NOTA DE INFORMARE PRIVIND PRELUCRAREA DATELOR CU CARACTER PERSONAL IN APLICATIA SALT BANK
NOTA DE INFORMARE PRIVIND PRELUCRAREA DATELOR CU CARACTER PERSONAL IN APLICATIA SALT BANK
Considerente generale
SALT Bank S.A („SALT BANK”), institutie de credit persoana juridica romana, cu sediul in Bucuresti, Bdul. Xxxxxxxx Xxxxxx nr. 5-7, et. 6, sector 2, inregistrata la Registrul Comertului sub nr. J40/2416/12.03.1998, avand Codul Unic de Intregistrare RO10318789, inscrisa in Registrul bancar sub numarul P.J.R.40-043, prelucreaza datele cu caracter personal in calitate de Operator in conformitate cu prevederile Regulamentului UE 2016/679 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE precum si cu prevederile legislatiei nationale in vigoare.
Persoanele vizate
Persoanele ale caror date cu caracter personal vor fi prelucrate de SALT BANK, denumite si Persoane vizate, sunt:
- clienti persoane fizice utilizatori ai aplicatiei SALT BANK (potentiali, actuali sau fosti clienti)
- persoane fizice clienti ai altor institutii financiar-bancare ale caror date sunt utilizate pentru efectuarea unor operatiuni bancare in contrapartida cu clientii Salt Bank
Categorii de date cu caracter personal prelucrate de SALT BANK
SALT BANK prelucreaza date cu caracter personal pe care dumneavoastra le furnizati in mod direct in cadrul aplicatiei mobile, date care sunt generate pe baza acestora, precum si date colectate din alte surse (mai multe detalii privind sursele externe se regasesc in sectiunea Surse externe de date)
Date de identificare: nume, prenume, Codul Numeric Personal (CNP), data si locul nasteri, serie/numar act de identitate, cetatenia, adresa de domiciliu, semnatura electronica, semnatura olografa
Date de contact: numar de telefon, adresa de email, adresa de corespondenta
Date fiscale (ex. rezidenta fiscala, numar de identificare fiscala)
Date financiare (ex.: date despre venituri, istoric tranzactional in aplicatia SALT BANK)
Date privind expunerea publica: functie publica detinuta (in cazul persoanelor expuse public- PEP
Date privind produsele si seviciile SALT BANK solicitate/utilizate de catre persoane vizata (ex. Numar de cont, IBAN, numar card, detalii privind produse/servicii, sursa/destinatia fondurilor utilizate in cadrul aplicatiei mobile, detalii privind tranzactiile efectuate cu cardul/online, date cuprinse in instructiunile de plata, date privind comunicarile in relatia cu SALT BANK referitoare la serviciile/produsele bancii)
Imaginea persoanei vizate din actul de identitate sau obtinuta in cadrul inregistrarilor video realizate in aplicatia SALT BANK
Vocea persoanei vizate colectata in cadrul convorbirilor si inregistrarilor convorbirilor telefonice sau audio/video
Date biometrice prelucrate in cadrul proceselor de identificare la distanta prin mijloace video, care implica recunoasterea faciala. SALT BANK prelucreaza si date biometrice (amprenta, recunoastere faciala) necesare deblocarii dispozitivului pe care este instalata aplicatia SALT BANK, dar nu are acces la aceste date ci utilizeaza doar rezultatul confirmarii/infirmarii transmis de catre sistemul dispozitivului
Date reprezentand identificatori online: adresa IP a dispozitivului mobil, informatii referitoare la dispozitivul mobil, caracteristici tehnice ale dispozitivului mobil, date asociate sau generate in contextul utilizatii aplicatiei
SALT BANK, sistemul de operare utilizat, metoda de autentificare utilizata, activitatea in cadrul aplicatiei SALT BANK inclusiv din perspectiva interactiunilor in ecranele afisate in cadrul acesteia.
