CERTSIGN S.A., (denumită în continuare și „certSIGN”) are calitate de operator de date cu caracter personal în conformitate cu prevederile Regulamentului (UE) nr. 679 din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal şi privind libera circulație a acestor date (“GDPR”).

certSIGN tratează cu seriozitate confidențialitatea datelor cu caracter personal. Pentru noi securitatea și confidențialitatea datelor dumneavoastră cu caracter personal sunt foarte importante. Ca atare, luăm toate măsurile necesare si rezonabile în vederea asigurării securității și confidențialității datelor cu caracter personal, precum si în vederea prelucrării acestora în conformitate cu prevederile GDPR și legislația europeana și națională aplicabilă.

Această politică de confidențialitate explică cine suntem, cum colectăm date cu caracter personal, cum partajăm și folosim datele cu caracter personal și cum vă puteți exercita drepturile pe care le aveți privind protecția datelor dumneavoastră cu caracter personal.

Vă recomandăm să citiți în întregime această politică de confidențialitate pentru a vă asigura că sunteți pe deplin informat.

Prezenta Politică de confidențialitate se aplică persoanelor fizice – clienți, potențiali clienți, utilizatori ai website-urilor certSIGN, persoanelor de contact, reprezentanților legali sau convenționali ai partenerilor/potențialilor parteneri contractuali persoane juridice și ale altor persoane fizice desemnate de către partenerii contractuali persoane juridice sau ale căror date ne sunt transferate în vederea prelucrării de către partenerii noștri contractuali.

Această Politică de confidențialitate descrie modul în care certSIGN colectează și prelucrează în orice fel datele cu caracter personal atunci când achiziționați și folosiți produsele și serviciile noastre și website-urile certSIGN.
Această Politică de confidențialitate se aplică tuturor serviciilor pe care certSIGN le oferă. Anumitor servicii le pot fi aplicabile și alte condiții de prelucrare a datelor cu caracter personal care completează prezenta politică, precum:

• Servicii de încredere reglementate de Regulamentul UE 910/2014 – eIDAS pentru semnătură electronică, sigiliu electronic, pentru autentificarea unui site internet și servicii de certificare în conformitate cu Legea română nr. 214/2024 privind utilizarea semnăturii electronice, a mărcii temporale și prestarea serviciilor de încredere bazate pe acestea. Informații detaliate cu privire la prelucrarea datelor realizată de certSIGN pentru prestarea acestor servicii găsiți accesând acest link: Nota de informare privind prelucrarea datelor cu caracter personal pentru servicii de încredere.
• Servicii privind crearea și utilizarea unui mijloc de identificare certME. Informații detaliate cu privire la prelucrarea datelor realizată de certSIGN pentru prestarea acestor servicii găsiți aici https://cdn.certme.ro/ro/gdpr-notice.html

Această politică de confidențialitate este actualizată periodic pentru a reflecta modul în care certSIGN prelucrează datele cu caracter personal și pentru a respecta orice modificări legale; de fiecare dată când facem o modificare, o vom afișa pe site-ul nostru web www.certsign.ro și poate fi accesată folosind acest link Politică de confidențialitate .

1. Cine suntem?

Suntem CERTSIGN S.A. , cu sediul social în București, Șos. Olteniței nr. 107 A, corp C1, et.1, camera 16, sector 4, înregistrată la Registrul Comerțului sub nr. J2006000484402, CUI 18288250, Telefon: 0311 011 870, Fax: 021 311 9905, E-mail: office@certsign.ro.

Datele de contact ale Responsabilului cu protecția datelor:

• Email: dpd@certsign.ro;
• Adresa: Bdul. Tudor Vladimirescu, nr. 29A, clădirea AFI Tech Parc 1, et.2, București, sector 5.

