NOTA DE INFORMARE

PRIVIND PRELUCRAREA DATELOR CU CARACTER PERSONAL

CERTSIGN S.A. (denumita in cele ce urmeaza “certSIGN”), cu sediul social in Bucuresti, Sos. Oltenitei nr. 107 A, corp C1, et.1, camera 16, sector 4, inregistrata la Registrul Comertului sub nr. J40/484/17.01.2006, CUI 18288250, Telefon: 0311 011 870, Fax: 021 311 9905, E-mail: office@certsign.ro,  in calitate de operator de date cu caracter personal, prelucreaza datele cu caracter personal furnizate de dumneavoastra in vederea prestarii serviciilor de incredere, in concordanta cu prevederile Regulamentului (UE) nr. 910/2014 privind identificarea electronica si serviciile de incredere pentru tranzactiile electronice pe piata interna si de abrogare a Directivei 1999/93/CE (eIDAS), a standardelor aplicabile serviciilor de certificare, a Regulamentului UE 2016/679 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date (“GDPR”) si a altor dispozitii de drept ale Uniunii sau drept intern referitoare la protectia datelor si identificarea electronica la distanta utilizand mijloace video.

Datele de contact ale Responsabilului cu protectia datelor al certSIGN:

- Email: dpd@certsign.ro;

- Adresa: Bdul. Tudor Vladimirescu, nr. 29A, cladirea AFI Tech Parc 1, et.2, Bucuresti, sector 5.

 Sectiunea 1. Scopul si temeiul prelucrarii datelor cu caracter personal

Scopurile prelucrarii datelor dumneavoastra cu caracter personal sunt:

1. prestarea serviciilor de incredere pentru emiterea de certificate digitale, utilizarea certificatului in vederea semnarii electronice a documentelor de catre titularul de certificat, livrarea certificatului digital si a token-ului, in cazul in care certificatul digital este emis pe dispozitiv criptografic (token), precum si prestarea serviciilor de validare automata a semnaturilor si sigiliilor electronice calificate, inclusiv plata serviciului de incredere daca este cazul, conform articolului 6 (1) (b) din GDPR;

2. identificarea titularului de certificat digital sau a persoanei desemnate de titularul unui certificat pentru sigiliu electronic sau server web si, in cazul certificatelor calificate, validarea identitatii sale prin verificarea datelor de identitate din actul de identitate ce contine si fotografia persoanei vizate sau prin utilizarea mijlocului de identificare electronica certME, dupa caz, operatiuni realizate in vederea emiterii certificatului digital, conform articolului 6 (1) (c) din GDPR coroborat cu articolul 24 (1) din Regulamentul eIDAS si standardelor aplicabile;

3. fotocopierea documentului de identitate si realizarea de capturi ale imaginii dumneavoastra in situatia in care identificarea se realizeaza la distanta, prin mijloace video, in vederea emiterii certificatelor digitale calificate, conform art. 6 (1) (a) din GDPR si art. 16 (1) din Normele Autoritatii pentru Digitalizarea Romaniei privind reglementarea, recunoasterea, aprobarea sau acceptarea procedurii de identificare a persoanei la distanta utilizand mijloace video aprobate prin Decizia Autoritatii pentru Digitalizarea Romaniei nr. 564/2021 (Norma ADR);

4. identificarea unica a dumneavoastra prin prelucrarea datelor biometrice, respectiv prelucrarea imaginii faciale transpusa in date biometrice, in cazul in care identificarea s-a realizat prin mijloace video, conform art. 6 (1) (a) si art. 9 (2) (a) din GDPR;

5. inregistarea sesiunii video-audio in situatia in care identificarea se realizeaza la distanta prin mijloace video in conformitate cu art. 6 (1) (a) din GDPR, utilizarea acestei modalitati de identificarea a dumneavoastra in vederea obtinerii unui certificat digital calificat realizandu-se cu acordul dumneavoastra,

6. accesarea si utilizarea de catre dumneavoastra a platformelor de semnare sau de validare Paperless apartinand certSIGN, conform articolului 6 (1) (b) din GDPR;