Informatii privind activitati frauduloase sau potential frauduloase
Informatii referitoare la locatia dispozitivului de pe care este accesata aplicatia SALT BANK (adresa IP, adresa terminale ATM, adresa terminale POS)
Surse externe de date:
SALT BANK poate prelucra, in anumite situatii, date personale colectate din surse externe de date, cum ar fi:
- autoritati si institutii publice (ex. BNR, ANPC, ANSPDCP, ANAF, instante de judecata, parchete, executori judecatoresti, politie), avocati, notari
- institutii nationale si internationale implicate in domeniul serviciilor de plata (Transfond, SWIFT, MASTERCARD, VISA, etc)
- banci partenere, banci de corespondent si alte institutii financiare
- organizatii publice nationale, europene sau internationale
- surse publice (ex. Portalul instantelor de judecata, Monitorul Oficial, social media, website-uri)
- entitati specializate in agregarea de date necesare aplicarii prevederilor legislatiei de prevenire si a combatere a fraudelor, finantarii terorismului si a spaarii banilor
Scopurile prelucrarii datelor cu caracter personal
Scopurile pentru care SALT BANK prelucreaza datele personale ale persoanelor vizate, in mod direct sau prin intermediarii autorizati de aceasta, sunt urmatoarele:
- furnizarea de produse si servicii financiar - bancare prin intermediul aplicatiei Salt Bank
- identificarea persoanelor vizate prin intermediul mijloacelor de comunicare (de ex: aplicatie mobila, telefon, e-mail, internet);
- identificarea la distanta a persoanei vizate prin mijloace video precum si verificari necesare pentru indeplinirea cerintelor legale de cunoastere a clientelei
- verificarea clientului conform legislatiei de prevenire si combatere a fraudelor, finantarii terorismului si a spalarii banilor;
- efectuarea de analize preliminare (de ex: analizarea expunerii la riscul pe care il implica furnizarea unui produs/serviciu al SALT BANK), prin care se urmareste evaluarea clientului/altei persoane vizate, cu scopul de a decide cu privire la incheierea anumitor operatiuni financiar-bancare sau contractarea anumitor produse;
- evaluarea comportamentului financiar-comercial in cursul relatiei cu SALT BANK;
- efectuarea unor activitati de gestiune economica, financiara si/sau administrativa in cadrul SALT BANK;
- centralizarea operatiunilor si mentinerea unei baze de date interne, in care sa fie stocate informatiile cu privire la persoanele vizate, pentru a putea fi utilizate de catre departamentele si structurile SALT BANK in activitatea acestora (de ex: prelucrarea datelor prin intermediul aplicatiilor interne ale SALT BANK care sunt utilizate de catre departamentele relevante in desfasurarea activitatii financiar-bancare);
- contactarea persoanei vizate prin intermediul mijloacelor de comunicare cu scopul de a-i aduce la cunostinta/notifica informatii despre produsele contractate (de ex: expirare termen, neindeplinire obligatii, modificare/completare caracteristici/costuri/functionalitati/beneficii produse);
- furnizarea de servicii suport pentru solicitarile clientului/persoanei vizate (de ex: informatii aditionale despre produsele SALT BANK, blocarea aplicatiei/cardului SALT BANK, actualizarea unora din datele de identificare, derularea de investigatii cu privire la disfunctionalitati ale produselor si serviciilor oferite, solutionarea cererilor, reclamatiilor si petitiilor formulate) prin intermediul mijloacelor de comunicare (de ex: telefon, e-mail, posta);
- inregistrarea audio a convorbirilor telefonice cu SALT BANK cu scopul de a imbunatatii calitatea serviciilor si a apelurilor, dar si pentru a furniza dovada cererii/acordului/optiunii cu privire la anumite servicii financiar-bancare;
- solutionarea litigiilor, investigatiilor sau oricaror altor petitii/plangeri/solicitari la care SALT BANK este parte;
- efectuarea de analize interne (incluzand analize statistice), atat cu privire la produse/servicii, cat si cu privire la portofoliul de clienti, pentru imbunatatirea si dezvoltarea de produse/servicii, precum si efectuarea de studii si analize de piata cu privire la produsele/serviciile SALT BANK pentru imbunatatirea si dezvoltarea produselor/serviciilor SALT BANK;
- dezvoltarea unor modele de eficientizare a felului in care opereaza intregul ecosistem SALT BANK, precum si a tuturor proceselor SALT BANK, precum si efectuarea de analize financiare cu privire la costurile, bugetul si rentabilitatea ecosistemului SALT BANK;
