NOTĂ DE INFORMARE PRIVIND PRELUCRAREA DATELOR CU CARACTER PERSONAL

CERTSIGN S.A., cu sediul social în București, Sector 4, Șos. Olteniței, nr. 107A, Corp C1, Etaj 1, camera 16, înregistrată la Registrul Comerțului sub nr. J40/484/2006, CUI 18288250, Telefon: (+40) 311 011 870, E-mail: hello@certme.ro (denumită în cele ce urmează “certSIGN”), în calitate de operator de date cu caracter personal prelucrează datele dumneavoastră cu caracter personal în conformitate cu Regulamentului UE 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date (“GDPR”) și a altor dispoziții de drept ale Uniunii sau drept intern referitoare la protecția datelor. 

Datele dvs. personale sunt prelucrate în contextul contractului încheiat între dvs. și noi (“Termeni și condiții pentru utilizarea aplicației certME și a mijloacelor de identificare electronică certME”) cu privire la utilizarea de către dvs. a mijlocului de identificare furnizat prin intermediul aplicației certME.

Scopul și temeiul prelucrării datelor cu caracter personal

certSIGN prelucrează datele dumneavoastră cu caracter personal în scopul creării și utilizării (inclusiv suspendării, revocării/reactivării) unui mijloc de identificare electronică, în conformitate cu prevederile Regulamentelor (UE) nr. 910/2014 și 1502/2015, pe care sa-l folosiți atunci când doriți să achiziționați produse sau servicii, pentru a vă identifica în relația cu furnizorii acestora care acceptă autentificarea/înregistrarea cu mijlocul de identificare certME.

Pentru utilizarea mijlocului de identificare electronică, prin intermediul aplicației certME, partenerii noștri (denumiți generic “Validatori de Identitate”) vor prelucra datele dumneavoastră personale în scopul creării unei identități electronice, care este o reprezentare numerică realizată cu ajutorul soluției proprietare certME.  Lista Validatorilor de Identitate certME se găsește online la adresa www.certme.ro.

Aceasta reprezentare numerică permite validarea identității dumneavoastră la solicitarea unui furnizor de servicii sau produse în relația cu care veți folosi mijlocul de identificare certME și numai în condițiile în care dumneavoastră doriți această validare. Lista Furnizorilor de servicii sau produse înrolați în platforma certME se găsește la online la adresa www.certme.ro.

Pentru crearea și utilizarea mijlocului de identificare electronică, certSIGN va prelucra datele dumneavoastră personale în următoarele scopuri secundare:

  • verificarea identității dumneavoastră, în calitate de utilizator al mijlocului de identificare electronică;
  • autentificarea dumneavoastră în relația cu furnizorii înrolați în sistemul certME;
  • suport tehnic acordat dumneavoastră, Furnizorului de produse și servicii sau Validatorului de către certSIGN în utilizarea sistemului certME;
  • asigurarea continuității serviciului certME;
  • demonstrarea/probarea creării și utilizării mijlocului de identificare electronică.

Temeiul juridic al prelucrării datelor în scopul creării și utilizării (inclusiv suspendarea, revocarea/reactivare) unui mijloc de identificare electronică îl constituie art. 6 alin. (1) lit. b) din GDPR, respectiv demersuri făcute la cererea persoanei vizate înainte de încheierea unui contract sau executarea contractului la care persoana vizată este parte.

Temeiurile juridice ale prelucrării datelor în scopurile secundare menționate mai sus sunt art. 6 alin. (1) lit. c) din GDPR, respectiv obligația legală a certSIGN în calitate de emitent al mijlocului de identificare și Validator de identitate în conformitate cu Regulament UE 910/2014 și Regulamentul UE 1502/2015, precum și art. 6 alin. (1) lit. b) din GDPR, respectiv demersuri făcute la cererea persoanei vizate înainte de încheierea unui contract sau executarea contractului la care persoana vizată este parte.

certSIGN, Validatorii de Identitate și Furnizorii de servicii sau produse (denumiți generic “Parteneri certME”) prelucrează în comun referințele rezultate în urma prelucrării datelor personale, cu respectarea art. 26 din GDPR.

Categoriile de date cu caracter personal pe care le prelucrăm

În scopurile menționate mai sus, certSIGN va prelucra următoarele categorii de date cu caracter personal:

  • Nume și prenume
  • Nume și prenume la naștere
  • Data nașterii
  • Locul nașterii
  • Sexul
  • Adresa de domiciliu
  • Perioada de valabilitate a actului de identitate (data emiterii și data încetării valabilității)
  • Adresa de reședință
  • CNP
  • Modalitatea de verificare a identității 
  • Copie act de identitate 
  • e-mail sau telefon
  • Referințe – codurile criptate generate de aplicația de validare certME, aplicația mobilă certME și de aplicația Furnizorului de servicii și produse
  • Adresa IP al telefonului de pe care se fac request-uri către serverul certME
  • Producătorul și modelul telefonului pe care este instalată aplicația mobilă certME
  • Sistemul de operare al telefonului (iOS sau Android)
  • Token-ul de înregistrare al telefonului pentru notificări (partajat cu serviciul Firebase FCM – Google)
  • log-uri.

Datele de identitate sunt preluate prin sistemul certME (care nu conține date personale) de aplicația de validare certME. De asemenea, datele de identitate din aplicația mobilă certME sunt stocate doar pe telefonul dumneavoastră și controlate doar de dumneavoastră.

