrează date cu caracter personal care acoperă un segment extins de categorii de persoane, de la reprezentanți ai entităților de pe piețele financiare nebancare, la beneficiari și consumatori ai serviciilor oferite de aceste entități, petenți, parteneri contractuali sau instituționali ai A.S.F.

Datele cu caracter personal se referă la orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.

Prelucrarea datelor cu caracter personal se referă la orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi: colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea.

Prelucrarea datelor cu caracter personal la nivelul A.S.F. se face cu respectarea următoarelor principii:

  • Legalitate, echitate și transparență (datele sunt prelucrate în mod legal, echitabil și transparent față de persoana vizată);
  • Limitări legate de scop (datele sunt colectate în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri);
  • Reducerea la minimum a datelor (datele sunt adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile pentru care sunt prelucrate);
  • Exactitate (datele sunt exacte și, în cazul în care este necesar, sunt actualizate);
  • Limitări legate de stocare (datele sunt păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele);
  • Integritate și confidențialitate (datele sunt prelucrate într-un mod care asigură securitatea adecvată a acestora).

 

Temeiul prelucrării datelor cu caracter personal

A.S.F. prelucrează datele cu caracter personal în baza următoarelor temeiuri specificate în G.D.P.R. (Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal şi privind libera circulație a acestor date şi de abrogare a Directivei 95/46/CE):

- în baza obligațiilor legale aflate în sarcina A.S.F. – art. 6, alin. (1), lit. c (exercitarea atribuțiilor legale de autoritate de supraveghere, reglementare, autorizare și control a entităților de pe piețele financiare nebancare, în conformitate cu legislația de organizare și funcționare a A.S.F., cu legislația în vigoare care reglementează activitățile specifice sectoarelor de activitate și cu prevederile Ordonanței Guvernului nr. 27/2002 privind reglementarea activității de soluționare a petițiilor, aprobată prin Legea nr. 233/2002, cu modificările și completările ulterioare, precum și cu legislația specifică exercitării altor prerogative conferite de lege). Legislația în baza căreia A.S.F. prelucrează date cu caracter personal se regăsește pe site-ul autorității la adresa: www.asfromania.ro/ro/c/21/legislatie;

- pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice – art. 6, alin. (1), lit. e;

- în baza consimțământului liber exprimat și în cunoștință de cauză al persoanei vizate, dacă acesta a fost acordat – art. 6, alin. (1), lit. a (de ex: înregistrare interviu de evaluare pentru ocuparea unei funcții de conducere sau funcții cheie; înregistrare audiere; înregistrare întâlniri pe diferite teme; înregistrare convorbire telefonică pentru sesizarea unui caz de abuz pe piață, call-center, petiție, cerere de conciliere);

- pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract – art. 6, alin. (1), lit. b.

Datele cu caracter personal prelucrate, categoriile de persoane vizate și scopurile prelucrării în cadrul A.S.F. se regăsesc detaliate mai jos, în secțiunea fiecărui domeniu de activitate.

Menționăm că datele cu caracter personal pot fi folosite de către A.S.F., pentru o serie de scopuri secundare (de ex: pentru arhivare, audit intern, extern etc.), acestea fiind întotdeauna compatibile cu scopurile principale, pentru care datele respective au fost inițial colectate de către A.S.F.

În baza prevederilor G.D.P.R., A.S.F. stabilește scopul și mijloacele prelucrării și contractează doar operatori (asociați sau împuterniciții) care au garanții de confidențialitate și securitate.

Conform prevederilor legale în vigoare în domeniul protecției datelor cu caracter personal, A.S.F. prelucrează în condiții de siguranță și numai pentru scopurile specificate, datele cu caracter personal ale persoanelor vizate.