- generarea de rapoarte cu privire la activitatea financiar-bancara a SALT BANK, cu scopul de facilita efectuarea managementului operational al tuturor proceselor financiar-bancare, precum si cu scopul de analiza performanta SALT BANK;
- efectuarea unor controale de risc asupra procedurilor si proceselor SALT BANK, precum si realizarea de audituri sau investigatii ale SALT BANK;
- realizarea de raportari catre institutiile competente conform reglementarilor legale aplicabile SALT BANK;
- pentru monitorizarea activitatii clientilor in vederea detectarii tranzactiilor neobisnuite si a tranzactiilor suspecte;
- realizarea de activitati de marketing sau publicitate de tip general, activitati de fidelizare a clientelei si realizarea de sondaje numai in cazul in ati acceptat aceasta prin intermediul optiunilor disponibile in aplicatia Salt Bank;
- crearea sau analizarea de profiluri pentru imbunatatirea produselor/serviciilor SALT BANK, pentru promovarea personalizata/generala de catre SALT BANK si/sau alte entitati din Grupul SALT si/sau de catre partenerii SALT BANK, pentru efectuarea oricaror alte tipuri de promovare a produselor/serviciilor SALT BANK, sau pentru efectuarea de activitati de marketing direct prin intermediul oricaror mijloace de comunicare (de ex: comunicarea prin aplicatia mobila,telefon, e-mail, SMS a unor reclame adresate in mod direct si specific unei anumite persoane) numai in cazul in ati acceptat aceasta prin intermediul optiunilor disponibile in aplicatia mobila;
- arhivarea in format electronic a documentelor si tranzactiilor, realizarea de servicii de registratura a corespondentei adresate SALT BANK si expediata de SALT BANK, precum si realizarea de activitati de curierat;
Realizarea de profiluri si prelucrarea automatizata a datelor
SALT BANK a implementat sisteme care realizeaza procese decizionale automatizate care pot avea la baza realizarea de profiluri.
- In vederea exercitarii obligatiilor legale de aplicare a masurilor de cunoastere a clientelei in scopul prevenirii spalarii banilor si finantarii terorismului, SALT Bank a implementat sisteme decizionale automate de verificare si clasificare a clientilor, prin interogarea bazelor de date oficiale avute la dispozitie pentru determinarea existentei unor eventuale informatii ce pot conduce la un risc ridicat de realizare a unor activitati ce presupun spalarea banilor si/sau finantarea terorismului sau a unui comportament financiar-bancar ce poate aduce prejudicii bancii. In procesul de acceptare al oricarui client, SALT BANK a stabilit categorii de clienti cu care isi doreste sa intre in relatii contractuale si categorii de clienti pe care ii va refuza pentru ca prezinta un risc ridicat de realizare a unor activitati ce presupun spalarea banilor si/sau finantarea a terorismului. Pentru a determina in care dintre cele doua categorii va fi inclus fiecare potential client, la momentul parcurgerii procesului online de inrolare in aplicatia mobila, SALT BANK adopta decizii automate prin intermediului procesului decizional mentionat anterior. In functie de categoria in care va fi inclus, SALT Bank va accepta/refuza deschiderea unei relatii de afaceri cu potentialul client.
- In cadrul procesului de identificare la distanta prin mijloce video, aplicatia SALT BANK utilizeaza procese
decizionale automatizate in cazul in care verificarile efectuate au rezultat pozitiv. In cazul in care sunt identificate inadvertente, iar rezultatul proicesului automatizat este negativ, procesarea datelor colectate va fi efectuata de catre personalul dedicat din cadrul SALT BANK, care va reverifica datele colectate in vederea exprimarii unui punct de vedere uman.
- Pentru a-si proteja clientii impotriva activitatilor frauduloase, SALT BANK a implementat mecanisme de monitorizare a tranzactiilor pentru a identifica operatiunile suspecte de frauda (variatii ale frecventei
platilor, din locatii diferite la intervale scurte de timp, utilizari posibil frauduloase ale cardurilor, etc). In cazul identificarii unor tranzactii supecte de frauda, SALT BANK va putea actiona proactiv prin blocarea tranzctiilor, a conturilor si cardurilor utilizate pentru minimizarea/eliminarea factorilor de risc.
- In cazul in care persoana vizata si-a exprimat acordul cu privire la prelucrarea datelor in scop publicitar, SALT BANK poate realiza profiluri bazate pe datele detinute (detalii tranzactii, localizare, varsta, etc) pentru promovarea directa si personalizata a anumitor produse/servicii oferite in cadrul aplicatiei SALT BANK.
