CERTSIGN S.A., cu sediul social în București, Sector 4, Șos. Olteniței, nr. 107A, Corp C1, Etaj 1, camera 16, înregistrată la Registrul Comerțului sub nr. J40/484/2006, CUI 18288250, Telefon: (+40) 311 011 870, E-mail: hello@certme.ro, (denumită în cele ce urmează “certSIGN”), în calitate de operator de date cu caracter personal prelucrează datele dumneavoastră cu caracter personal în vederea emiterii și utilizării mijloacelor de identificare electronică certME în concordanță cu prevederile Regulamentului (UE) nr. 910/2014 privind identificarea electronică și serviciile de încredere pentru tranzacțiile electronice pe piața internă și de abrogare a Directivei 1999/93/CE (eIDAS), ale Regulamentului (UE) de punere în aplicare nr. 1502/2015, și în conformitate cu Regulamentului UE 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date ("GDPR") și a altor dispoziții de drept ale Uniunii sau drept intern referitoare la protecția datelor și identificarea electronică la distanță utilizând mijloace video.
Datele dvs. personale sunt prelucrate în contextul contractului încheiat între dvs. și noi ("Termeni și condiții pentru utilizarea aplicației certME și a mijloacelor de identificare electronică certME") cu privire la utilizarea de către dvs. a mijlocului de identificare furnizat prin intermediul aplicației certME.
Scopurile prelucrării datelor dumneavoastră cu caracter personal sunt:
a) Emiterea și utilizarea unui mijloc de identificare electronică („MIE”), în conformitate cu prevederile Regulamentelor (UE) nr. 910/2014 și 1502/2015, pe care sa-l folosiți atunci când doriți să achiziționați produse sau servicii, pentru a vă identifica în relația cu furnizorii acestora care acceptă autentificarea/înregistrarea cu mijlocul de identificare certME, conform articolului 6 (1) (b) din GDPR.
Pentru utilizarea mijlocului de identificare electronică, prin intermediul aplicației certME, certSIGN, fie direct, fie prin intermediul partenerilor noștri (denumiți generic “Validatori de Identitate”), va prelucra datele dumneavoastră personale în scopul creării unei identități electronice, care este o reprezentare numerică realizată cu ajutorul soluției proprietare certME. Lista Validatorilor de Identitate certME se găsește online la adresa www.certme.ro.
Aceasta reprezentare numerică permite validarea identității dumneavoastră la solicitarea unui Furnizor de servicii sau produse în relația cu care veți folosi mijlocul de identificare certME și numai în condițiile în care dumneavoastră doriți această validare. Lista Furnizorilor de servicii sau produse înrolați în platforma certME se găsește online la adresa www.certme.ro.
b) Verificarea și dovedirea identității dumneavoastră, în calitate de utilizator al MIE în vederea emiterii, suspendării, revocării și reactivării MIE certME, conform art. 6 (1) (c) din GDPR, coroborat cu Regulament UE 910/2014 și art. 2.1.2 din Anexa Regulamentului UE 1502/2015;
c) realizarea de capturi ale documentului de identitate și ale imaginii dumneavoastră in situatia identificării dumneavoastră la distanță prin mijloace video conform art. 6 (1) (a) din GDPR și art. 16 (1) din Normele Autorității pentru Digitalizarea României privind reglementarea, recunoaşterea, aprobarea sau acceptarea procedurii de identificare a persoanei la distanţă utilizând mijloace video aprobate prin Decizia Autorității pentru Digitalizarea Romaniei nr. 564/2021 (Norma ADR);
d) Identificarea unică a dumneavoastră prin prelucrarea datelor biometrice, respectiv prelucrarea imaginii faciale transpusă în date biometrice, în cazul în care identificarea s-a realizat prin mijloace video, conform art. 6 (1) (a) si art. 9 (2) (a) din GDPR;
e) înregistarea sesiunii video în situația în care identificarea se realizează la distanță prin mijloace video în conformitate cu art. 6 (1) (a) din GDPR, utilizarea acestei modalități de identificarea a dumneavoastră în vederea obținerii unui MIE certME realizându-se cu acordul dumneavoastră;
f) autentificarea dumneavoastră în relația cu Furnizorii de servicii sau produse înrolați în sistemul certME, conform articolului 6 (1) (b) din GDPR;
g) Suspendarea, revocarea și reactivarea MIE certME, conform articolului 6 (1) (b) din GDPR;
h) suport tehnic acordat dumneavoastră, Furnizorului de produse și servicii sau Validatorului de identitate de către certSIGN în utilizarea sistemului certME, conform articolului 6 (1) (b) din GDPR;
