Politica privind Protectia Datelor Personale

1. PREAMBUL SI ANGAJAMENT

Salt Bank S.A. („Salt Bank”, „Banca”, „noi”) se angajeaza sa prelucreze datele cu caracter personal apartinand tuturor persoanelor fizice cu care interactioneaza („persoane vizate”) in conformitate cu legislatia aplicabila, principiile GDPR si cele mai inalte standarde de confidentialitate si securitate.

Ne asumam sa respectam drepturile si libertatile fundamentale ale persoanelor vizate si sa evaluam periodic activitatea noastra in domeniul protectiei datelor pentru a ne asigura ca aceste drepturi sunt permanent respectate.

Prin prezenta Politica, Salt Bank isi indeplineste obligatia de informare prevazuta la art. 13–14 din Regulamentul (UE) 2016/679 (GDPR) pentru toate categoriile de persoane vizate ale caror date le prelucreaza in calitate de Operator de date in cadrul activitatii sale bancare. Politica se completeaza cu informari suplimentare pentru activitati specifice, atunci cand este necesara o detaliere a procesarilor de date, astfel incat sa asiguram informarea completa a persoanelor vizate ale caror date le prelucram.

Politica privind protectia datelor, Nota de informare generala privind prelucrarea datelor cu caracter personal precum si Notele de informare specifice unor activitati de prelucrare aferente servicii/produse/activitati bancare sunt publicate pe website-ul oficial al Salt Bank in sectiunea Privacy Hub, la adresa https://salt.bank/privacy-hub

1.1. Principiile aplicate de catre Salt Bank in prelucrarea datelor personale sunt cele stabilite de GDPR, si anume::

• Legalitate, echitate si transparenta – prelucram datele doar daca exista un temei legal aplicabil si explicam intotdeauna in mod clar scopul prelucrarii.
• Limitarea scopului – colectam si folosim date personale doar pentru scopuri determinate, explicite si legitime.
• Minimizarea datelor – procesam numai datele strict necesare pentru fiecare scop.
• Exactitate – luam masuri pentru a mentine datele actualizate si corecte.
• Limitarea stocarii – pastram datele doar pe perioada necesara sau prevazuta de lege (vezi Capitolul 8).
• Integritate si confidentialitate – aplicam masuri avansate de securitate tehnica si organizatorica pentru a preveni accesul neautorizat, utilizarea abuziva sau pierderea datelor.
• Responsabilitate (accountability) – asiguram in orice moment conformitatea cu GDPR si cu legislatia aplicabila in domeniul prelucrariidatelor cu caracter personal.

Aceste principii sunt integrate in toate procesele Salt Bank si reprezinta fundamente ale cadrului nostru intern de protectie a datelor.

1.2. Cui se aplica aceasta Politica

Politica se aplica tuturor persoanelor fizice ale caror date sunt prelucrate de Salt Bank, indiferent de canalul prin care interactioneaza cu noi, inclusiv:

• clienti persoane fizice (titulari de cont, imputerniciti, beneficiari reali);
• potentiali clienti (persoane care incep procesul de inrolare sau solicita informatii inainte de incheierea unui contract);
• garanti, co-debitori, persoane aflate in legatura cu solicitantii de credit;
• reprezentanti ai persoanelor juridice;
• semnatari ai documentelor contractuale;
• persoane de contact ale partenerilor contractuali sau ale unor institutii;
• vizitatori ai website-ului Salt Bank;
• persoane care trimit solicitari, sesizari sau reclamatii catre Salt Bank;
• terti ale caror date ajung in procesele noastre operationale, in contextul serviciilor bancare
  (de ex. beneficiari de plati, persoane mentionate in documente justificative).

Nu intra in sfera acestei Politici prelucrarile de date ale angajatilor Salt Bank sau ale candidatilor care aplica pentru o pozitie in cadrul Salt Bank, care sunt acoperite prin documente interne distincte.

1.3. Revizuirea periodica a Politicii se realizeaza de catre Salt Bank pentru:

• a reflecta modificarile legislative;
• a integra noi practici interne de securitate si conformitate;
• a asigura o informare cat mai clara si completa a persoanelor vizate;
• a mentine nivelul ridicat de protectie al datelor personale.

Versiunea actualizata este disponibila in aplicatia Salt Bank si pe website-ul oficial al Salt Bank la adresa: https://salt.bank/privacy-hub/politica-privind-protectia-datelor-personale .

2. IDENTITATEA OPERATORULUI SI DATELE DE CONTACT

2.1. Cine este operatorul datelor dumneavoastra

Operatorul de date (entitatea care stabileste scopurile si mijloacele prelucrarii datelor cu caracter personal) este SALT BANK S.A., institutie de credit, persoana juridica romana cu sediul social in Bucuresti, Bd. Dimitrie Pompeiu, nr. 5-7, etaj 6, sector 2, 020335, Numar de inregistrare la Registrul Comertului: J1998002416408, Cod unic de inregistrare 10318789, atribut fiscal R, inregistrata in Registrul institutiilor de credit sub nr. P.J.R. 40-043.

Salt Bank prelucreaza datele dumneavoastra personale in calitate de operator, atunci cand stabileste in mod autonom scopurile pentru care sunt folosite datele, decide mijloacele prin care sunt prelucrate datele si actioneaza in baza legislatiei aplicabile institutiilor de credit si a normelor interne.

In anumite situatii, Salt Bank poate prelucra datele impreuna cu alti operatori sau in numele altor operatori, dar in aceasta Politica termenul „operator” se refera exclusiv la Salt Bank, in masura in care Salt Bank stabileste scopurile si mijloacele prelucrarii.

2.2. Responsabilul cu protectia datelor (DPO)

Pentru a ne asigura ca respectam in mod corect si constant legislatia privind protectia datelor cu caracter personal, Salt Bank a desemnat un Responsabil cu protectia datelor (DPO - Data Protection Officer) care:

• consiliaza Salt Bank cu privire la aplicarea corecta a GDPR si a legislatiei nationale;
• monitorizeaza conformitatea interna cu regulile privind protectia datelor;
• este punctul de contact pentru persoanele vizate si pentru autoritatea de supraveghere;
• poate fi contactat de orice persoana vizata pentru intrebari sau solicitari legate de datele personale.

 

Datele de contact ale DPO Salt Bank:

E‑mail DPO dedicat:	dpo@saltbank.ro
Adresa postala:	Salt Bank S.A., Bucuresti, Bd. Dimitrie Pompeiu, nr. 5-7, etaj 6, sector 2, 020335, cu mentiunea: „In atentia responsabilului cu protectia datelor (DPO)”

Recomandam, pe cat posibil, utilizarea e-mailului dedicat DPO pentru a asigura o tratare rapida si structurata a solicitarilor privind protectia datelor.