7. identificarea si autentificarea persoanei vizate pentru utilizarea aplicatiilor Paperless de semnare sau validare automata a semnaturilor si sigiliilor electronice, apartinand certSIGN, conform articolului 6 (1) (c) din GDPR;

8. reinoirea certificatului digital la solicitarea persoanei vizate, conform articolului 6 (1) (b) din GDPR;

9. confirmarea validitatii certificatului de semnatura electronica, la cererea titularului sau la cererea unei persoane care-si bazeaza conduita pe serviciile de incredere furnizate de certSIGN sau in cadrul unei proceduri judiciare, dupa caz, conform:

- articolului 6 (1) (b) GDPR pentru validarea la cererea persoanei vizate sau

- articolului 6 (1) (c) GDPR coroborat cu articolul 24 (2) (h), (3) (4) din Regulamentul eIDAS pentru validarea in celelalte situatii;

10. revocarea/suspendarea certificatului in conditiile prevazute in contract conform articolului 6 (1) (b) din GDPR sau ca urmare a unei obligatii legale a certSIGN conform articolului 6 (1) (c) GDPR coroborat cu articolul 24 (3) (4) din Regulamentul eIDAS;

11. emiterea raportului de validare automata a semnaturilor si sigiliilor electronice calificate;

12. in cazul in care ati facut o achizitie de servicii de incredere de la distanta, vom prelucra datele dumnavoastra si in scopul respectarii dreptului de retragere pe care l-ati exercitat conform OUG 34/2014 privind drepturile consumatorilor in cadrul contractelor incheiate cu profesionistii, precum si pentru modificarea si completarea unor acte normative, coroborat cu art. 6 (1) (c) GDPR;

13. asigurarea securitatii sistemelor si bazelor de date conform articolului 6 (1) (c) GDPR coroborat cu articolul 24 (2) (e), (f), (i) din Regulamentul eIDAS;

14. prevenirea si/sau identificarea fraudelor conform art. 6 alin. (1) lit. (c) GDPR coroborat cu art. 24 alin. (2) lit. (g) din Regulamentul eIDAS;

15. respectarea obligatiilor legale ale Operatorului de date (de ex. transmiterea informatiilor care reprezinta date cu caracter personal la cererea autoritatilor de stat competente, instituirea si actualizarea permanenta a bazei de date a certificatelor de semnatura electronica conform articolului 6 (1) (c) GDPR coroborat cu prevederile Regulamentului eIDAS (articolul 24 (2) k);

16. stocarea datelor, inclusiv a copiei documentului de identitate daca identificarea nu s-a realizat prin mijlocul de identificare electronica certME, pe o perioada de 10 ani de la incetarea valabilitatii certificatului digital. Aceste date se pot folosi si in cadrul unei proceduri judiciare, pe langa scopul asigurarii continuitatii serviciilor de incredere prestate de operator conform art. 6 alin. (1) lit. (c) GDPR coroborat cu art. 24 alin. (2) lit. (h) din Regulamentul eIDAS si art. 20 lit h) din Legea romana nr. 455/2001 privind semnatura electronica, precum si art. 16 alin.(2) si art. 22 din Norma ADR;

17. transmiterea de newsletter-e, materiale promotionale, comunicari de marketing, oferte comerciale sau orice alte informatii relevante privind produsele si serviciile certSIGN in cazul in care v-ati dat consimtamantul in acest sens potrivit art. 6 (1) (a) GDPR;

18. pentru urmarirea intereselor legitime ale Operatorului de date sau ale unui tert cum ar fi pentru raportarile interne ale operatorului sau pentru eficientizarea proceselor companiei, pentru gestionarea contractelor sau documentelor justificativ-contabile, pentru solutionarea sesizarilor, pentru auditarea sau verificarea proceselor interne, pentru apararea drepturilor operatorului cum ar fi recuperarea creantelor detinute de acesta, conform articolului 6 (1) (f) din GDPR.

Temeiurile juridice ale operatiunilor de prelucrare a datelor vizeaza articolul 6 alineat (1) literele (a), (b), (c) si (f) din GDPR si respectiv art. 9 (2) (a) din GDPR, dupa cum au fost detaliate mai sus.