Temeiurile legale aplicabile prelucrarilor de date
SALT BANK prelucreaza datele tale cu caracter personal in scopurile mentionate mai sus, in baza urmatoarelor temeiuri:
- pentru executarea unui contract la care clientul/persoana vizata este parte (de ex: furnizarea serviciilor financiar-bancare, furnizarea de servicii suport pentru solicitarile tale, trimiterea de notificari/informari cu privire la produsul detinut) sau pentru a face demersuri pre-contractuale la cererea clientului de incheiere a unui contract (de ex: efectuarea de analize preliminare de evaluare si acceptare a clientului) sau pentru a furniza clientului informatii despre produsele detinute sau suport pentru utilizarea acestora;
- in baza unei obligatii legale aflate in sarcina SALT BANK (de ex: identificarea si cunoasterea clientelei, prevenirea si combaterea spalarii banilor si finantarii terorismului, identificarea si prevenirea fraudelor, raportarea parametrilor activitatii financiar-bancare catre autoritatile compentente);
- in baza interesului legitim al SALT BANK (de ex: centralizarea operatiunilor si mentinerea unei baze de date interne, analizarea unor idei de eficientizare a modului in care opereaza intreagul ecosistem SALT BANK, precum si a tuturor proceselor SALT BANK, efectuarea unor analize statistice cu privire la portofoliul de clienti ai SALT BANK, indeplinirea operatiunilor curente pentru desfasurarea activitatii financiar- bancare din cadrul bancii privind administrarea relatiei persoanei vizate cu SALT BANK, analizarea si minimizarea riscurilor financiare, reputationale la care se expune SALT BANK in legatura cu furnizarea serviciilor si produselor financiar-bancare; acumularea unui nivel ridicat de cunoastere al pietei financiar-bancare; planificarea unei dezvoltari strategice a SALT BANK; dezvoltarea si imbunatatirea produselor si serviciilor SALT BANK; asigurarea unui nivel ridicat de securitate la nivelul sistemelor informatice (de ex: aplicatii, retea, infrastructura, pagina web), mentinerea stabilitatii sistemului financiar, in special in ceea ce priveste descoperirea si minimizarea riscurilor de frauda ce pot afecta persoana vizata si SALT BANK);
- in baza consimtamantului clientului, daca acesta ne-a fost acordat (de ex: in caz de marketing direct
sau in cazul in care va prelucram datele biometrice);
Transferuri de date cu caracter personal si destinatarii acestora
SALT BANK poate sa transfere/comunice in vederea prelucrarii, in tara si in strainatate, date cu caracter personal in conditiile reglementate de legislatia in vigoare, catre urmatoarele categorii de destinatari:
- Banca Transilvania in calitate de entitate mama a Grupului Financiar Banca Transilvania pentru respectarea cerintelor legale si statutare de raportare consolidata a informatiilor financiare
- Autoritati publice locale sau centrale, institutii de reglementare si supraveghere, autoritati fiscale, autoritati judiciare/de investigatie (ex. Banca Nationala a Romaniei, Centrala Incidentelor de Plata, Oficiul National de Prevenire si Combatere a Spalarii Banilor, Agentia Nationala de Administrare Fiscala,
Politie, Parchet, Directia Nationala Anticoruptie, Directia de Investigare a Infractiunilor de Criminalitate
Organizata si Terorism, Consiliul Concurentei, instante judecatoresti) - la cererea expresa si legala a acestora su in urma obligatiilor legale de raportare.
- Transfond - in vederea efectuarii operatiunilor derulate prin sistemul SENT si pentru furnizarea serviciului de afisare nume beneficiar (SANB). SALT BANK si Transfond actioneaza in calitate de operatori asociati din punct de vedere al procesarilor de date personale pe parcursul derularii acestor operatiuni.
- Alte institutii financiare si prestatori de servicii de plata (SWIFT, Mastercard, Visa, institutii prestatoare de servicii de plata, banci corespondente, terti PSP).
- Furnizori de servicii parteneri ai SALT BANK care asigura dezvoltarea si implementarea de solutii informatice, servicii juridice si de audit, servicii de procesare date in vederea aplicarii cerintelor legale de
prevenire a activitatilor de spalare de bani si finantare a terorismului, sanctiuni internationale, servicii specializate de curierat, arhivare, servicii de marketing si publicitate
Transferuri de date in afara Spatiului Economic European (SEE)
In situatia in care partenerii contractuali cu care SALT BANK colaboreaza pentru oferirea anumitor servicii ce implica procesarea datelor cu caracter personal ale persoanelor vizate, sunt situati in afara Spatiunlui Economic European, ne asiguram ca respectam cerintele legale aplicabile.