2.3. Cand este recomandat sa contactati DPO

Puteti contacta DPO, de exemplu, in urmatoarele situatii:

• doriti sa aflati ce date personale prelucreaza Salt Bank despre dumneavoastra;
• doriti sa va exercitati oricare dintre drepturile prevazute in Capitolul 9 (drept de acces, rectificare, stergere, opozitie, restrictionare, portabilitate, dreptul de a nu face obiectul unei decizii exclusiv automatizate etc.);
• considerati ca anumite date au fost prelucrate incorect sau in mod nejustificat;
• aveti intrebari legate de prelucrarea datelor in contextul unor produse sau servicii specifice;
• doriti clarificari privind modul in care Salt Bank gestioneaza securitatea datelor sau eventuale incidente de securitate;
• doriti explicatii suplimentare dupa ce ati primit un raspuns din partea noastra la o solicitare privind datele personale.

3. CATEGORIILE DE DATE PE CARE LE PRELUCRAM

3.1. Principii generale privind categoriile de date

Salt Bank prelucreaza datele personale in functie de calitatea persoanei vizate (client, potential client, garant, beneficiar real, reprezentant, vizitator, tert etc.), obligatiile legale specifice sectorului bancar, produsele/serviciile utilizate, canalul prin care se realizeaza interactiunea (aplicatie, website, telefon).

Nu toate categoriile de date prelucrate se aplica tuturor persoanelor vizate.

Prelucram doar datele strict necesare fiecarui scop — conform principiului minimizarii.

3.2. Date de identificare si cunoastere a clientelei (KYC/AML)

Aceste date sunt obligatorii pentru deschiderea si administrarea relatiei de afaceri, conform legislatiei privind prevenirea spalarii banilor si finantarii terorismului, si cuprind Date de identificare primara, Date din actele de identitate, Adrese (domiciliu,corespondenta, etc), Numar de telefon, adresa de email, Date referitoare la Identificarea la distanta (foto-audio-video), Statutul PEP / beneficiar real, Domeniul de activitate, Angajatorul. 

 

3.3. Date sociodemografice si profesionale

Aceste date sunt necesare in special pentru evaluarea profilului tranzactional si pentru analiza riscului de creditare, evaluarea solvabilitatii, determinarea gradului de indatorare

3.4. Date financiare si tranzactionale

Sunt date generate automat prin utilizarea serviciilor Salt Bank, de tipul Identificatorilor de cont / produs, Tranzactii bancare,  Date privind produsele de creditare / economisire, 

3.5. Date biometrice

Sunt date utilizate in procesul de identificare la distanta prin intermediul aplicatiei Salt Bank.  In cazul datelor utilizate pentru autentificare, Salt Bank nu prelucreaza biometria bruta ci acceseaza doar un token criptografic generat de dispozitiv (TouchID/FaceID).

3.6. Date tehnice, metadate si identificatori digitali

Sunt date colectate automat atunci cand utilizati aplicatia sau site-ul, de tipul: model dispozitiv, sistem de operare; identificatori unici ai dispozitivului; adresa IP; loguri tehnice — ecrane accesate, durata sesiunii; date generate de sistemele bancii de tipul indentificatorilor unici alocati datelor reale,, etc.

3.7. Date de localizare

Putem prelucra date de localizare (IP / GPS) in doua contexte: Sisteme antifrauda pentru determinarea locatiei aproximative in vederea identificarii tranzactiilor suspecte sau , in cazul locatiei exacte, pentru Functionalitati optionale care necesita prelucrarea acestor date pe baza consimtamantului dumneavoastra (afisarea ATM-urilor, comerciantilor parteneri etc.)

3.8. Date provenite din surse externe

Salt Bank poate prelucra date cu caracter personal furnizate de catre: Institutii financiare / sisteme de raportare (Biroul de Credit; Centrala Riscului de Credit - BNR),  Autoritati publice (ANAF, Directia pentru Evidenta Persoanelor, instante, parchete, executori, autoritati de supraveghere) si Alte surse (alte institutii financiare prin Open Banking, liste de sanctiuni si liste PEP,  surse publice de tipul portalului instantelor, Monitorul Oficial, internet).

 3.9. Date de comunicare si suport prelucrate in urma interactiunilor cu dumneavoastra 

(conversatii prin chat in aplicatie, e‑mailuri, inregistrari audio ale convorbirilor telefonice, raspunsuri la sondaje si feedback, mesaje transmise in contextul solicitarilor, etc)

3.10. Date ale potentialilor clienti (prospecti)

Sunt date colectate atunci cand o persoana vizata incepe procesul de inrolare iar acesta nu este finalizat prin deschiderea unui cont curent, solicita informatii despre produse si includ: nume, prenume; numar de telefon, e-mail; fotografie / copie CI (daca utilizatorul a parcurs partial procesul de inrolare in aplicatia mobila), detalii tehnice privind dispozitivul mobil in cazul interactiunilor prin aplicatia mobila, voce (daca solicitarea a fost telefonica).

3.11. Date despre vizitatori ai sediului Salt Bank de tipul imaginilor video (CCTV), date de identificare

(in cazurile in care este necesara prelucrarea in vederea protejarii salariatilor, a bunurilor si infrastructurii critice si a asigurarii unui acces controlat).

3.12. Date ale tertilor implicati in operatiuni pe care Salt Bank le poate prelucra 

 reprezentand date personale apartinand unor terti atunci cand sunt beneficiari ai platilor, sunt mentionati in documente transmise catre banca, apar in contracte relevante pentru credite (ex. coproprietari), se regasesc in documente justificative pentru tranzactii.

3.13. Alte date necesare pentru servicii specifice

In situatia in care, pentru anumite servicii  specifice, este necesara prelucrarea unor date personale suplimentare fata de cele mentionte in prezenta Politica, acestea vor fi prezentate in Nota de informare specifica prelucrarilor de date realizate pentru respectivele servicii..

4. SCOPURILE SI TEMEIURILE LEGALE APLICABILE PRELUCRARILOR

Salt Bank nu colecteaza si nu prelucreaza date „de rezerva”, ci doar atunci cand exista un scop clar, legitim (de ce avem nevoie de date) si un temei legal recunoscut de GDPR (in baza carui articol din GDPR le prelucram).

Acest capitol explica temeiurile legale pe care ne bazam, principalele scopuri pentru care folosim datele, ce se intampla daca refuzati prelucrarea datelor in anumite situatii.

In situatia in care vor fi prelucrate date cu caracter personal care nu sunt detaliate in cadrul acestui capitol, temeiurile legale aplicabile acestor prelucrari de date vor fi detaliate in Nota de informare specifica serviciului pentru care se realizeaza aceste prelucrari.