2. Categoriile de date cu caracter personal pe care le prelucrăm

În funcție de produsul/serviciul pe care îl furnizăm sau de modalitatea în care ați interacționat cu certSIGN, categoriile de date cu caracter personal pe care le prelucrăm includ:

• date de identificare: nume, prenume, funcția și/sau calitatea deținută și organizația în care le dețineți, semnătură olografă sau electronică, datele din actul de identitate, informații cu privire la identificarea dvs. unică prin mijloace video de la distanță inclusiv prin prelucrarea de date biometrice cu consimțământul dumneavoastră în scopul emiterii unui certificat digital calificat sau al unui mijloc de identificare certME (detalii privind prelucrarea acestor date găsiți în notele de informare aferente acestor servicii, menționate în preambulul prezentei politici),
• date financiare: informații cu privire la contul bancar și banca la care este deschis,
• date de contact și de livrare: adresă de e-mail, număr de telefon, adresă de domiciliu, adresă de livrare,
• date privind relația cu dvs.: date cu privire la emiterea, furnizarea, utilizarea și revocarea certificatelor digitale sau emiterea, utilizarea, suspendarea, revocarea și reactivarea mijlocului de identificare certME, informații legate de derularea contractului pe care îl aveți încheiat cu certSIGN, detalii cu privire la corespondențele, cererile, sesizările, reclamațiile pe care le faceți sau alte informații legate de interacțiunea dvs. cu noi (spre exemplu pentru acordarea suportului în utilizarea serviciilor noastre), informații cu privire la exercitarea drepturilor pe care le aveți cu privire la datele cu caracter personal,
• date privind utilizarea serviciilor: date de autentificare, referitoare la contul de utilizator, date din loguri precum adresa IP, datele privind acțiunile dvs. în platformele sau website-urile certSIGN sau ale partenerilor, date referitoare la dispozitivul mobil folosit, referințe – codurile criptate generate de aplicațiile folosite,
• date colectate de cookie-uri și tehnologii similare – cum ar fi ID unic care permite identificarea sesiunii utilizatorului, date privind IP-ul. Mai multe detalii puteți obține accesând Politica cookies

În calitate de persoană împuternicită a clienților săi în temeiul unor clauze contractuale încheiate în conformitate cu art. 28 din GDPR, certSIGN mai prelucrează și alte categorii de date furnizate de clienți, pentru prestarea serviciilor de arhivare fizică și electronică sau de personalizare a cardurilor tahograf ori de utilizare a platformelor de semnare la distanță sau de validare a semnăturilor și sigiliilor electronice ori alte servicii pe care certSIGN le poate presta clienților săi. Astfel de date pot fi, dar fără a se limita la: datele cu caracter personal conținute de documentele supuse serviciilor menționate mai sus, date de utilizator al aplicațiilor, date aferente semnăturilor electronice și certificatelor digitale cu care au fost generate acestea supuse serviciului de validare a semnăturilor și sigiliilor electronice sau serviciului pentru păstrarea și garantarea pe termen lung a semnăturilor electronice, loguri.

3. Scopul și temeiul prelucrării datelor cu caracter personal

Scopurile prelucrării datelor dumneavoastră cu caracter personal sunt:

• inițierea relației contractuale, negocierea, încheierea și derularea contractelor cu dumneavoastră sau cu partenerii contractuali ai certSIGN, inclusiv prestarea serviciilor, livrarea produselor care fac obiectul contractelor și plata acestora sau crearea unui cont de utilizator în aplicațiile sau pe website-urile certSIGN în scopul contractării de servicii, acordarea serviciilor de suport pentru utilizarea serviciilor sau produselor noastre ori participarea la webinar-iile organizate de certSIGN, conform articolului 6 (1) (b) din GDPR;
• îndeplinirea obligațiilor legale ale certSIGN în contextul derulării relațiilor contractuale, conform articolului 6 (1) (c) din GDPR, precum: obligațiile de întocmire și păstrare a documentelor financiar-contabile; respectarea de către certSIGN a dreptului de retragere pe care l-ați exercitat conform OUG 34/2014 privind drepturile consumatorilor în cadrul contractelor încheiate cu profesioniștii, precum și pentru modificarea și completarea unor acte normative, în cazul în care ați achiziționat produse și servicii online; păstrarea datelor personale pe toată perioada de derulare a raporturilor contractuale și de arhivare a documentelor; realizarea de audituri; transmiterea informațiilor care reprezintă date cu caracter personal la cererea autorităților de stat competente; asigurarea securității sistemelor și bazelor de date (inclusiv prin realizarea de copii de siguranță); alte obligații legale aplicabile în funcție de natura relației contractuale și/sau calitatea partenerului contractual;
• pentru urmărirea intereselor legitime ale certSIGN sau ale unui terț conform articolului 6 (1) (f) din GDPR, precum: pentru raportările interne; pentru gestionarea contractelor sau documentelor justificativ contabile; pentru comunicarea cu reprezentanții partenerilor contractuali; pentru auditarea sau verificarea proceselor interne; transmiterea de comunicări comerciale referitoare la produse sau servicii similare celor achiziționate; pentru desfășurarea de activități destinate creșterii satisfacției clienților si, în acest scop, chestionare despre satisfacția clienților cu privire la serviciile și produsele oferite de compania noastră, trimiterea de sondaje de evaluare a satisfacției clienților prin sms sau e-mail sau alte canale de comunicare ori platforme, pentru a desfășura studii interne de performanță și eficiență, studii de costuri, pentru stabilirea indicatorilor de performanță, studii privind alocarea de resurse pe piețele relevante; prevenirea fraudei; pentru soluționarea cererilor sau sesizărilor; si apărarea drepturilor certSIGN cum ar fi recuperarea creanțelor deținute de acesta și formularea de apărări în cazul unui eventual litigiu;
• transmiterea de newsletter-e, materiale promoționale, comunicări de marketing, oferte comerciale sau orice alte informații relevante privind produsele și serviciile certSIGN în cazul în care v-ați dat consimțământul în acest sens sau înregistrarea apelurilor telefonice pentru îmbunătățirea serviciilor noastre, conform art. 6 (1) (a) GDPR;
• identificarea dvs. unică prin mijloace video de la distanță inclusiv prin prelucrarea de date biometrice cu consimțământul dumneavoastră conform art. 6 (1) (a) si art. 9 (2) (a) GDPR, în scopul emiterii unui certificat digital calificat sau al unui mijloc de identificare certME (detalii privind prelucrarea acestor date găsiți în notele de informare aferente acestor servicii, menționate în preambulul prezentei politici).

4. Temeiul prelucrării datelor cu caracter personal

certSIGN prelucrează datele dumneavoastră având următoarele temeiuri:

• încheierea și executarea contractului cu dumneavoastră conform articolului 6 (1) (b) din GDPR,
• interesele legitime urmărite de certSIGN sau ale unui terț conform articolului 6 (1) (f) din GDPR,
• îndeplinirea obligațiilor legale ale certSIGN conform articolului 6 (1) (c) din GDPR,
• consimțământul dumneavoastră conform articolului 6 (1) (a) sau art. 9 (2) (a) din GDPR, după cum a fost detaliat mai sus în secțiunea 3.

5. Cum obținem datele?

certSIGN poate obține datele:

• direct de la dumneavoastră atunci când achiziționați și utilizați servicii și produse certSIGN ori când ne contactați prin diverse canale sau când ne solicitați oferte sau informații despre produsele și serviciile certSIGN ori când vizitați website-urile noastre;
• din alte surse: surse publice (spre exemplu site-uri web, baze de date publice precum: baza de date a Registrului Comerțului, baza de date a Ministerului de Finanțe, Monitorul Oficial, portaluri ale instanțelor de judecată etc.) sau de la terți (parteneri contractuali ai certSIGN ori terți care se bazează pe serviciile de încredere prestate de certSIGN),
• autorități publice (spre exemplu în cazul unor solicitări ale instanțelor de judecată sau în cazul unor investigații judiciare),
• prin generarea unor date din informațiile furnizate de dumneavoastră (precum numărul serial al certificatului digital pentru semnătură electronică sau referințe – coduri criptate generate de aplicațiile sistemului certME aferente emiterii și utilizării mijlocului de identificare electronică certME etc.).