i) Asigurarea continuității serviciului certME, conform art. 6 (1) (c) din GDPR, coroborat cu art. 8 alin. 3 din Regulamentul UE 910/2014 și Anexa Regulamentului UE 1502/2015;
j) Asigurarea securității sistemelor și bazelor de date, conform art. 6 (1) (c) din GDPR, coroborat cu art. 8 alin. 3 din Regulamentul UE 910/2014 și Anexa Regulamentului UE 1502/2015;
k) Demonstrarea/probarea creării și utilizării mijlocului de identificare electronică, conform art. 6 (1) (c) din GDPR, coroborat cu Regulamentul UE 910/2014 și Anexa Regulamentului UE 1502/2015;
l) Respectarea obligațiilor legale ale certSIGN (de ex. transmiterea informațiilor care reprezintă date cu caracter personal la cererea autorităților de stat competente, auditarea sau verificarea proceselor aferente emiterii, suspendării, revocării și reactivării MIE certME, conform art. 6 (1) (c) din GDPR;
m) prevenirea si/sau identificarea fraudelor conform art. 6 alin. (1) lit. (c) GDPR coroborat cu Regulamentul eIDAS;
n) stocarea datelor, inclusiv a copiei documentului de identitate, conform art. 6 alin. (1) lit. (c) GDPR coroborat cu Regulamentul eIDAS si Regulamentul UE 1502/2015, precum si cu art. 16 alin.(2) si art. 22 din Norma ADR;
o) transmiterea de newsletter-e, materiale promotionale, comunicări de marketing, oferte comerciale sau orice alte informatii relevante privind produsele si serviciile certSIGN in cazul in care v-ati dat consimtamantul in acest sens potrivit art. 6 (1) (a) GDPR sau pentru urmărirea intereselor legitime ale certSIGN de a vă informa cu privire la servicii similare art. 6 alin. (1) lit. (f) din GDPR;
p) Pentru urmărirea intereselor legitime ale Operatorului de date sau ale unui terț - cum ar fi, după caz, pentru raportările interne ale operatorului, pentru gestionarea contractelor sau documentelor justificativ contabile, pentru soluționarea sesizărilor, pentru apărarea drepturilor operatorului în cazul unui eventual litigiu, conform art. 6 alin. (1) lit. (f) din GDPR.
Temeiurile juridice ale operațiunilor de prelucrare a datelor vizează articolul 6 alineat (1) literele (a), (b), (c) si (f) din GDPR și respectiv art. 9 (2) (a) din GDPR, după cum au fost detaliate mai sus.
În scopurile menționate mai sus, certSIGN va prelucra următoarele categorii de date cu caracter personal, după caz:
Datele de identitate sunt preluate și prelucrate prin sistemul certME sub formă criptata. De asemenea, datele de identitate din aplicația mobilă certME sunt stocate doar pe telefonul dumneavoastră și controlate doar de dumneavoastră.
În sistemul certME nu se stochează datele dumneavoastră de identitate, ci doar datele non-personale, respectiv referințele - coduri criptate generate de aplicațiile certME. Referintele - codurile criptate prin sistemul certME nu pot fi folosite pentru a inversa procesul prin care au fost generate astfel încât să poată fi cunoscute datele personale care au stat la baza creării lor.
Prelucrarea datelor biometrice menționate anterior presupune obținerea și compararea template-urilor biometrice din fotografia actului de identitate și din fotografia chipului dumneavoastră și se realizează prin intermediul aplicației VideolD (https://www.signicat.com/products/identity-proofing/id-document-and-biometric-verification).
Template-ul biometric reprezintă referința digitală a caracteristicilor distincte care au fost extrase dintr-o probă biometrică. Template-urile biometrice sunt utilizate în timpul procesului de identificare video. Practic, ceea ce se compară nu sunt fotografiile (actului de identitate și cea a imaginii dumneavoastă obținute in sesiunea video, ci templaturile biometrice ale celor două fotografii).
Prelucrarea datelor cu caracter personal este necesară în principal pentru emiterea MIE certME și pentru utilizarea acestuia în relația pe care dumneavoastră o aveți cu Furnizorii de servicii sau produse. Datele cu caracter personal sunt astfel necesare identificării dumneavoastră pentru emiterea MIE certME.
Datele cu caracter personal menționate mai sus sunt prelucrate direct de către certSIGN sau cu ajutorul altor operatori cu care ne asociem (Validatori de Identitate și Furnizori de servicii sau produse) în vederea identificării dumneavoastră în scopul emiterii și utilizării MIE certME, cu respectarea art. 26 din GDPR.