 

Principalele temeiuri legale aplicabile prelucrarilor de date realizate de Salt Bank

In functie de context, Salt Bank poate prelucra date personale in baza unuia sau mai multor temeiuri legale:

1. Executarea unui contract sau efectuarea de demersuri la cererea dumneavoastra inainte de incheierea unui contract – art. 6(1)(b) GDPR
2. Indeplinirea unei obligatii legale care ii revine bancii – art. 6(1)(c) GDPR (ex.: legislatia AML, fiscala, contabila, reglementari BNR)
3. Interesul legitim al Salt Bank sau al unor terti – art. 6(1)(f) GDPR (ex.: prevenirea fraudelor, apararea in justitie, evaluarea riscului de credit, control intern)
4. Indeplinirea unei sarcini care serveste unui interes public – art. 6(1)(e) GDPR (ex.: aplicarea masurilor de cunoastere a clientelei pentru prevenirea spalarii banilor si finantarii terorismului, acolo unde acest temei se aplica)
5. Consimtamantul dumneavoastra – art. 6(1)(a) GDPR (ex.: marketing direct, anumite cookie-uri, anumite functionalitati optionale de geolocatie ).

4.1. Scopuri si temeiuri – Executarea contractului

Temei legal aplicabil: art. 6(1)(b) GDPR – executarea contractului sau demersuri precontractuale la cererea persovizate.

Salt Bank prelucreaza date personale in urmatoarele scopuri:

1. Deschiderea si administrarea relatiei de afaceri (onboarding / KYC contractual): analizarea cererii de a deveni client, verificarea identitatii si a documentelor furnizate; configurarea produselor si serviciilor de baza (cont curent, card, acces aplicatie).
2. Furnizarea serviciilor bancare curente, si anume administrarea conturilor (vizualizare sold, emitere extrase, modificare limite), procesarea platilor si incasarilor (nationale si internationale), emiterea si administrarea cardurilor (fizice, virtuale, suplimentare), activarea si utilizarea aplicatiei de mobile, servicii de tip SMS/push notificari pentru tranzactii.
3. Produse de creditare si alte forme de finantare, si anume: analizarea solicitarii de credit, calcularea gradului de indatorare si a eligibilitatii, gestionarea contractului de credit (ex. scadente, rambursari, restructurari), gestiunea garantiilor si a asigurarilor asociate.
4. Suport clienti si relatia cu clientul, si anume: gestionarea solicitarilor, sesizarilor si reclamatiilor, inregistrarea si pastrarea convorbirilor (acolo unde se aplica), evidenta comunicarilor pentru dovada acordurilor sau a solicitarilor adresate bancii.
   Daca refuzati sa furnizati datele necesare pentru aceste scopuri sau solicitati stergerea lor inainte de incheierea/derularea relatiei contractuale, este posibil ca Salt Bank sa nu poata analiza cererea de a deveni client, deschide sau mentine contul, furniza produsul/serviciul solicitat, procesa tranzactiile dorite.

4.2. Scopuri si temeiuri – Indeplinirea obligatiilor legale

Temei legal aplicabil il reprezinta indeplinirea unei obligatii legale - art. 6(1)(c) GDPR

Salt Bank are obligatii legale stricte prevazute de legislatia in vigoare , care impun prelucrarea unor date personale, inclusiv:

4.2.1 Prevenirea spalarii banilor si finantarii terorismului (AML/CFT) care presupune aplicarea masurilor de cunoastere a clientelei (KYC), monitorizarea tranzactiilor, raportarea tranzactiilor suspecte sau a celor peste anumite praguri, verificari in liste de sanctiuni, liste PEP, liste de risc.

4.2.2. Raportari catre autoritati si registre specifice care implica raportari catre autoritatea fiscala (ex. ANAF) privind deschiderea/inchiderea conturilor, rulaje, casete de valori, raportari catre banca centrala (ex. privind risc de credit, incidente de plata, statistici), raportari catre alte autoritati/organisme cand legislatia cere explicit acest lucru.

4.2.3. Executarea masurilor dispuse de autoritati sau alte profesii juridice reglementate privind instituirea si administrarea popririlor asupra conturilor; raspunsuri la solicitari oficiale ale instantelor, organelor de urmarire penala, executorilor judecatoresti si altor autoritati competente.

4.2.4. Obligatii contabile, fiscale, arhivare care presupun pastrarea documentelor justificative, a evidentelor contabile si fiscale, pastrarea documentelor si datelor referitoare la tranzactii pentru perioadele prevazute de lege.

In aceste situatii, daca refuzati prelucrarea sau actualizarea datelor cerute de lege, Salt Bank nu poate initia sau nu poate continua relatia de afaceri si nu poate executa anumite tranzactii, fiind obligata sa respecte legislatia aplicabila.

4.3. Scopuri si temeiuri – Interes legitim

Temeiul legal aplicabil il reprezinta interesul legitim - art. 6(1)(f) GDPR, in masura in care acest interes nu prevaleaza asupra drepturilor si libertatilor dumneavoastra fundamentale.

Exemple de scopuri bazate pe interes legitim al Salt Bank (sau al unor terti):

4.3.1. Prevenirea si combaterea fraudelor care presupune monitorizarea  comportamentului tranzactional, blocarea temporara a unor actiuni in aplicatie/operatiuni/carduri/conturi in caz de suspiciune a existentei unei fraude non-AML/ securitate IT, colaborarea cu entitati specializate antifrauda.

4.3.2. Securitatea cibernetica si a infrastructurii ce implica protectia retelelor si sistemelor, detectarea tentativelor de acces neautorizat, logarea si auditarea accesului la sistemele informatice.

4.3.3. Analize interne, raportari de gestiune si statistica care implica analize privind produsele/serviciile, segmentari si studii de piata, evaluarea performantei si calitatii serviciilor.

4.3.4. Imbunatatirea experientei clientilor colectarea feedback‑ului, analiza reclamatiilor si sugestiilor; dezvoltarea si testarea noilor functionalitati in aplicatie.

4.3.5. Recuperarea creantelor care presupune notificari privind restantele, colaborarea cu entitati specializate in colectare creante, actiuni judiciare sau extrajudiciare justificate.

4.3.6. Apararea drepturilor si intereselor Salt Bank gestionarea litigiilor, raspunsul la investigatii sau controale, documentarea si sustinerea pozitiilor procesuale.

4.4. Scopuri si temeiuri – Consimtamant

Temeul aplicabil prelucrariii: consimtamantul persoanei vizate - art. 6(1)(a) GDPR

Salt Bank foloseste consimtamantul in special pentru urmatoarele scopuri:

4.4.1. Marketing direct si comunicari comerciale pentru trimiterea de mesaje publicitare (e‑mail, SMS, push, telefon, posta) privind produse/servicii ale bancii sau campanii si initiative comerciale; folosirea unor tehnici cum ar fi pixeli de urmarire in e‑mailuri de marketing, pentru a masura eficienta campaniilor (acolo unde este permis).

4.4.2. Identificarea la distanta care implica prelucrarea de date biometrice ale fetei care sunt colectate in cadrul capturilor foto-video-audio si care sunt comparate pentru asigurarea identificarii, inclusiv cu informatii furnizate de catre DGEP.

4.4.3. Inregistrarea apelurilor telefonice care implica prelucrarea de date personale- vocea.

4.4.4. Interogarea sistemelor ANAF si CRC in situatia in care anumite servicii necesita aceasta prelucrare de date

4.4.5. Cookie-uri si tehnologii similare, acolo unde legea cere consimtamant (de ex. cookie-uri non-esentiale pentru marketing/analiza).