6. Utilizarea datelor și consecințele nefurnizării acestora

Prelucrarea datelor cu caracter personal menționate anterior este necesară pentru realizarea scopurilor precizate mai sus.

Datele cu caracter personal sunt prelucrate direct de către certSIGN sau cu ajutorul altor operatori de date cu caracter personal cu care ne asociem (spre exemplu în vederea identificării dumneavoastră în scopul emiterii și utilizării unui certificat digital calificat sau al unui mijloc de identificare electronică certME) cu respectarea art. 26 din GDPR.

De asemenea, certSIGN, mai poate prelucra datele cu caracter personal și prin persoane împuternicite care oferă garanții adecvate, în conformitate cu art.28 din GDPR, către care externalizăm anumite activități.

Refuzul dumneavoastră de a furniza datele poate conduce la imposibilitatea furnizării serviciilor sau produselor care fac obiectul contractelor.

În cazul în care vă veți retrage consimțământul acordat pentru anumite scopuri de prelucrare, astfel cum sunt descrise la Secțiunea 3, nu vom mai prelucra datele dumneavoastră în aceste scopuri.

Prelucrarea datelor prin sisteme de inteligență artificială

Datele dumneavoastră pot fi analizate prin instrumente automate, inclusiv sisteme de inteligență artificială, în scopul acordării serviciilor de suport pentru utilizarea serviciilor sau produselor noastre. Aceste sisteme vor păstra doar date anonimizate și sunt supuse monitorizării umane.

Nu luăm decizii exclusiv automate care să producă efecte juridice sau similare asupra dumneavoastră fără intervenție umană, cu excepția cazurilor permise de lege.

7. Cui dezvăluim datele dumneavoastră cu caracter personal?

Datele dumneavoastră cu caracter personal pot fi dezvăluite următoarelor categorii de destinatari:

• dumneavoastră pentru exercitarea drepturilor pe care le aveți,
• auditorilor externi ai certSIGN pentru îndeplinirea obligațiilor de audit la care suntem supuși,
• organismului de supraveghere conform legislației aplicabile serviciului furnizat,
• autorităților și instituțiilor publice în baza obligațiilor legale pe care le avem în conformitate cu legislația aplicabilă,
• avocaților pentru a ne reprezenta în cazul unui eventual litigiu sau pentru consultanță,
• executori judecătorești pentru comunicări contractuale sau punerea în executare a eventualelor hotărâri judecătorești,
• firme de recuperare creanțe,
• partenerilor contractuali ai certSIGN (precum firme de curierat, furnizori, subcontractori, consultanți și experți tehnici etc.) pentru încheierea și executarea contractelor și prestarea serviciilor ori pentru desfășurarea anumitor activități precum evaluarea gradului de satisfacție al clienților pentru îmbunătățirea serviciilor oferite sau pentru prestarea serviciilor de Call Center ori asigurarea securității informațiilor,
• băncilor pentru ipotecarea creanțelor si/sau obținerea de finanțare și/sau instrumente de garantare,
• firme de asigurare pentru obținerea de instrumente de garantare și/sau polițe de asigurare,
• firmele afiliate certSIGN care ne oferă suport în prestarea serviciilor pe care le furnizăm,
• în cazul în care certSIGN va fi supusă unui proces de vânzare sau reorganizare vom furniza datele dumneavoastră către entitatea achizitoare sau rezultată în urma procesului de reorganizare.