În sistemul certME nu se stochează datele dumneavoastră de identitate, ci doar datele non-personale, respectiv referințele – coduri criptate generate de aplicația mobilă certME instalată pe telefonul dvs. și de aplicația de validare certME. Codurile criptate prin sistemul certME nu pot fi folosite pentru a inversa procesul prin care au fost generate astfel încât să poată fi cunoscute datele personale care au stat la baza creării lor.

Furnizarea datelor și consecințele nerespectării acesteia

Refuzul dumneavoastră de a furniza datele prevăzute mai sus (în totalitate sau în parte) conduce la imposibilitatea de a crea identificatorului electronic și de a utiliza de către dumneavoastră a mijlocului de identificare electronică.

Durata prelucrării datelor cu caracter personal

Datele cu caracter personal prelucrate în scopurile menționate mai sus vor fi stocate pe toată perioada de valabilitate a mijlocului de identificare, la care se adaugă 10 ani pentru a demonstra/proba crearea și utilizarea mijlocului de identificare electronică. Temeiul stocării datelor pe o perioadă de 10 ani de la încetarea valabilității mijlocului de identificare electronică este art. 6, alin.1, lit. f) GDPR, respectiv interesul legitim al certSIGN de a putea demonstra/proba crearea și utilizarea mijlocului de identificare electronică.

Datele vor putea fi prelucrate și după această dată, atunci când există o obligație legală sau un interes legitim în acest sens.

Referințele rezultate în urma prelucrării datelor de către sistemul certME vor fi stocate pe o perioada nelimitată. Aceste referințe nu pot conduce sub nicio formă la datele cu caracter personal  care au stat la baza creării lor.

Transmiterea datelor cu caracter personal pentru îndeplinirea scopurilor de prelucrare

Datele dumneavoastră cu caracter personal pot fi dezvăluite următoarelor categorii de destinatari:

  • dumneavoastră pentru exercitarea drepturilor pe care le aveți în conformitate cu GDPR, auditorilor, pentru îndeplinirea obligațiilor de auditare la care suntem suspuși,
  • partenerilor contractuali certSIGN pentru realizarea scopurilor menționate mai sus,
  • organismului de supraveghere conform legislației aplicabile,
  • autorităților și instituțiilor publice în baza obligațiilor de drept public,
  • avocaților pentru a ne reprezenta în cazul unui eventual litigiu sau pentru consultanță,
  • în orice alte situații justificate cu înștiințarea dumneavoastră în prealabil, dar numai în vederea îndeplinirii scopurilor menționate mai sus.

Transferul datelor în afara Uniunii Europene

certSIGN nu transfera datele dumneavoastră cu caracter personal în afara Uniunii Europene. Prin excepție, referințele – coduri criptate generate de sistemul certME – sunt stocate pe o infrastructură publica, de tip blockchain, distribuita la nivel global.

Drepturile persoanei vizate

In calitate de persoana vizata, aveți următoarele drepturi prevăzute de Regulamentul General privind protecția datelor:

  • Dreptul la informare: dreptul de a fi informat cu privire la identitatea și datele de contact ale operatorului, ale Partenerilor certME în calitate de operatori asociați certSIGN și ale Responsabilului cu protecția datelor, scopurile în care se face prelucrarea datelor, categoriile de date cu caracter personal vizate, destinatarii sau categoriile de destinatari ai datelor, existenta drepturilor prevăzute de legislația privind protecția datelor cu caracter personal pentru persoana vizată și condițiile în care pot fi exercitate.
  • Dreptul de acces la date: dreptul de a obține confirmarea faptului că datele cu caracter personal care vă vizează sunt sau nu prelucrate de către certSIGN.
  • Dreptul la rectificare: dreptul de a obține rectificarea datelor inexacte care vă privesc, precum și completarea datelor incomplete. În cazul în care solicitați rectificarea datelor care au stat la baza emiterii mijlocului de identitate electronică, mijlocul de identitate electronică va fi revocat și va fi emis un alt mijloc de identificare cu noile date, dacă vă doriți acest lucru.
  • Dreptul la restricționarea prelucrării în cazul în care contestați exactitatea datelor pe perioada în care operatorii verifică datele. În acest caz, mijlocul de identificare electronică se suspendă sau se revocă. 
  • Dreptul la ștergerea datelor atunci când datele dumneavoastră nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost prelucrate sau când datele trebuie șterse pentru respectarea unei obligații legale care revin certSIGN, cu excepția referințelor – coduri criptate generate de sistemul certME – care nu vor fi șterse. Aceste referințe nu pot conduce sub nicio formă la datele cu caracter personal care au stat la baza creării lor. 
  • Dreptul la portabilitatea datelor pe care ni le-ați furnizat.
  • Dreptul de a vă opune, din motive legate de situația dumneavoastră particulară, stocării datelor pe o perioadă de 10 ani de la data încetării valabilității mijlocului de identificare electronică, stocare bazată pe interesul legitim al certSIGN.
  • Dreptul de a vă adresa ANSPDCP pentru apărarea oricăror drepturi garantate de legislația aplicabila în domeniul protecției datelor cu caracter personal, care v-au fost încălcate.

Pentru exercitarea acestor drepturi, vă puteți adresa cu o cerere scrisă, datată și semnată, transmisă Departamentului Protecția Datelor cu Caracter Personal certSIGN:

  • adresa de email: dpd@certsign.ro  
  • fax: (+4021) 3119905 
  • Bd-ul. Tudor Vladimirescu, nr. 29A, clădirea AFI Tech Parc 1, et. 2, București, sector 5. 

În cazul în care veți adresa o solicitare privind exercitarea drepturilor dumneavoastră privind protecția datelor cu caracter personal, veți primi răspuns în termen de cel mult 30 de zile, în condițiile prevăzute de GDPR.