4.4.6. Functionalitati optionale privind anumite functii de geolocatie pentru oferte/servicii specifice sau transferuri de date necesare furnizarii unor servicii conexe..
In totate cazurile in care prelucrarea este bazata pe consimtamant, acesta este optional si nu conditioneaza accesul la serviciile bancare de baza, poate fi refuzat sau retras oricand, fara costuri, prin aceleasi canale prin care a fost acordat sau prin contactarea bancii, iar retragerea consimtamantului nu afecteaza legalitatea prelucrarilor efectuate inainte de retragere.

4.5. Scopuri si temeiuri – Interes public

In anumite situatii, legislatia poate califica unele prelucrari (mai ales cele legate de prevenirea spalarii banilor, anumite raportari sau obligatii sectoriale aplicabile institutiilor financiar-bancare) ca fiind realizate pentru indeplinirea unei sarcini care serveste unui interes public, in sensul art. 6(1)(e) GDPR.

In astfel de cazuri Salt Bank aplica masuri suplimentare pentru a proteja drepturile persoanelor vizate si va informam, in masura in care legea permite, despre prelucrarile efectuate in acest temei.

5. PROFILAREA SI DECIZIILE AUTOMATIZATE

Salt Bank utilizeaza procese automatizate si activitati de profilare pentru identificare si securitate, prevenirea fraudelor, analiza riscului de credit, verificari AML/KYC, eligibilitate pentru produse, personalizarea comunicarilor (in baza consimtamantului).

Aceste procese respecta in intregime art. 22 GDPR si nu produc efecte juridice semnificative decat in situatiile permise de lege.

Persoanele vizate pastreaza intotdeauna dreptul de a solicita interventie umana, de a‑si exprima punctul de vedere, de a contesta decizia automatizata.

5.1. Ce inseamna profilarea si deciziile automatizate

Profilarea este orice prelucrare automata de date destinata sa evalueze anumite aspecte personale (ex.: comportament de plata, risc tranzactional, eligibilitate, preferinte).

Deciziile automatizate sunt decizii bazate exclusiv pe prelucrare automata, fara interventie umana, care pot produce efecte juridice sau pot afecta semnificativ persoana vizata.

Salt Bank utilizeaza astfel de procese numai cand sunt permise de lege si necesare pentru furnizarea serviciilor bancare.

5.2. Situatii in care Salt Bank foloseste procese automate sau profilare

Salt Bank foloseste procese automatizate in urmatoarele contexte:

5.2.1. Verificari AML/KYC si liste de sanctiuni

Temeiul legal aplicabil il reprezinta obligatia legala (art. 6(1)(c) GDPR)

Salt Bank efectueaza verificari automate in liste de sanctiuni internationale, liste cu persoane expuse public (PEP), baze de date pentru prevenirea terorismului, indicatori de risc AML.

Daca rezulta potriviri semnificative, banca poate solicita documente suplimentare, refuza initierea relatiei de afaceri, suspenda procesarea unei tranzactii, revizui manual rezultatele.

Salt Bank nu ia nicio masura cu efect juridic exclusiv automat pe baza unor informatii primite prin schimburi institutionale (de ex. validari de identitate), fara verificari suplimentare.

5.2.2. Prevenirea si combaterea fraudelor

Temeiurile legale aplicabile sunt interesul legitim + obligatie legala impusa de legislatia KYC/AML +  obligatie legala de securitate a platilor (PSD2/SCA)

Salt Bank monitorizeaza automat tipare tranzactionale, locatie, dispozitiv, frecventa, tranzactii neobisnuite (valori mari, frecventa ridicata, geografii diferite), incercari suspecte de utilizare a cardurilor (website‑uri neautorizate), comportamente care pot indica phishing sau abuz. In aceste situatii, sistemele pot bloca temporar tranzactia, bloca cardul sau contul, solicita autentificare suplimentara (SCA), initia verificari interne.

Blocarea automata se face strict pentru protectia clientului si este urmata de masuri manuale daca este necesar.

5.2.3. Analiza riscului de credit (scoring)

Temeiurile legale aplicabile sunt executarea contractului + obligatie legala + interes legitim

Salt Bank foloseste un sistem automat de scoring pentru evaluarea gradului de indatorare, analiza comportamentului de plata, estimarea riscului de neplata, determinarea eligibilitatii pentru credite. Sistemul ia in calcul date declarate in cererea de credit, date interne (istoric, comportament), date din Biroul de Credit sau alte sisteme legale, indicatori statistici, informatii financiare relevante.

Decizia finala  poate fi exclusiv automata. In acest caz solicitantul poate cere evaluare umana; poate prezenta documente suplimentare; poate contesta decizia automatizata.

5.2.4. Identificarea la distanta (video onboarding)

Temeiurile legale aplicabile sunt obligatia legala (KYC) + + interes public + conditia consimtamantului explicit

Salt Bank utilizeaza tehnologii automatizate pentru compararea imaginii faciale cu fotografia din actul de identitate, verificarea autenticitatii documentului, verificarea coerentei datelor (email, telefon, date din act). Orice neconcordanta detectata automat este supusa verificarii manuale de catre operatori Salt Bank, unei posibile solicitari de reluare a procesului de identificare. Salt Bank nu refuza exclusiv automat accesul la servicii in etapa de identificare KYC fara o verificare umana.

5.2.5. Profilarea comerciala (numai cu consimtamant)

Temeiul legal aplicabil prelucrarii este consimtamantul  (art. 6(1)(a) GDPR)

Daca persoana vizata si‑a exprimat acordul pentru marketing, Salt Bank poate realiza profilari pentru personalizarea ofertelor, segmentari de public, comunicari comerciale adaptate intereselor. Pentru acest tip de profilare, banca poate analiza tipologiile tranzactiilor, varsta, date demografice, gama de produse utilizate, frecventa operatiunilor.

Profilarea are efecte limitate, nefiind utilizata pentru decizii juridice sau semnificative iar consimtamantul de marketing poate fi retras oricand.

5.3. Situatiile in care o decizie poate fi exclusiv automatizata

Salt Bank poate utiliza decizii exclusiv automate doar cand acest lucru este necesar pentru incheierea sau executarea unui contract digital (ex.: credit online), este autorizat de legislatie, persoana vizata si‑a dat consimtamantul explicit, exista masuri adecvate de protectie (art. 22 GDPR). In aceste cazuri, Salt Bank se asigura intotdeauna ca persoana vizata poate solicita analiza umana, sunt oferite explicatii clare privind logica deciziei, sunt evaluate riscurile pentru drepturile persoanei, exista mecanisme de contestare.

5.4. Drepturile persoanelor vizate in legatura cu procesele automatizate

Persoanele vizate au dreptul sa solicite interventie umana in analiza, explicarea deciziei automatizate, contestarea deciziei, restrictionarea prelucrarii daca sunt neconcordante, oprirea profilarii in scop de marketing (prin opozitie sau retragerea consimtamantului).