Destinatarii datelor cu caracter personal prelucrate de A.S.F. pot fi:

  • Reprezentanții legali ai persoanei vizate;
  • Salariați ai A.S.F. în exercitarea atribuțiilor de serviciu;
  • Furnizori de servicii: servicii IT (mentenanță, dezvoltare software), arhivare în format fizic și/sau electronic; curierat; audit; servicii de suport; de cercetare de piață;
  • Executori judecătorești și birouri notariale, consultanți externi care acordă consultanță sau asistă A.S.F. în exercitarea și apărarea drepturilor în instanță;
  • Membrii Colegiului de Conducere al SAL-Fin;
  • Conciliatorii înscriși în Registrul conciliatorilor Entității de Soluționare Alternativă a Litigiilor în domeniul financiar non-bancar (SAL-Fin);
  • Instituții de reglementare și supraveghere financiară, din Romania și din străinătate (B.N.R., omoloage A.S.F. din statele membre U.E. și/sau state terțe, E.S.M.A., E.I.O.P.A., E.B.A., I.O.S.C.O. etc.);
  • Organe judiciare din Romania și din alte țări, precum membrii ai instanțelor judecătorești, instanțelor arbitrale, parchetelor;
  • Autorități publice centrale și locale din România (de ex: M.A.I., A.N.A.F., O.N.P.C.S.B., Consiliul Concurenței, Arhivele Naționale) și din alte țări, organe ale poliției;
  • Instituții de investigare și suport pentru incidente de securitate cibernetică.

În vederea îndeplinirii scopurilor pentru care prelucrează date cu caracter personal este posibil ca A.S.F. să transfere unele categorii de date cu caracter personal în afara României sau statelor din cadrul UE/EEA către:

(i) state terțe pentru care există o decizie de adecvare a Comisiei Europene;

(ii) alte state terțe (în baza garanțiilor adecvate cum sunt clauzele contractuale standard sau înțelegeri administrative la care A.S.F. este parte);

(iii) derogări pentru situații specifice prevăzute de prevederile art. 49 din G.D.P.R.

Astfel, transferul de date se poate face fie în temeiul unei decizii privind caracterul adecvat al nivelului de protecție emis de Comisia Europeană în baza art. 45 din G.D.P.R. care să ateste că statul terț îndeplinește criteriile respective, fie în baza unor garanții adecvate, care pot fi furnizate prin clauze standard de protecție a datelor adoptate de A.N.S.P.D.C.P. și aprobate de Comisie în conformitate cu procedura de examinare, sau pot fi furnizate prin intermediul unor dispoziții care urmează să fie incluse într-un acord administrativ dintre A.S.F. și entitatea către care se transferă datele, care include drepturi opozabile și efective pentru persoanele vizate, iar respectivul acord trebuie să primească autorizare din partea A.N.S.P.D.C.P. În această situație se impune obligația informării prealabile a persoanelor vizate, până cel târziu la data la care urmează să fie efectuat transferul de date.

Perioada de stocare a datelor cu caracter personal colectate și/sau prelucrate

Perioada de stocare și criteriile utilizate pentru determinarea perioadei sunt cele prevăzute în legislația națională aferentă regimului de stocare și arhivare a documentelor care conțin respectivele date cu caracter personal.

Datele cu caracter personal vor fi stocate de către A.S.F. strict pe perioada necesară realizării atribuțiilor legale de autoritate de supraveghere, reglementare, autorizare și control a entităților de pe piețele financiare nebancare, în conformitate cu legislația sectorială în vigoare, cu excepția situațiilor în care alte prevederi legale incidente, stabilesc în mod expres alte termene.

Drepturile persoanelor a căror date cu caracter personal sunt prelucrate de către A.S.F.