Sectiunea 2. Categoriile de date cu caracter personal pe care le prelucram

Datele dumneavoastra cu caracter personal pe care le prelucram sunt, dupa caz, urmatoarele:

- numele, prenumele, codul numeric personal, seria si numarul actului de identitate, adresa, precum si toate celelalte date cu caracter personal incluse in actul dumneavoastra de identitate, copia actului de identitate,

- numar de telefon, adresa de email,

- imaginea si vocea dumneavoastra (inregistrarea procesului de identificare video realizat in vederea verificarii identitatii);

- datele biometrice in scopul identificarii unice a dumneavoastra prin prelucrarea imaginii faciale transpusa in date biometrice,

- datele din certificatul digital,

- semnatura electronica si numarul semnaturilor acordate/utilizate in cazul certificatelor digitale pentru semnare la distanta,

- apartenenta titularului de certificat la contul unui client care a transmis certSIGN cererea de emitere a certificatului digital,

- Codul de autorizare OTP/TOTP,

- codul IBAN, dupa caz,

- adresa de livrare pentru furnizarea certificatului digital si a token-ului, in cazul in care certificatul este emis pe dispozitiv criptografic (token), 

- log-uri / IP-ul,

- semnatura olografa,

- calitatea de persoana desemnata de titularul unui certificat digital pentru sigiliu electronic sau server web,

- referinta - codul criptat generat de aplicatia certME a certSIGN necesar identificarii prin intermediul mijlocului de identificare electronica certME.

- referinta – codul aleatoriu unic generat de aplicatia de emitere certME necesar identificarii prin intermediul mijlocului de identificare electronica certME

- alte date care se regasesc in documentele electronice supuse serviciului de incredere de validare automata a semnaturilor si sigiliilor electronice calificate.

Prelucrarea datelor biometrice mentionate anterior presupune obtinerea si compararea template-urilor biometrice din fotografia actului de identitate si din fotografia chipului dumneavoastra si se realizeaza prin intermediul aplicatiei videolD  (https://www.electronicid.eu/en/solutions/videoid).

Template-ul biometric reprezinta referinta digitala a caracteristicilor distincte care au fost extrase dintr-o proba biometrica. Templateurile biometrice sunt utilizate in timpul procesului de identificare video. Practic, ceea ce se compara nu sunt fotografiile (din actul de identitate si cea obtinuta in timpul sesiunii de identificare, ci templaturile biometrice ale celor doua fotografii).

Sectiunea 3. Utilizarea datelor cu caracter personal si consecintele nefurnizarii acestora 

Prelucrarea datelor cu caracter personal este necesara in principal pentru semnarea documentelor cu semnatura electronica sau aplicarea sigliilor electronice, respectiv pentru emiterea certificatelor digitale de semnatura electronica sau pentru sigiliu eletcronic ori pentru utilizarea aplicatiilor de semnare Paperless ale certSIGN, sau pentru emiterea certificatelor digitale de server web ori prestarea serviciului de incredere de validare automata a semnaturilor si sigiliilor electronice calificate, dupa caz. Datele cu caracter personal sunt necesare si pentru verificarea identitatii persoanei vizate pentru emiterea certificatelor digilate.

Datele cu caracter personal mentionate mai sus sunt prelucrate direct de catre certSIGN sau cu ajutorul altor operatori cu care ne asociem in vederea identificarii viitorilor titulari de certificate sau a persoanelor desemnate de titularii de certificate digitale pentru sigiliu electronic sau server web si inregistrarii cererilor de emitere certificate, cu respectarea art. 26 din GDPR.

De asemenea, certSIGN, mai poate prelucra datele cu caracter personal in scopul identificarii viitorilor titulari de certificate sau a persoanelor desemnate si inregistrarii cererilor de emitere certificate si prin persoane imputernicite care ofera garantii adecvate, in conformitate cu art.28 din GDPR. Astfel de persoane pot fi persoane juridice carora le-au fost delegate atributii de autoritate de inregistrare delegata a certSIGN sau furnizori de solutii de identificare prin mijloace video.