Salt Bank raspunde acestor solicitari conform Capitolului 9 – Drepturile persoanelor vizate.

6. DESTINATARII DATELOR

6.1. Principii generale privind dezvaluirea datelor

Salt Bank poate dezvalui date personale unor terti numai atunci cand:

• exista un temei legal sau contractual clar;
• dezvaluirea este strict necesara pentru scopul pentru care datele au fost colectate;
• sunt respectate principiile de confidentialitate, minimizare si securitate;
• destinatarul are obligatii contractuale ferme de protectie a datelor;
• sunt respectate drepturile persoanelor vizate, conform GDPR.

Salt Bank nu vinde datele personale si nu le transmite in scopuri comerciale tertilor fara temei legal sau fara consimtamantul persoanei vizate, acolo unde consimtamantul este aplicabil.

6.2. Categorii de destinatari

In indeplinirea obligatiilor sale si in furnizarea serviciilor bancare, Salt Bank poate dezvalui date personale, in functie de context, urmatoarelor categorii de destinatari:

6.2.1. Clienti sau persoane fizice care au dreptul si nevoia de a le cunoaste, categorie din care fac parte titularii de cont care primesc detalii despre imputernicitii lor si viceversa, contrapartidele catre care sunt implicate in derulareaunor tranzactii, persoane fizice implicate in  operatiunile derulate intre clientii Salt Bank.

6.2.2. Parteneri contractuali ai Salt Bank (persoane imputernicite de operator si alti prestatori)

Clarificare privind Persoanele Imputernicite de Operator si destinatarii

In multe procese, Salt Bank, in calitatea sa de Operator, lucreaza cu Persoane Imputernicite in conditiile prevazute de GDPR. Chiar daca aceste entitati pot avea acces la anumite date personale, Salt Bank ramane Operatorul responsabil pentru prelucrarile descrise in aceasta Politica, iar relatiile cu Imputernicitii sunt reglementate prin contracte care limiteaza prelucrarea datelor strict la instructiunile Salt Bank, impun masuri adecvate de securitate si prevad obligatii clare de confidentialitate.

Salt Bank colaboreaza cu furnizori externi pentru servicii esentiale: servicii IT (mentenanta, dezvoltare, suport, securitate cibernetica, cloud), procesatori de plati si infrastructuri de plata, emitere si personalizare carduri; servicii de identificare la distanta, servicii de arhivare fizica/electronica, servicii de curierat (livrare carduri/documente), servicii de audit, control sau consultanta, servicii de marketing, daca exista temei (consimtamant / interes legitim), servicii de colectare creante, servicii de studii de piata, servicii de transmitere SMS/e-mail/telefonie.

6.2.3. Societati implicate in procesarea platilor si infrastructuri bancare, ca de exemplu: Transfond (servicii plati, RoPay, RoTips, SANB), SWIFT (transferuri internationale), procesatori nationali si internationali, procesatori tranzactii carduri (Visa, Mastercard), operatori SEPA/ReGIS/alte sisteme de compensare, alte institutii financiare implicate in procesarea platilor. Catre acesti destinatari Salt Bank transmite strict datele necesare autorizarii, procesarii si decontarii tranzactiilor.

6.2.4. Institutii financiar‑bancare si participanti la sisteme de raportare, precum:  institutii de credit; institutii financiare nebancare; banci de corespondent; institutii financiare implicate in credite sindicalizate; Biroul de Credit; Centrala Riscului de Credit (CRC), fonduri de garantare. In aceste situatii, datele sunt prelucrate conform legislatiei bancare si specificului fiecarui sistem.

6.2.5. Societati de asigurare si alte entitati aferente produselor conexe in cazul in care  produsele Salt Bank includ sau necesita servicii accesorii, precum: societati de asigurare, brokeri de asigurari, societati de evaluare (pentru garantarea creditelor), societati de investitii, entitati care administreaza investitii sau fonduri de pensii.

6.2.6. Cesionari si terti implicati in transferul unor creante

In cazul cesionarii unor creante sau al altor operatiuni permise de lege, datele pot fi furnizate societatilor de recuperare creante, entitatilor care preiau portofolii, potentialilor cesionari (in faza de due diligence, in conditii stricte de confidentialitate).

6.2.7. Profesii juridice reglementate

In limitele legii, Salt Bank poate dezvalui date catre: notari publici,  avocati, executori judecatoresti in conditiile in care aceste dezvaluiri sunt necesare in procese juridice, proceduri executionale sau verificari de acte.

6.2.8. Autoritati si institutii ale statului

Salt Bank poate dezvalui date atunci cand exista obligatie legala, in special catre: Banca Nationala a Romaniei, Agentia Nationala de Administrare Fiscala (ANAF), Ministerul Justitiei, Ministerul Afacerilor Interne, organe de urmarire penala, instante de judecata, Oficiul National de Prevenire si Combatere a Spalarii Banilor, Autoritatea de Supraveghere Financiara, Directia Generala pentru Evidenta Persoanelor, alte autoritati/institutii publice competente potrivit legii.  In toate cazurile de transmitere de date catre autoritari si institutii ale statului, Salt Bank transmite numai datele strict necesare, conform procedurilor interne aprobate, doar persoanelor autorizate, si numai daca exista temei legal expres.

6.2.9. Furnizori de platforme digitale / social media catre care pot fi dezvaluilte date in limitele functionalitatilor utilizate (ex.: pentru afisarea de notificari, campanii de comunicare etc.).

6.2.10. Alte entitati catre care transmiterea este necesara pentru: efectuarea unor tranzactii, executarea unor obligatii contractuale, furnizarea unor servicii conexe, apararea drepturilor Salt Bank in instanta, prevenirea fraudelor si securitate cibernetica, activitati de audit, control sau managementul riscurilor.

6.3. Reguli aplicabile tuturor destinatarilor

Indiferent de categorie, Salt Bank realizeaza verificari cu privire la destinatarii datelor , transmite date doar daca exista temei legal si necesitate a prelucrarii, impune clauze stricte de confidentialitate si securitate (daca sunt destinatari cu care Salt Bank are incheiate relatii contractuale) si monitorizeaza modul in care persoanele imputernicite de operator respecta cerintele GDPR, limiteaza accesul destinatarilor doar la datele necesare pentru scopul lor, documenteaza dezvaluirile in registrul intern aferent. Salt Bank nu autorizeaza persoanele imputernicite sa utilizeze datele in scopuri proprii, cu exceptia situatiilor prevazute de lege sau a cazurilor in care seturile de date prelucrate nu afecteaza drepturile si libertatile persoanelor vizate.

6.4. Clarificari privind obligatiile legale de raportare

In baza legislatiei aplicabile institutiilor de credit, Salt Bank are obligatii explicite de raportare care pot include date personale. Acestea vizeaza, intre altele: raportari zilnice/lunare catre ANAF (titulari conturi, rulaje, tranzactii), raportari catre BNR in CRC si CIP, raportari AML catre Oficiul National de Prevenire si Combatere a Spalarii Banilor, furnizarea de informatii autoritatilor judiciare in investigatii penale.  Salt Bank va dezvalui date acestor autoritati doar in limitele legii, doar pe baza solicitarilor oficiale, cu aplicarea principiului minimului necesar si doar prin canale sigure.