  1. Dreptul la informare– conform căruia persoana vizată are dreptul de a primi informații detaliate privind activitățile de prelucrare a datelor cu caracter personal efectuate de A.S.F.;
  2. Dreptul de acces la date – conform căruia persoana vizată are dreptul de a obține, din partea S.F., a unei confirmări că datele cu caracter personal se prelucrează exclusiv în scopurile indicate, care sunt aceste date și durata prelucrării;
  3. Dreptul la rectificare – conform căruia persoana vizată are dreptul de a solicita și obține de la A.S.F. rectificarea datelor inexacte care o privesc sau completarea acestora;
  4. Dreptul la ștergerea datelor („dreptul de a fi uitat”) – conform căruia persoana vizată are dreptul de a solicita și obține de la A.S.F., în cazuri justificate, ștergerea datelor cu caracter personal care o privesc, cu excepția acelor date cu caracter personal pentru care există prevederi legale exprese care stabilesc necesitatea păstrării lor;
  5. Dreptul la restricționarea prelucrării – conform căruia persoana vizată are dreptul de a solicita și a obține, din partea A.S.F. restricționarea prelucrării datelor cu caracter personal în situația în care a contestat exactitatea datelor restricționare, care se aplică pe perioada verificării exactității datelor, în situația unei prelucrări ilegale, în situația în care este necesară pentru constatarea, exercitarea sau apărarea unui drept în instanță sau în situația în care persoana vizată are dreptul la opoziție, în condițiile prevăzute de legislația în vigoare;
  6. Dreptul de opoziție – conform căruia persoana vizată se poate opune în orice moment, din motive legate de situația particulară în care se află prelucrărilor de date cu caracter personal realizate în exercițiul unui interes public sau al unei autorizări cu care este investită A.S.F.; Astfel, A.S.F. nu mai prelucrează datele cu caracter personal, cu excepția cazului în care demonstrează că are motive legitime și imperioase care justifică prelucrarea și care prevalează asupra intereselor, drepturilor și libertăților persoanei vizate sau că scopul este constatarea, exercitarea sau apărarea unui drept în instanță;
  7. Dreptul de retragere a consimțământului –conform căruia în cazurile în care prelucrarea se întemeiază pe consimțământul exprimat în mod direct, expres și neechivoc, persoana vizată poate să își retragă consimțământul oricând. Retragerea consimțământului va avea efecte doar pentru viitor, prelucrarea efectuată anterior retragerii rămânând în continuare valabilă;
  8. Dreptul de a depune plângere – conform căruia, în situația unor nemulțumiri legate de prelucrarea datelor cu caracter personal de către A.S.F. persoana vizată poate adresa o plângere semnată și datată Ofițerului pentru protecția datelor din cadrul A.S.F.

Persoana vizată își poate exercita aceste drepturi prin transmiterea unui e-mail la adresa dpo@asfromania.ro sau printr-o cerere scrisă, datată și semnată, trimisă la adresa poștală A.S.F. din București, adresa Splaiul Independenței nr. 15, Sector 5, la Fax: 021.659.60.51, 021.659.64.36.

În situația în care răspunsul primit nu este considerat satisfăcător, persoana vizată se poate adresa Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal prin formularul de plângere on-line de pe site-ul dataprotection.ro sau la adresa: B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, cod poștal 010336, București, România (+40.318.059.211/ +40.318.059.212). De asemenea, fără a aduce atingere altei căi de atac administrative persoana vizată are dreptul de a exercita o cale de atac judiciară, în cazul în care consideră că drepturile privind datele personale cu caracter personal i-au fost încălcate.

 

Informare privind protecția datelor cu caracter personal în cadrul ASF

I. Prelucrarea datelor cu caracter personal la nivelul Sectorului de Instrumente și Investiții Financiare (S.I.I.F.)

II. Prelucrarea datelor cu caracter personal la nivelul Sectorului Asigurări-Reasigurări (S.A.R.)

III. Prelucrarea datelor cu caracter personal la nivelul Sectorului Sistemului de Pensii Private (S.S.P.P.)

IV. Prelucrarea datelor cu caracter personal gestionate în procesul de soluționare a petițiilor

V. Prelucrarea datelor cu caracter personal gestionate la nivelul Direcției Generale Strategie și Stabilitate Financiară

VI. Prelucrarea datelor cu caracter personal gestionate în cadrul activităților de comunicare și educație financiară

VII. Prelucrarea datelor cu caracter personal gestionate la nivelul Compartimentului Analiză și Suport Tehnic SAL-Fin din cadrul Secretariatului General

VIII. Prelucrarea datelor cu caracter personal gestionate la nivelul Serviciului Prevenirea și Combaterea Spălării Banilor (S.P.C.S.B.)