In acest sens, contractele incheiate cu acesti parteneri contin Clauze model UE sau Clauze contractuale standard aplicabile prelucrarilor de date sau ne asiguram ca exista decizii de adecvare emise de Comisia Europeana prin intermediul carora se stabileste ca este asigurat un nivel de protectie adecvat pentru tarile din afara SEE
Durata prelucrarii
Prelucrarea datelor cu caracter personal se desfasoara in scopurile pentru care au fost colectate pe toata durata indeplinirii serviciilor bancare. Dupa expirarea perioadei legale de arhivare prevazuta de legislatia in vigoare, datele vor fi sterse sau anonimizate ireversibil.
Exista reglementate perioade de stocare a datelor dupa cum urmeaza:
- Legislatia aplicabila in domeniul cunoasterii clientelei in vederea prevenirii spalarii banilor si finantarii terorismului impune pastrarea datelor personale pe care le prelucram pentru aplicarea masurilor reglementate, impreuna cu toate inregistrarile obtinute prin aplicarea acestor masuri, cum ar fi monitorizarile si verificarile efectuate de banca, documentele justificative si evidentele tranzactiilor, inclusiv rezultatele oricarei analize efectuate in legatura cu clientul, care determina profilul de risc al clientului, pentru o perioada de 5 ani dupa incetarea relatiei de afaceri a Clientului titular de cont cu banca.
- Codul de procedura fiscala prevede ca o parte dintre datele prelucrate pentru aplicarea masurilor de cunoastere a clientelei trebuie prelucrate si pentru raportari catre A.N.A.F. Perioada legala de pastrare a acestor date este de 10 ani de la incetarea relatiei de afaceri a Clientului titular de cont cu banca
- Legislatia financiar-contabila prevede ca documentele contabile relevante pentru evidentele financiare si documentele justificative, inclusiv contractele in baza carora au fost facute inregistrarile in contabilitate (implicit si datele personale din cuprinsul lor) trebuie pastrate pana la 10 ani de la sfarsitul exercitiului financiar al anului in care au fost create.
- Datele personale aferente petitiilor dumneavoastra prelucrate in cadrul proceselor de receptionare sesizari/reclamatii/solicitari de informatii/masuri si in procesele de formulare si transmitere raspunsuri la acestea, vor fi pastrate pentru o perioada de 5 ani de la data solutionarii acestora.
- In ceea ce priveste optiunea de marketing exprimata prin consimtamintul acordat SALT BANK, datele cu caracter personal nu mai sunt si nu vor mai fi prelucrate in scopuri de marketing de la data incetarii relatiei de afaceri cu SALT BANK
Drepturile persoanelor vizate
Dreptul la informare, respectiv dreptul de a primi detalii privind datele prelucrate si activitatile de prelucrare efectuate de SALT BANK.
Dreptul de acces la date, respectiv dreptul de a obtine confirmarea din partea SALT BANK cu privire la datele cu caracter personal prelucrate precum si detalii cu privire la activitstile de prelucrare.
Dreptul la rectificare, respectiv dreptul de a obtine rectificarea de catre SALT BANK a datelor inexacte, precum si completarea datelor incomplete.
Dreptul la stergere („dreptul de a fi uitat”), respectiv dreptul de a solicita stergerea datelor in masura in care sunt indeplinite conditiile prevazute de lege. In cazul in care stergerea ar duce la functionarea incorecta a sistemelor bancii, informatiile privind datele personale vor fi anonimizate ireversibil. Este posibil ca anonimizarea ireversibila sa fie utilizata si in cazul in care datele sunt utilizate in scopuri statistice.
Dreptul la restrictionarea prelucrarii in masura in care sunt indeplinite conditiile legale.
Dreptul la portabilitatea datelor, si anume:
- dreptul de a obtine datele prelucrate de banca intr-o forma structurata si accesibila;
- dreptul de a solicita transmiterea datelor de catre SALT BANK catre un alt operator de date, in situatia in care sunt indeplinite conditiile legale.