7. TRANSFERUL DATELOR IN STRAINATATE (TARI TERTE SI ORGANIZATII INTERNATIONALE)

7.1. Principii generale privind transferurile internationale de date

Salt Bank poate transfera date personale in afara Uniunii Europene (UE) sau a Spatiului Economic European (SEE) numai atunci cand acest lucru este: strict necesar pentru furnizarea serviciilor bancare sau pentru indeplinirea obligatiilor legale, realizat in conditii de siguranta, cu un nivel adecvat de protectie, acoperit de mecanisme legale prevazute de GDPR (art. 44–49) si insotit de garantii contractuale si tehnice corespunzatoare.

Salt Bank nu efectueaza transferuri internationale frecvente sau sistematice, ci doar atunci cand infrastructura tehnica a unui furnizor se afla intr-o tara terta, sau o tranzactie initiata de client implica in mod necesar transferul datelor in afara UE/SEE.

7.2. Situatii in care datele pot fi transferate catre tari terte

Datele personale pot ajunge in afara UE/SEE in urmatoarele situatii:

7.2.1. Furnizori de servicii sau infrastructuri localizate in afara UE/SEE

Anumiti parteneri contractuali, persoane imputernicite ai Salt Bank sau subimputernicitii ai acestora pot opera centre de date, sisteme de securitate, platforme software, servicii de cloud in tari terte. Salt Bank permite accesul la date numai in baza unor garantii conforme GDPR.

7.2.2. Transferuri asociate procesarii tranzactiilor internationale

Orice operatiune de tip: transfer international de fonduri, plati transfrontaliere, utilizare card in afara UE/SEE, utilizarea retelelor globale de plata (ex. SWIFT), implica in mod necesar transmiterea datelor in tari terte. In aceste situatii, temeiul transferului este fie executarea contractului cu persoana vizata fie,  transferul este necesar pentru executarea  unui contract incheiat de Salt Bank cu  o alta persoana fizica sau juridica, in interesul persoanei vizate...

7.2.3. Respectarea cerintelor fiscale si de conformitate internationala

Transferuri pot fi realizate pentru conformare la legislatii si standarde internationale, cum ar fi: standardele FATCA si CRS pentru raportari fiscale sau solicitari oficiale transmise de autoritati din state terte, in conditiile legii. Salt Bank va furniza date doar in limitele legale si doar catre autoritati competente.

7.3. Mecanismele pe baza carora Salt Bank efectueaza transferuri internationale

Pentru orice transfer in afara UE/SEE, Salt Bank aplica ierarhia GDPR:

7.3.1. Decizii de adecvare ale Comisiei Europene

Transferurile sunt permise fara garantii suplimentare cand sunt realizate catre tari/sectoare care „asigura un nivel adecvat de protectie”, cum ar fi: Andorra, Argentina, Canada (sector comercial), Elvetia, Israel, Japonia, Regatul Unit, Coreea de Sud, Noua Zeelanda, Uruguay etc.. Lista completa, actualizata, este disponibila pe site-ul Comisiei Europene. 

7.3.2. Clauze Contractuale Standard (SCC) – mecanismul principal

Daca nu exista o decizie de adecvare, Salt Bank foloseste Clauze Contractuale Standard (SCC) aprobate de Comisia Europeana, completate, atunci cand este necesar, cu masuri suplimentare de securitate (criptare, pseudonimizare, segregare de medii), audituri tehnice, restrictii la acces.

7.3.3. Reguli corporatiste obligatorii (Binding Corporate Rules – BCR)

Daca un furnizor foloseste BCR aprobate, Salt Bank poate permite transferuri catre entitati din cadrul grupului furnizorului, in baza acestor reguli.

7.3.4. Derogari pentru situatii exceptionale (art. 49 GDPR)

Salt Bank foloseste exceptiile GDPR numai punctual, de exemplu: cand clientul initiaza o tranzactie catre un beneficiar dintr-o tara terta fara nivel adecvat de protectie; cand transferul este necesar fie pentru incheierea sau executarea unui contract intre operator si persoana vizata, fie,  pentru executarea  unui contract incheiat de Salt Bank cu  o alta persoana fizica sau juridica, in interesul persoanei vizate...

; cand persoana vizata a oferit consimtamant explicit pentru transfer. Aceste situatii sunt tratate ca exceptii, nu ca regula.

7.4. Cum evalueaza Salt Bank riscurile asociate transferurilor internationale

Atunci cand reglementarile legale impun evaluarea riscurilor („Transfer Impact Assessment”) privind anumite transferuri internationale,  Salt Bank realizeaza aceasta evaluare , analizand: legislatia tarii terte privind accesul autoritatilor la date; practici de securitate si confidentialitate ale destinatarului; capacitatea furnizorului de a aplica masuri suplimentare; natura datelor si sensibilitatea acestora; impactul potential asupra persoanei vizate. Daca exista riscuri necontrolabile pentru drepturile persoanei vizate, transferul nu este permis.

7.5. Masuri tehnice si organizatorice pentru protejarea transferurilor

Salt Bank are implementate masuri tehnice pentru criptarea datelor inainte de transfer, pseudonimizarea datelor unde este posibil, controale stricte de acces, logare si monitorizare permanenta, segregare intre mediile UE/SEE si tari terte, audituri ale furnizorilor si obligatii contractuale ferme precum si masuri organizatorice stricte implementate prin reglementarile interne adoptate.

 

7.6. Drepturile persoanelor vizate in contextul transferurilor internationale

Persoanele vizate beneficiaza de toate drepturile GDPR prevazute in Capitolul 9 al Politicii Salt Bank, inclusiv: dreptul de acces la informatii despre transferuri, dreptul de a primi detalii despre garantiile aplicate (SCC, masuri suplimentare etc.), dreptul de a solicita restrictionarea prelucrarii, dreptul de a se opune, in masura in care temeiul prelucrarii permite opozitia, dreptul de a depune plangere la autoritatea de supraveghere.

Salt Bank va furniza aceste informatii in masura in care dezvaluirea lor nu afecteaza securitatea sistemelor sau obligatii legale.

8. DURATA DE PASTRARE A DATELOR (RETENTIA)

8.1. Principii generale

Salt Bank pastreaza datele cu caracter personal doar atat timp cat este necesar pentru scopurile pentru care au fost colectate sau cat impune legislatia aplicabila, in special legislatia privind prevenirea spalarii banilor si finantarii terorismului, legislatia fiscala si contabila, legislatia bancara, reglementarile privind raportarile obligatorii, termenele de prescriptie prevazute de lege. La atingerea duratei maxime, datele sunt sterse sau anonimizate ireversibil, cu exceptia situatiilor in care legea impune pastrarea lor pentru perioade mai indelungate.