Refuzul de a furniza datele necesare emiterii certificatului digital si prestarii serviciilor de incredere, conduce la imposibilitatea emiterii certificatului, respectiv a utilizarii semnaturii electronice sau a sigiliului electronic ori a certificatului de server web, sau la imposibilitatea prestarii serviciului de incredere de validare automata a semnaturilor si sigiliilor electronice calificate.

In situatia in care nu sunteti de acord cu operatiunile de prelucrare a datelor dumneavoastra implicate de identificarea persoanei la distanta utilizand mijloace video prevazute in Sectiunea 1, literele c) – e), va puteti prezenta la sediul Operatorului sau al unui partener al Operatorului (lista partenerilor certSIGN fiind disponibila la www.certsign.ro) pentru obtinerea unui certificat digital calificat de semnatura electronica prin identificarea fizica – fata in fata cu un agent al Operatorului.

Sectiunea 4. Durata prelucrarii datelor cu caracter personal

Dupa emiterea certificatului digital, datele cu caracter personal aferente identificarii titularului de certificat si certificatului digital vor fi stocate pentru o perioada de 10 ani de la data incetarii valabilitatii certificatului emis pentru dumneavoastra, in special pentru a putea face dovada certificarii in cadrul unui eventual litigiu si in scopul asigurarii continuitatii serviciului conform articolului 6 (1) (c) GDPR coroborat cu articolul 24 (2) (h) din Regulamentul eIDAS si cu 20 lit h) din Legea romana nr. 455/2001 privind semnatura electronica. 

Datele vor putea fi prelucrate si dupa aceasta data, atunci cand exista o obligatie legala sau un temei legal justificativ. 

Mentionam ca datele biometrice nu se stocheaza, fiind sterse automat, imediat ce a fost generat rezultatul operatiei de comparare descris in cadrul Sectiunii 2 de mai sus privind categoriile de date.

In cazul in care dupa furnizarea datelor, nu mai doriti emiterea certificatului digital sau nu finalizati procedura de emitere intr-un termen de 60 de zile de la solicitarea certificatului digital, certSIGN va sterge toate datele dumneavoastra cu caracter personal colectate.

In cazul in care procesul de identificare a dumneavoastra de la distanta prin mijloace video este respins, datele cu caracter personal din cadrul inregistarii sesiunii video-audio se pastreaza pentru o perioada de 3 ani de la data inregistarii in scopul documentarii motivelor de respingere pentru evidente interne, pentru controale/audituri externe viitoare, in conformitate cu prevederile Normei ADR, precum si in cazul unui eventual litigiu.

Datele cu caracter personal prelucrate in scopul prestarii serviciului de incredere de validare automata a semnaturilor si sigiliilor electronice calificate vor fi prelucrate astfel:

- datele din semnaturile si sigiliile electronice validate se stocheaza o perioada de 3 ani de la data generarii raportului de validare,

- celelalte date din documentele electronice supuse serviciului de validare automata se sterg in momentul emiterii raportului de validare.

De asemenea, in cazul in care nu veti mai dori sa primiti newsletter-e, materiale promotionale, comunicari de marketing, oferte comerciale sau orice alte informatii relevante privind produsele si serviciile noastre, certSIGN nu va mai prelucra datele dumneavoastra in acest scop.

Sectiunea 5. Destinatarii datelor cu caracter personal    

Datele dumneavoastra cu caracter personal pot fi dezvaluite: dumneavoastra pentru exercitarea drepturilor pe care le aveti in conformitate cu GDPR, auditorilor certSIGN, organismului de supraveghere conform legislatiei aplicabile, autoritatilor si institutiilor publice in baza obligatiilor de drept public, avocatilor pentru a ne reprezenta in cazul unui eventual litigiu sau pentru consultanta, executorilor judecatoresti pentru comunicari contractuale sau punerea in executare a eventualelor hotarari judecatoresti, firme de recuperare creante, partenerilor contractuali ai certSIGN pentru incheierea si executarea contractului (precum: persoane juridice carora le-au fost delegate atributii de autoritate de inregistrare delegata, firme de curierat, furnizori de servicii de identificare prin mijloace video sau furnizori de servicii de plata electronica ori de servicii de mentananta si suport, firmele afiliate certSIGN). De asemenea, datele din certificat pot fi dezvaluite tertilor care-si bazeaza conduita pe serviciile de certificare furnizate de certSIGN (in relatia cu care dumneavoastra folositi certificatul), iar in cazul in care tertii sunt institutii publice, pot fi dezvaluite si alte date personale din actul de identitate, in afara de cele din certificat, in scopul dovedirii certificarii potrivit dispozitiilor legale aplicabile.