De asemenea, certSIGN, mai poate prelucra datele cu caracter personal în scopul identificării dumneavoastră în vederea emiterii MIE certME și prin persoane împuternicite care oferă garanții adecvate, în conformitate cu art.28 din GDPR. Astfel de persoane pot fi persoane juridice către care vom externaliza activitatea de verificare a identității sau furnizori ai soluției de identificare prin mijloace video.
Refuzul de a furniza datele necesare, conduce la imposibilitatea emiterii și utilizării MIE certME.
În situatia în care nu sunteți de acord cu operațiunile de prelucrare a datelor dumneavoastră implicate de identificarea persoanei la distanţă utilizând mijloace video prevăzute în Sectiunea 1, literele c) – e), va puteți prezenta la sediul certSIGN sau al unui Validator de identitate pentru obținerea unui MIE certME prin identificarea fizică (față în față) cu un agent al Operatorului de date.
Datele cu caracter personal prelucrate în scopurile menționate mai sus vor fi stocate pe toată perioada de valabilitate a mijlocului de identificare, la care se adaugă 10 ani pentru a demonstra/proba crearea și utilizarea mijlocului de identificare electronică. Temeiul stocării datelor pe o perioadă de 10 ani de la încetarea valabilității mijlocului de identificare electronică este art. 6, alin.1, lit. f) GDPR, respectiv interesul legitim al certSIGN de a putea demonstra/proba crearea și utilizarea mijlocului de identificare electronică.
Datele vor putea fi prelucrate și după această dată, atunci când există o obligație legală sau un interes legitim în acest sens.
Referințele rezultate în urma prelucrării datelor de către sistemul certME vor fi stocate pe o perioadă nelimitată. Aceste referințe nu pot conduce sub nicio formă la datele cu caracter personal care au stat la baza creării lor.
Menționăm că datele biometrice nu se stochează, fiind șterse automat, imediat ce a fost generat rezultatul operației de comparare descris în cadrul Secțiunii 2 de mai sus privind categoriile de date.
În cazul în care procesul de identificare a dumneavoastră de la distanță prin mijloace video este respins, datele cu caracter personal din cadrul înregistării sesiunii video-audio se pastrează pentru o perioadă de 3 ani de la data înregistării in scopul documentarii motivelor de respingere pentru evidente interne, pentru controale/audituri externe viitoare, în conformitate cu prevederile Normei ADR, precum și în cazul unui eventual litigiu.
În cazul în care utilizatorul nu finalizează procedura de verificare a identității în scopul emiterii a unui MIE certME datele sale se șterg după trecerea unui termen de 48 de ore.
Datele dumneavoastră cu caracter personal pot fi dezvăluite: dumneavoastră pentru exercitarea drepturilor pe care le aveți în conformitate cu GDPR, auditorilor pentru îndeplinirea obligațiilor de auditare la care certSIGN este suspusă, organismului de supraveghere conform legislației aplicabile, autorităților și instituțiilor publice în baza obligațiilor de drept public, avocaților pentru a ne reprezenta în cazul unui eventual litigiu sau pentru consultanță, partenerilor contractuali ai certSIGN pentru realizarea scopurilor menționate mai sus (precum: firme de curierat, furnizori de servicii de identificare prin mijloace video sau furnizori de servicii de mentananță și suport).
certSIGN nu transferă datele dumneavoastră cu caracter personal în afara Uniunii Europene/ Spațiului Economic European.
În calitate de persoană vizată, aveți următoarele drepturi prevăzute de Regulamentul General privind protecția datelor (art. 13 – 22 din GDPR):
De asemenea, dumneavoastră, în calitate de persoană vizată, aveți dreptul de a vă retrage oricând consimțământul, în măsura în care operațiunea de prelucrare a datelor se bazează pe consimțământul dumneavoastră fără ca legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia să fie afectată (art. 7 (3) din GDPR).
Totodată, vă informăm ca aveți dreptul de a vă adresa Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal - ANSPDCP pentru apărarea oricăror drepturi acordate de legislația aplicabilă în domeniul protecției datelor cu caracter personal, care v-au fost încălcate, precum și de a apela la instanțele de judecată competente.
Pentru exercitarea acestor drepturi prevăzute de art. 13-22 si art. 7 (3) din GDPR, vă puteți adresa cu o cerere scrisă, datată și semnată, transmisă Departamentului Protecția Datelor cu Caracter Personal certSIGN:
În cazul în care veți adresa o solicitare privind exercitarea drepturilor dumneavoastră prevăzute de legislatia privind protecția datelor cu caracter personal, veți primi răspuns în termen de cel mult 30 de zile, în condițiile prevăzute de GDPR.