8.2. Datele clientilor (relatia contractuala)

8.2.1. Datele referitoare la relatia de afaceri (inclusiv istoricul tranzactiilor, documentele justificative) sunt pastrate pana la 10 ani dupa incetarea relatiei contractuale, deoarece legislatia contabila impune pastrarea documentelor justificative, legislatia fiscala impune pastrarea documentelor relevante pana la 10 ani, anumite obligatii AML pot impune termene prelungite, termenele de prescriptie pentru actiuni legale pot fi indelungate.

8.2.2. Date prelucrate in scopuri AML / KYC

Conform legislatiei in materie de AML, Salt Bank pastreaza datele obtinute prin masurile de cunoastere a clientelei, documentele justificative, monitorizarile si evaluarile de risc aferente, pentru 5 ani dupa incetarea relatiei de afaceri. Perioada poate fi prelungita pana la 10 ani la solicitarea autoritatilor competente.

8.3. Datele privind produsele de creditare

8.3.1. Datele raportate catre Biroul de Credit sunt pastrate in sistemul acestuia pentru 4 ani de la ultima actualizare (ex.: comportament de plata) sau 6 luni pentru persoanele care au depus cereri de credit respinse sau retrase.

8.3.2. Datele aferente interogarilor ANAF pentru persoanele vizate carora (conform acordului exprimat de acestea) le-au fost interogate datele personale in evidențele A.N.A.F., termenul legal impus pentru pastrarea formularelor de acord de interogare (implicit si pentru datele personale din cuprinsul acestora) este de 8 ani.

8.3.3. Raportari catre Centrala Riscului de Credit (CRC)

Documentele privind informatiile de risc de credit, inclusiv informatiile despre fraude cu carduri, se pastreaza 7 ani.

 

Datele privind marketingul direct, prelucrate in baza consimtamantului, sunt utilizate pana la retragerea consimtamantului de catre persoana vizata sau pana la incetarea calitatii de client, pentru persoanele care si-au exprimat acordul. 

8.4. Datele din supravegherea video (CCTV) 

sunt pastrate pe un termen standard de  30 de zile, care poate fi prelungit pana la 6 luni in situatii justificate (ex.: investigatii incidente) sau mai mult decat 6 luni doar in cazul in care exista o ancheta sau procedura legala in desfasurare

8.5. Datele petitionarilor (solicitari / reclamatii) 

  sunt pastrate pentru clienti pe o perioada de 5 ani de la incetarea relatiei de afaceri si pentru non-clienti pe o perioada de 5 ani de la data transmiterii raspunsului. Aceste termene sunt necesare pentru probarea comunicarilor si gestionarea eventualelor litigii.

8.6. Datele provenite din raportarile legale (ANAF, autoritati) 

In baza Codului de procedura fiscala si altor reglementari, datele raportate catre autoritati sunt pastrate de regula 10 ani.

8.7. Date prelucrate in alte scopuri

Pentru orice alte prelucrari specifice, termenul de pastrare este stabilit in functie de perioada necesara realizarii scopului la care se adauga, daca este cazul, termene de arhivare prevazute de lege, termene de prescriptie sau termene interne justificate prin interes legitim. Termenele de pastrare vor fi prevazute in Notele de informare specifice acestor operatiuni de prelucrare si publicate pe website-ul bancii in sectiunea dedicata: https://salt.bank/privacy-hub

8.8. Date prelucrate pentru mai multe scopuri

In situatia in care unele seturi de date sunt prelucrate in mai multe scopuri si avand la baza temeiuri legale diferite, retentia datelor se realizeaza pe perioada cea mai indelungata impusa de un temei legal aplicabil prelucrarii acestor date.

9. DREPTURILE PERSOANELOR VIZATE

9.1. Principii generale

Salt Bank asigura tuturor persoanelor vizate exercitarea drepturilor prevazute de GDPR si trateaza cu maxima seriozitate si profesionalism fiecare solicitare. Va asiguram ca toate cererile sunt analizate individual, raspunsurile sunt documentate si ca se implementeaza masurile necesare pentru a asigura conformitatea procesarii datelor.

Exercitarea drepturilor este gratuita. Salt Bank poate solicita informatii suplimentare in situatia in care exista incertitudini rezonabile in procesele de verificare a identitatii solicitantului.

9.2. Dreptul de acces

Persoana vizata has dreptul de a solicita Salt Bank confirmarea ca ii sunt prelucrate datele, o copie a datelor prelucrate, informatii privind: scopurile, temeiurile, categoriile de date, destinatarii, perioada de stocare, drepturile aplicabile.

Salt Bank furnizeaza o copie gratuita. Copiile suplimentare pot fi taxate rezonabil, conform GDPR.

9.3. Dreptul la rectificare

Persoana vizata are dreptul de a solicita corectarea datelor personale inexacte sau completarea datelor personale incomplete. Salt Bank va actualiza datele fara intarzieri nejustificate.

9.4. Dreptul la stergere („dreptul de a fi uitat”)

Persoana vizata are dreptul de a cere stergerea datelor in urmatoarele situatii: nu mai sunt necesare pentru scopurile pentru care au fost colectate, a fost retras consimtamantul si nu exista alt temei legal plicabil prelucrarilor de date, datele au fost prelucrate ilegal sau stergerea este necesara pentru respectarea unei obligatii legale.

Salt Bank nu poate sterge datele care sunt pastrate in vederea indeplinirii unei obligatii legale (de ex. AML/KYC, fiscal, contabil, raportari obligatorii).

9.5. Dreptul la retragerea consimtamantului

In situatia in care o anumita prelucrare de date se bazeaza pe consimtamant ca temei legal, persoana vizata isi poate retrage in orice moment acordul cu privire la prelucrarea datelor. Retragerea consimtamantului nu afecteaza prelucrarile efectuate anterior, nu afecteaza calitatea de client si conduce implicit la incetarea prelucrarilor bazate pe consimtamant (ex. marketing).

9.6. Dreptul la opozitie

Persoana vizata are dreptul de a se opune prelucrarilor bazate pe interes legitim, pentru motive legate de situatia particulara in care se afla in momentul solicitarii sau prelucrarii in scopuri de marketing, caz in care opozitia este absoluta.

Salt Bank va analiza cererea si va informa persoana vizata daca opozitia poate fi acceptata.

9.7. Dreptul la restrictionarea prelucrarii

Persoana vizata poate solicita restrictionarea in cazul in care contesta exactitatea datelor (pe durata verificarii), in situatia in care prelucrarea este ilegala si persoana vizata prefera restrictionarea in locul stergerii, in cazul in care datele nu mai sunt necesare operatorului, dar persoana vizata are nevoie de date pentru apararea unui drept sau in cazul exercitarii dreptului la opozitie cu privire la prelucrari de date bazate pe interes legitim (pana la solutionarea analizei opozitiei).

Pe durata restrictionarii, datele nu sunt prelucrate decat cu acordul persoanei vizate sau pentru apararea unor drepturi legale.