8. Transferul datelor în afara Uniunii Europene

Sunt situații în care transmitem datele dumneavoastră cu caracter personal către terțe părți din afara Uniunii Europene, precum Statele Unite ale Americii, respectiv pentru colectarea și analiza răspunsurilor din sondaje, cu consimțământul dumneavoastră. Transferul de date se realizează cu asigurarea respectării drepturilor persoanelor vizate, în baza unor garanții adecvate în conformitate cu cerințele legale aplicabile, precum:

• Clauze contractuale standard, emise de către Comisia Europeană, pe care le semnăm cu orice destinatar extern situat într-o țară care nu oferă un cadru legal adecvat de protecție a datelor;
• Decizii emise de Comisia Europeană prin care se stabilește faptul ca o țară localizată în afara UE asigură un nivel de protecție adecvat.

Informații despre țările terțe către care trimitem datele cu caracter personal pot fi furnizate la cerere, iar pentru mai multe informații, ne puteți contacta la: dpd@certsign.ro.

9. Durata prelucrării datelor cu caracter personal

certSIGN prelucrează datele cu caracter personal, în general, pe toată perioada de negociere și derulare a raporturilor contractuale cu dumneavoastră sau cu partenerii contractuali pe care îi reprezentați sau care ne-au furnizat datele spre prelucrare. La încetarea acestor raporturi, informațiile și datele cu caracter personal vor fi arhivate/stocate. Perioada de arhivare/stocare diferă în funcție de tipul serviciului pe care l-ați contractat sau de tipul relației pe care o aveți cu certSIGN.

De asemenea, anumite categorii de date le prelucrăm pe durata prevăzută de lege sau de o autoritate publică, conform legii ori, în cazul unui litigiu, până la soluționarea definitivă a acestuia. Pentru prelucrările bazate pe interesul legitim al certSIGN sau al unui terț, prelucrăm datele conform politicilor noastre de retenție.

Spre exemplu:

• pentru conformarea cu legislația în domeniul financiar-fiscal, păstrăm datele 5 sau 10 ani, după caz;
• pentru soluționarea sesizărilor, păstrăm datele pe perioada termenului legal de prescripție, respectiv o perioadă de 3 ani;
• log-urile sunt păstrate în funcție de analiza de risc, cel puțin o perioada de 2 ani;
• detalii despre durata prelucrării datelor cu caracter personal în scopul prestării serviciilor de încredere sau certificare aflați din Nota de informare aferentă acestor servicii dând click aici.
• detalii despre durata prelucrării datelor cu caracter personal în scopul emiterii și utilizării mijlocului de identificare certME aflați din Politica de confidențialitate aferentă acestui serviciu dând click aici.
• în situația în care prelucrarea datelor se bazează pe consimțământul dumneavoastră, vom prelucra datele până când vă veți retrage consimțământul cu privire la prelucrare.

După perioadele de arhivare/stocare pentru care există un temei legal justificativ, datele dumneavoastră cu caracter personal vor fi, după caz, distruse/șterse în conformitate cu Legea 16/1996 a Arhivelor Naționale sau vor fi anonimizate ireversibil.

10. Drepturile pe care le aveți

Drepturile de care beneficiați în conformitate cu prevederile art. 13-22 din Regulamentului UE 2016/679 sunt:

• Dreptul la informare: dreptul de a fi informat cu privire la identitatea și datele de contact ale operatorului și ale responsabilului cu protecția datelor, scopurile în care se face prelucrarea datelor, categoriile de date cu caracter personal vizate, destinatarii sau categoriile de destinatari ai datelor, existența drepturilor prevăzute de legislația privind protecția datelor cu caracter personal pentru persoana vizată și condițiile în care pot fi exercitate;
• Dreptul de acces la date: dreptul de a obține de la operatorul de date confirmarea faptului că datele cu caracter personal care vă vizează sunt sau nu prelucrate de către acesta;
• Dreptul la rectificare: dreptul de a obține rectificarea datelor inexacte care va privesc, precum și completarea datelor incomplete;
• Dreptul la restricționarea prelucrării în cazul în care dumneavoastră v-ați opus prelucrării în scopul intereselor legitime urmărite de certSIGN sau de terți ori în cazul în care certSIGN nu mai are nevoie de datele cu caracter personal, dar dumneavoastră le solicitați pentru constatarea, exercitarea sau apărarea unui drept în instanță;
• Dreptul de a vă retrage oricând consimțământul, în măsura în care operațiunea de prelucrare a datelor se bazează pe consimțământul dumneavoastră, fără ca retragerea consimțământului să afecteze legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia;
• Dreptul la ștergerea datelor în cazul în care datele nu mai sunt necesare pentru realizarea scopurilor de prelucrare sau în cazul în care dumneavoastră vă retrageți consimțământul în măsura în care prelucrarea se întemeiază pe consimțământ ori în cazul în care vă opuneți prelucrării datelor în temeiul art.21 din GDPR și nu există motive legitime privind continuarea prelucrării care să prevaleze;
• Dreptul la portabilitatea datelor furnizate, în măsura în care operațiunea de prelucrare a datelor se bazează pe consimțământ sau are ca temei contractul încheiat cu dumneavoastră.
• Dreptul la opoziție din motive legate de situația dumneavoastră particulară, asupra prelucrărilor de date efectuate în scopul urmăririi intereselor legitime ale certSIGN sau ale unor terți.
• Dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automata, inclusiv crearea de profiluri, care produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă, în conformitate cu art. 22 din GDPR.

certSIGN va notifica destinatarilor cărora le-a divulgat datele cu caracter personal orice ștergere, rectificare sau restricționare a prelucrării datelor cu caracter personal, cu excepția cazului în care acest lucru se dovedește imposibil sau presupune eforturi disproporționate.

Totodată, vă informăm ca aveți dreptul de a vă adresa Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal – ANSPDCP pentru apărarea oricăror drepturi acordate de legislația aplicabilă în domeniul protecției datelor cu caracter personal, care v-au fost încălcate, precum și de a apela la instanțele de judecată competente.

Pentru exercitarea drepturilor prevăzute de art. 13-22 din GDPR, vă puteți adresa cu o cerere scrisă, datată și semnată, transmisă Departamentului Protecția Datelor cu Caracter Personal certSIGN:

• adresa de email: dpd@certsign.ro
• Bd-ul. Tudor Vladimirescu, nr. 29A, clădirea AFI Tech Parc 1, et. 2, București, sector 5.

În cazul în care veți adresa o solicitare privind exercitarea drepturilor dumneavoastră privind protecția datelor cu caracter personal, veți primi răspuns în termen de cel mult 30 de zile, în condițiile prevăzute de GDPR.

11. Măsuri de securitate a datelor dumneavoastră cu caracter personal

certSIGN implementează atât în calitate de operator de date cu caracter personal cât și de prestator de servicii de încredere, măsuri tehnice și organizatorice adecvate pentru asigurarea integrității și confidențialității datelor dumneavoastră cu caracter personal, conform art. 25 și 32 din Regulamentul General privind protecția datelor nr. 2016/679 și Regulamentului UE 910/2014 privind identificarea electronică și serviciile de încredere pentru tranzacțiile electronice pe piața internă.

Pentru a proteja datele cu caracter personal împotriva accesului neautorizat, modificării, dezvăluirii ori distrugerii neautorizate certSIGN aplică măsuri precum:

• Criptarea datelor în timpul transmiterii pentru a asigura confidențialitatea acestora;
• Revizuirea periodică a politicilor, standardele și procedurilor de protecție a datelor, inclusiv a măsurilor de securitate;
• Restricționarea accesului la datele cu caracter personal doar pentru angajații și colaboratorii autorizați, care sunt obligați contractual să respecte confidențialitatea și pot fi trași la răspundere pentru nerespectarea acestor obligații.

certSIGN a implementat un Sistem de Management al Securității Informației certificat conform standardului internațional ISO/IEC 27001 și respectă cerințele standardului ETSI EN 319 401, aplicabil prestatorilor de servicii de încredere. Sistemele și procesele noastre sunt auditate periodic de către organisme independente de audit și certificare, acreditate pentru aceste standarde, pentru a asigura conformitatea continuă și cele mai înalte standarde de protecție a datelor.