Informare privind protecția datelor cu caracter personal în cadrul ASF
În conformitate cu Regulamentul European 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date (G.D.P.R.) și cu celelalte prevederi legale incidente acestui domeniu, Autoritatea de Supraveghere Financiară prelucrează date cu caracter personal care acoperă un segment extins de categorii de persoane, de la reprezentanți ai entităților de pe piețele financiare nebancare, la beneficiari și consumatori ai serviciilor oferite de aceste entități, petenți, parteneri contractuali sau instituționali ai A.S.F.
Datele cu caracter personal se referă la orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.
Prelucrarea datelor cu caracter personal se referă la orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi: colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea.
Prelucrarea datelor cu caracter personal la nivelul A.S.F. se face cu respectarea următoarelor principii:
Temeiul prelucrării datelor cu caracter personal
A.S.F. prelucrează datele cu caracter personal în baza următoarelor temeiuri specificate în G.D.P.R. (Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal şi privind libera circulație a acestor date şi de abrogare a Directivei 95/46/CE):
- în baza obligațiilor legale aflate în sarcina A.S.F. – art. 6, alin. (1), lit. c (exercitarea atribuțiilor legale de autoritate de supraveghere, reglementare, autorizare și control a entităților de pe piețele financiare nebancare, în conformitate cu legislația de organizare și funcționare a A.S.F., cu legislația în vigoare care reglementează activitățile specifice sectoarelor de activitate și cu prevederile Ordonanței Guvernului nr. 27/2002 privind reglementarea activității de soluționare a petițiilor, aprobată prin Legea nr. 233/2002, cu modificările și completările ulterioare, precum și cu legislația specifică exercitării altor prerogative conferite de lege). Legislația în baza căreia A.S.F. prelucrează date cu caracter personal se regăsește pe site-ul autorității la adresa: www.asfromania.ro/ro/c/21/legislatie;
- pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice – art. 6, alin. (1), lit. e;
- în baza consimțământului liber exprimat și în cunoștință de cauză al persoanei vizate, dacă acesta a fost acordat – art. 6, alin. (1), lit. a (de ex: înregistrare interviu de evaluare pentru ocuparea unei funcții de conducere sau funcții cheie; înregistrare audiere; înregistrare întâlniri pe diferite teme; înregistrare convorbire telefonică pentru sesizarea unui caz de abuz pe piață, call-center, petiție, cerere de conciliere);
- pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract – art. 6, alin. (1), lit. b.
Datele cu caracter personal prelucrate, categoriile de persoane vizate și scopurile prelucrării în cadrul A.S.F. se regăsesc detaliate mai jos, în secțiunea fiecărui domeniu de activitate.
Menționăm că datele cu caracter personal pot fi folosite de către A.S.F., pentru o serie de scopuri secundare (de ex: pentru arhivare, audit intern, extern etc.), acestea fiind întotdeauna compatibile cu scopurile principale, pentru care datele respective au fost inițial colectate de către A.S.F.
În baza prevederilor G.D.P.R., A.S.F. stabilește scopul și mijloacele prelucrării și contractează doar operatori (asociați sau împuterniciții) care au garanții de confidențialitate și securitate.
Conform prevederilor legale în vigoare în domeniul protecției datelor cu caracter personal, A.S.F. prelucrează în condiții de siguranță și numai pentru scopurile specificate, datele cu caracter personal ale persoanelor vizate.
Destinatarii datelor cu caracter personal prelucrate de A.S.F. pot fi:
În vederea îndeplinirii scopurilor pentru care prelucrează date cu caracter personal este posibil ca A.S.F. să transfere unele categorii de date cu caracter personal în afara României sau statelor din cadrul UE/EEA către:
(i) state terțe pentru care există o decizie de adecvare a Comisiei Europene;
(ii) alte state terțe (în baza garanțiilor adecvate cum sunt clauzele contractuale standard sau înțelegeri administrative la care A.S.F. este parte);
(iii) derogări pentru situații specifice prevăzute de prevederile art. 49 din G.D.P.R.
Astfel, transferul de date se poate face fie în temeiul unei decizii privind caracterul adecvat al nivelului de protecție emis de Comisia Europeană în baza art. 45 din G.D.P.R. care să ateste că statul terț îndeplinește criteriile respective, fie în baza unor garanții adecvate, care pot fi furnizate prin clauze standard de protecție a datelor adoptate de A.N.S.P.D.C.P. și aprobate de Comisie în conformitate cu procedura de examinare, sau pot fi furnizate prin intermediul unor dispoziții care urmează să fie incluse într-un acord administrativ dintre A.S.F. și entitatea către care se transferă datele, care include drepturi opozabile și efective pentru persoanele vizate, iar respectivul acord trebuie să primească autorizare din partea A.N.S.P.D.C.P. În această situație se impune obligația informării prealabile a persoanelor vizate, până cel târziu la data la care urmează să fie efectuat transferul de date.
Perioada de stocare a datelor cu caracter personal colectate și/sau prelucrate
Perioada de stocare și criteriile utilizate pentru determinarea perioadei sunt cele prevăzute în legislația națională aferentă regimului de stocare și arhivare a documentelor care conțin respectivele date cu caracter personal.
Datele cu caracter personal vor fi stocate de către A.S.F. strict pe perioada necesară realizării atribuțiilor legale de autoritate de supraveghere, reglementare, autorizare și control a entităților de pe piețele financiare nebancare, în conformitate cu legislația sectorială în vigoare, cu excepția situațiilor în care alte prevederi legale incidente, stabilesc în mod expres alte termene.
Drepturile persoanelor a căror date cu caracter personal sunt prelucrate de către A.S.F.
Persoana vizată își poate exercita aceste drepturi prin transmiterea unui e-mail la adresa dpo@asfromania.ro sau printr-o cerere scrisă, datată și semnată, trimisă la adresa poștală A.S.F. din București, adresa Splaiul Independenței nr. 15, Sector 5, la Fax: 021.659.60.51, 021.659.64.36.
În situația în care răspunsul primit nu este considerat satisfăcător, persoana vizată se poate adresa Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal prin formularul de plângere on-line de pe site-ul dataprotection.ro sau la adresa: B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, cod poștal 010336, București, România (+40.318.059.211/ +40.318.059.212). De asemenea, fără a aduce atingere altei căi de atac administrative persoana vizată are dreptul de a exercita o cale de atac judiciară, în cazul în care consideră că drepturile privind datele personale cu caracter personal i-au fost încălcate.