9.8. Dreptul la portabilitatea datelor

Puteti solicita transferul datelor catre dumneavoastra sau catre un alt operator, intr-un format structurat, utilizat in mod curent, care poate fi citit automat (ex. XML, CSV). Acest drept se aplica doar datelor furnizate de persoana vizata, prelucrate in baza consimtamantului sau a contractului si  prin mijloace automate.

9.9. Drepturi privind deciziile individuale automatizate si profilarea

Persoanele vizate care au fost supuse unei decizii exclusiv automate care produce efecte juridice sau afecteaza semnificativ persoana au dreptul sa solicite interventie umana, sa isi exprime punctul de vedere sau sa conteste decizia.

Acest drept este explicat in detaliu in Capitolul 5 – Profilarea si deciziile automatizate.

9.10. Dreptul de a depune o plangere la autoritatea de supraveghere

In situatia in care considerati ca Salt Bank v-a incalcat drepturile, puteti depune plangere la:

Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal
B-dul G-ral Gheorghe Magheru 28–30, Sector 1, Bucuresti

E-mail: anspdcp@dataprotection.ro

9.11. Cum va puteti exercita drepturile la Salt Bank

Pentru exercitarea oricarui drept, puteti contacta Responsabilul cu Protectia Datelor (DPO), utilizand urmatoarele date de contact:

• e-mail:                         dpo@saltbank.ro
• adresa postala:           Salt Bank S.A., Bucuresti, Bd. Dimitrie Pompeiu, nr. 5-7, etaj 6, sector 2, 020335, cu mentiunea: „In atentia responsabilului cu protectia datelor (DPO)”

Pe masura ce serviciile digitale evolueaza, Salt Bank poate pune la dispozitie si functionalitati dedicate in aplicatie sau pe website.

Salt Bank raspunde solicitarilor in termenul prevazut de GDPR (maxim 1 luna de zile, cu posibilitate de prelungire in situatii complexe).

 

10. SECURITATEA DATELOR

10.1. Angajamentul Salt Bank privind securitatea datelor

Salt Bank implementeaza un cadru riguros de politici, proceduri si controale interne pentru a proteja datele personale impotriva accesului neautorizat, pierderii, modificarii, divulgarii neautorizate sau oricaror alte forme de prelucrare necorespunzatoare sau ilegale.

Cadrul de securitate este revizuit periodic pentru a asigura conformitatea cu legislatia aplicabila si cu cele mai inalte standarde de securitate a datelor.

Angajatii Salt Bank sunt instruiti in mod regulat in domeniul protectiei datelor si au obligatia de confidentialitate.

10.2. Masuri tehnice si organizatorice aplicate de Salt Bank

Salt Bank adopta masuri conforme art. 32 GDPR, incluzand controale avansate de securitate, pentru a garanta: confidentialitatea, integritatea, disponibilitatea si rezilienta sistemelor care prelucreaza date personale.

Principalele categorii de masuri sunt prezentate mai jos.

10.2.1. Criptarea si protejarea datelor este asigurata atat in tranzit cat si in repaus

10.2.2. Securitatea dispozitivelor utilizatorilor se realizeaza prin masuri specifice pentru protejarea interactiunii cu dispozitivul utilizatorului, inclusiv: detectarea dispozitivelor compromise (root/jailbreak), blocarea accesului in astfel de situatii, deconectarea automata dupa perioade de inactivitate, notificari si recomandari de securitate catre utilizatori.

10.2.3. Securitatea fizica si supravegherea spatiilor este asigurata prin Salt Bank protejeaza datele si prin masuri fizice, control acces in sediile bancii, camere CCTV (cu respectarea termenelor de retentie – vezi Capitolul 8), sisteme de securitate fizica si paza, protectia echipamentelor si serverelor.

10.2.4. Masuri pentru integritatea si disponibilitatea sistemelor utilizate de Salt Bank: sisteme redundante, replicare a datelor, copii de siguranta (backup), centre de date diferite geografic, planuri de continuitate si de refacere in caz de dezastru (DRP).

Toate sistemele sunt testate periodic pentru asigurarea continuitatii.

10.2.5. Gestionarea incidentelor de securitate

Salt Bank are implementate proceduri specializate pentru identificarea incidentelor, investigarea cauzelor, implementarea masurilor corective, evaluarea impactului asupra persoanelor vizate, documentarea si raportarea interna.

Notificarea incalcarilor de securitate (data breaches)

In situatia in care un incident este susceptibil sa produca un risc ridicat pentru drepturile persoanelor vizate, Salt Bank informeaza persoanele afectate fara intarzieri nejustificate, furnizeaza detalii despre incident si masurile recomandate, notifica autoritatea de supraveghere, in conditiile prevazute de GDPR.

11. ACTUALIZAREA POLITICII

11.1. Principiul actualizarii continue

Salt Bank isi revizuieste periodic Politica de confidentialitate pentru a reflecta modificarile legislative aplicabile, integra evolutiile tehnologice si de securitate, adapta procesele interne si operationale, oferi informatii clare, actuale si complete persoanelor vizate.

Aceasta abordare deriva din responsabilitatea operatorului de a asigura in mod constant conformitatea cu legislatia privind protectia datelor si de a proteja drepturile persoanelor vizate.
Salt Bank se angajeaza sa imbunatateasca permanent aceasta Politica si sa analizeze impactul oricaror modificari asupra persoanelor vizate.

11.2. Cand actualizam Politica

Politica poate fi modificata in urmatoarele situatii, fara ca aceasta lista sa fie exhaustiva:

• intrarea in vigoare a unor noi reglementari europene sau nationale privind protectia datelor;
• modificari in legislatia bancara, fiscala, AML, raportari obligatorii sau in alte norme aplicabile;
• introducerea unor produse, servicii, functionalitati sau canale digitale noi;
• modificarea proceselor interne relevante (ex. proceduri KYC, mecanisme antifrauda, integrarea unor noi sisteme informatice);
• clarificari necesare in urma unor intrebari recurente primite din partea clientilor;
• recomandari ale autoritatii de supraveghere;
• schimbari in modul de organizare sau functionare al Salt Bank care implica prelucrarea datelor.

Aceste motive sunt in deplin acord cu practica operatorilor bancari privind evaluarea periodica a proceselor de prelucrare a datelor personale.

11.3. Politica privinde Protectia Datelor Personale

 este elaborata de catre Ofiterul de Protectia Datelor din cadrul Salt Bank si este supusa aprobarii Consiliul de Administratie al Salt Bank S.A.

11.4. Politica privinde Protectia Datelor Personale

 este un document public, accesibil tuturor categoriilor de persoane vizate prin publicarea pe website-ul corporate al Salt Bank S.A. la adresa:

• https://salt.bank/privacy-hub/politica-privind-protectia-datelor-personale

11.5. Prevederile prezentei Politici privind Protectia Datelor Personale din cadrul Salt Bank

se aplica incepand cu data de 15.03.2026, ulterior aprobarii sale in Consiliul de Administratie al Salt Bank S.A.