Sectiunea 6. Transferul datelor in afara Uniunii Europene

certSIGN nu transfera datele dumneavoastra cu caracter personal in afara Uniunii Europene/Spatiului Economic European.

Sectiunea 7. Drepturile persoanei vizate   

In calitate de persoana vizata, aveti urmatoarele drepturi prevazute de Regulamentul General privind protectia datelor (art. 13 – 22 din GDPR): 

- Dreptul la informare: dreptul de a fi informat cu privire la operatiunile de prelucrare a datelor dumneavoastra cu caracter personal conform art. 13 si 14 din GDPR;

- Dreptul de acces la date: dreptul de a obtine de la operatorul de date confirmarea faptului ca datele cu caracter personal care va vizeaza sunt sau nu prelucrate de catre acesta precum si informatii privind operatiunile de prelucrare a datelor dumneavoastra conform art. 15 din GDPR;

- Dreptul la rectificare: dreptul de a obtine rectificarea datelor inexacte care va privesc, precum si completarea datelor incomplete conform art. 16 din GDPR;

- Dreptul la stergerea datelor in conditiile art. 17 din GDPR;

- Dreptul la restrictionarea prelucrarii datelor dumneavoastra cu caracter personal in conditiile reglementate de art. 18 din GDPR;

- Dreptul de a obtine notificarea de catre certSIGN a destinatarilor carora le-a divulgat datele cu caracter personal orice stergere, rectificare sau restrictionare a prelucrarii datelor cu caracter personal efectuate in conformitate cu art. 16, 17 alin.(1) si 18 din GDPR, cu exceptia cazului in care acest lucru se dovedeste imposibil sau presupune eforturi disproportionate (art. 19 din GDPR).

- Dreptul la portabilitatea datelor cu caracter personal pe care ni le-ati furnizat, in masura in care operatiunea de prelucrare a datelor se bazeaza pe consimtamant sau are ca temei contractul incheiat cu dumneavoastra in conditiile art. 20 din GDPR.

- Dreptul la opozitie din motive legate de situatia dumneavoastra particulara asupra prelucrarilor de date efectuate in scopul urmaririi intereselor legitime ale certSIGN sau ale unor terti, potrivit art. 21 din GDPR.

- Dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automata, inclusiv crearea de profiluri, care produce efecte juridice care privesc persoana vizata sau o afecteaza in mod similar intr-o masura semnificativa, in conformitate cu art. 22 din GDPR.

De asemenea, dumneavoastra, in calitate de persoana vizata, aveti dreptul de a va retrage oricand consimtamantul, in masura in care operatiunea de prelucrare a datelor se bazeaza pe consimtamantul dumneavoastra fara ca legalitatea prelucrarii efectuate pe baza consimtamantului inainte de retragerea acestuia sa fie afectata (art. 7 (3) din GDPR).  

Totodata, va informam ca aveti dreptul de a va adresa Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal - ANSPDCP pentru apararea oricaror drepturi acordate de legislatia aplicabila in domeniul protectiei datelor cu caracter personal, care v-au fost incalcate, precum si de a apela la instantele de judecata competente.

Pentru exercitarea drepturilor prevazute de art. 13-22 si art. 7 (3) din GDPR, astfel cum au fost prezentate mai sus, va puteti adresa cu o cerere scrisa, datata si semnata, transmisa Departamentului Protectia Datelor cu Caracter Personal certSIGN:

- adresa de email: dpd@certsign.ro

- Tudor Vladimirescu, nr. 29A, cladirea AFI Tech Parc 1, et.2, Bucuresti, sector 5.

In cazul in care veti adresa o asemenea solicitare privind exercitarea drepturilor dumneavoastra prevazute de legislatia privind protectia datelor cu caracter personal, veti primi raspuns in termen de cel mult 30 de zile, in conditiile prevazute de GDPR.