Контролери персональних даних
Контролери персональних даних
На підставі ст. 13–14 Регламенту ЄС № 679/2016 — Загального регламенту про захист даних («GDPR»), компанія Alfatrust Certification S.A. («Alfatrust») та Banca Transilvania S.A. («BT» або «Банк»), маючи ідентифікаційні та контактні дані, зазначені в Умовах надання послуг сертифікації кваліфікованих цифрових сертифікатів, інформують вас щодо обробки персональних даних Користувача («суб’єкт даних»), яку вони здійснюють як асоційовані оператори з метою, зазначеною в пункті b цього повідомлення.
Мета та правові підстави обробки персональних даних
Мета та правові підстави обробки персональних даних
Метою обробки даних Користувача пов’язаними операторами є видача та управління кваліфікованим цифровим сертифікатом («Сертифікат»).
BT є оператором, який ідентифікує Користувача, збирає від нього персональні дані, необхідні для видачі кваліфікованого цифрового сертифіката, та передає їх Alfatrust для того, щоб цей оператор видав сертифікат.
Дані, які BT збирає від Користувачів, — це дані, що обробляються Банком у власних реєстрах у рамках ділових відносин, які започатковуються або вже існують між Користувачем та Банком на момент передачі даних до Alfatrust.
Протягом терміну дії сертифіката персональні дані обробляються асоційованими операторами, залежно від обставин, а також у випадках, коли Користувачі вимагають призупинення дії або скасування сертифіката у порядку, визначеному в Умовах надання послуг.
Підставами для обробки персональних даних з визначеною метою є законодавчий обов’язок (ст. 6 ч. 1 п. c GDPR), укладення/виконання Договору (ст. 6 ч. 1 п. b GDPR) та законний інтерес пов’язаних операторів (ст. 6 ч. 1 п. f GDPR).
Що стосується законодавчих вимог, то як BT — у якості кредитної установи, з якою Користувач розпочинає або підтримує ділові відносини, так і Alfatrust — у якості акредитованого постачальника послуг сертифікації, у якого Користувач бажає отримати сертифікат, підпорядковуються законодавчим нормам, що застосовуються у сфері запобігання відмиванню грошей та фінансуванню тероризму, згідно з якими вони повинні збирати від клієнтів низку персональних даних. Ці дані необхідні також для укладення/виконання Договору, на підставі якого Користувачу дозволяється використовувати сертифікат для підписання документації у відносинах з Банком.
З метою надання підтримки користувачам, які бажають подати запит на призупинення дії або відкликання сертифіката, асоційовані оператори обґрунтовують законний інтерес у наданні їм (які також є клієнтами Банку) можливості надсилати такі запити не лише безпосередньо до Alfatrust, а й через кол-центр BT. Розгляд цих запитів передбачає обмін персональними даними користувачів між двома асоційованими операторами.
Контактні дані — номер телефону та домашня адреса — оброблятимуться будь-яким із асоційованих операторів у разі необхідності зв’язатися з кінцевим користувачем для належного виконання договірних зобов’язань, пов’язаних із кваліфікованим цифровим сертифікатом.
Категорії персональних даних та особи, персональні дані яких обробляються
Категорії персональних даних та особи, персональні дані яких обробляються
Персональні дані, що обробляються з метою досягнення зазначеної мети, є тими, які згідно із законом підлягають обов’язковому збиранню кредитною установою або постачальником послуг сертифікації для запобігання відмиванню грошей та фінансуванню тероризму, а саме: прізвище, ім’я, код особи, адреса проживання/місце проживання, термін дії посвідчення особи, номер телефону та копія посвідчення особи. Усі ці дані, як вони відображені в облікових записах Банку, будуть надані Alfatrust для видачі та управління Кваліфікованим цифровим сертифікатом.
Обробка цих персональних даних необхідна для створення кваліфікованого цифрового сертифіката. Відмова Користувача від обробки цих даних призводить до неможливості видачі кваліфікованого цифрового сертифіката.
Особами, яких стосується ця обробка даних, є виключно Користувачі, як це визначено в Умовах використання.
Одержувачі персональних даних
Одержувачі персональних даних
За винятком асоційованих контролерів, між якими буде здійснюватися обмін персональними даними, обробленими для досягнення мети обробки, дані розкриваються, за необхідності, працівникам асоційованих контролерів, які повинні знати їх, постачальникам ІТ-послуг, аудиторам, органам та установам, які мають право знати їх.
Період обробки персональних даних
Період обробки персональних даних
Інформація щодо кваліфікованого цифрового сертифіката (включно з персональними даними) обробляється компанією Alfatrust протягом 10 років з дати закінчення його терміну дії відповідно до встановлених законом строків.
У Банку Трансільванія електронний підпис на відстані, застосовується на основі Кваліфікованого цифрового сертифіката, виданого Alfatrust, на документації, підписаній у зв'язку з BT, зберігається протягом усього періоду, протягом якого між Користувачем та BT існують ділові відносини, до чого додаються терміни, встановлені у відповідному банківському законодавстві, а саме щонайменше 5 років після припинення ділових відносин з кредитною установою.
Права осіб, чиї персональні дані обробляються з зазначеною метою
Права осіб, чиї персональні дані обробляються з зазначеною метою
Кожному Користувачу, як суб’єкту даних, гарантується реалізація таких прав щодо обробки його персональних даних у будь-якого з пов'язаних операторів: право на доступ, право на виправлення, право на обмеження обробки, право на видалення даних, право на заперечення проти обробки даних, право на перенесення даних.
Користувачі можуть реалізувати ці права або звернутися до відповідальних за захист даних із будь-якими запитаннями чи проханнями щодо обробки ваших персональних даних у такий спосіб:
- у «Банка Трансільванія» АТ — шляхом надсилання повідомлення на електронну адресу dpo@btrl.ro або подання заяви до офісу BT із позначкою «на увагу відповідального за захист даних (DPO)»
- до компанії Alfatrust Certification S.A. — шляхом надсилання повідомлення на електронну адресу dataprotection@alfasign.roабо шляхом подання запиту до офісу Alfatrust із зазначенням «на увагу відповідального за захист даних (DPO)».
Користувачі також мають право подати скаргу до наглядового органу — Національного органу з нагляду за обробкою персональних даних (ANSPDCP), розташованого вБухаресті, 1-й район, проспект генерала Г. Магеру, 28–30.
