Termeni și condiții

1. Precizări generale

(1.1) "Sistemul național electronic de plată online a taxelor si impozitelor utilizând cardul bancar" (S.N.E.P.), ca parte componentă a Sistemului electronic național (S.E.N.), reprezintă un ghișeu virtual prin intermediul căruia persoanele fizice si persoanele fizice autorizate pot efectua plăți prin internet cu carduri bancare către instituțiile înrolate.

(1.2) Conceptul S.N.E.P. vizează crearea unui punct centralizat de încasare electronică a tuturor tipurilor de datorii catre orice instituție.

(1.3) S.N.E.P. nu gestionează datoriile către instituții ci, prin intermediul lui se gestionează plățile aferente, funcționând integrat cu sistemele informatice de gestiune a taxelor si impozitelor proprii ale instituțiilor.

(1.4) www.ghiseul.ro (incluzând subdomeniile sale) este site-ul oficial al Sistemului național electronic de plată online (S.N.E.P.) operat de către Autoritatea pentru Digitalizarea României.

(1.5) Funcționarea S.N.E.P. este reglementată prin HG nr. 1235/2010.

2. Răspundere

(2.1) S.N.E.P. permite încasarea taxelor si impozitelor pe baza informațiilor furnizate de către instituțiile înrolate. Operatorul S.N.E.P. nu este raspunzător de acuratețea sau legalitatea informațiilor pe baza cărora se fac încasările.

(2.2) în cazul operațiunilor fără autentificare sau a taxelor fără debit, utilizatorul este răspunzător pentru selectarea corectă a instituției beneficiare, selectarea tipului de taxă (sau impozit) si de introducerea corectă a sumei pe care o plătește. Recuperarea sumelor plătite nedatorate se poate face doar în relație directă cu beneficiarul plății, in condițiile stabilite de acesta.

(2.3) Autorizarea plăților se face prin procesatori de plăți parteneri. S.N.E.P. nu preia, și implicit nu prelucrează si nu stochează nici un fel de date referitoare la cardurile bancare. Aceste date sunt introduse de utilizator direct si exclusiv in sistemele procesatorilor de plăți prin interfețele acestora, în termenii si condițiile proprii acestora.

(2.4) Derularea fluxului financiar de decontare a plății este in sarcina instituției acceptatoare si instituției beneficiare și nu implică răspunderea operatorului S.N.E.P.. Prin S.N.E.P. se asigură fluxul informațional paralel necesar reconcilierii plăților.

(2.5) Operatorul S.N.E.P. nu este responsabil de încasarea incorectă a taxelor si impozitelor sau consecințele care derivă din aceasta. Operatorul S.N.E.P. va furniza către organele abilitate toate informațiile necesare soluționării litigiilor. Orice litigiu se soluționează în relația dintre plătitor, banca emitentă a cardului, instituția acceptatoare si instituția beneficiară.

(2.6) Operatorul S.N.E.P. întreprindre operațiuni permanente de menținere in funcțiune a sistemului la parametrii rezonabili de utilizare. Totuși, acesta nu poate fi făcut răspunzător de consecințele nefuncționarii sistemului din motive tehnice sau de altă natură.

3. Drepturi și obligații cu privire la respectarea regulilor privind prelucrarea datelor cu caracter personal în condițiile achitării de către contribuabili a obligațiilor fiscale prin intermediul platformei ”ghiseul.ro”

3.1. Achitarea obligațiilor fiscale prin intermediul platformei ”Ghișeul.ro”

În urma încheierii Convenției între Agenția Națională de Administrare Fiscală (A.N.A.F.) și Autoritatea pentru Digitalizarea României, denumită în continuare ”Convenția”, contribuabilii persoane fizice pot opta pentru achitarea utilizând cardul bancar în sistem online a obligațiilor fiscale administrate și colectate de A.N.A.F., prin intermediul Sistemului național electronic de plată (S.N.E.P.) numai cu condiția autentificării acestora pe site-ul www.ghiseul.ro.

Obligațiile fiscale care pot fi plătile de contribuabilii persoane fizice, prin intermediul S.N.E.P., sunt stabilite prin Ordinul ministrului finanțelor publice nr. 1376/2016 privind tipurile de creanțe fiscale care pot fi plătite prin intermediul cardurilor bancare în sistem online prin intermediul Sistemului Național Electronic de Plată (SNEP), completat prin Ordinul ministrului finanțelor publice nr. 2435/2016.

În vederea creării condițiilor tehnice necesare achitării de către contribuabilii persoane fizice a obligațiilor fiscale datorate, cu respectarea drepturilor și obligațiilor stipulate în Convenție, Agenția Națională de Administrare Fiscală (A.N.A.F.) furnizează Autorității pentru Digitalizarea României umătoarele informații:

- principalele date de identificare ale contribuabililor persoane fizice (CNP/NIF, nume, prenume, adresă) care optează pentru utilizarea SNEP;

- obligațiile fiscale datorate astfel cum sunt acestea furnizate și actualizate de către organul fiscal central competent, respectiv:

a) tipul de impozit, taxă, contribuție socială sau altă sumă datorată bugetului general consolidat;

b) suma de plată, reprezentând soldul obligațiilor fiscale restante și obligațiile fiscale accesorii (dobândă, penalitate de întârziere, penalitate de nedeclarare, etc.);

c) informații cu privire la cuantumul sumei de plată a obligațiilor fiscale a căror scadență nu s-a împlinit, în măsura în care acestea sunt evidențiate în titlurile de creanță, comunicate contribuabilului;

d) codul IBAN corespunzător obligației fiscale;

e) numărul de evidență al plății, după caz.

3.2. Drepturile și obligațiile contribuabililor persoane fizice ale căror date cu caracter personal sunt prelucrate și cum sunt acestea protejate:

3.2.1. Drepturi

Datele cu caracter personal mai sus menționate sunt deținute de A.N.A.F., urmare competențelor sale legale, în scopul îndeplinirii funcțiilor prevăzute în H.G. nr. 520/2013, cu modificările și completările ulterioare, și sunt prelucrate cu respectarea prevederilor din Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor).

Drepturile contribuabililor persoane fizice care optează să utilizeze sistemul online de plată Ghișeul.ro pentru plata impozitelor și taxelor datorate A.N.A.F. sunt clar stabilite Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor):

ART. 13. Informaţii care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată

(1) În cazul în care datele cu caracter personal referitoare la o persoană vizată sunt colectate de la aceasta, operatorul, în momentul obţinerii acestor date cu caracter personal, furnizează persoanei vizate toate informaţiile următoare:

(a) identitatea şi datele de contact ale operatorului şi, după caz, ale reprezentantului acestuia;

(b) datele de contact ale responsabilului cu protecţia datelor, după caz;

(c) scopurile în care sunt prelucrate datele cu caracter personal, precum şi temeiul juridic al prelucrării;

(d) în cazul în care prelucrarea se face în temeiul articolului 6 alineatul (1) litera (f), interesele legitime urmărite de operator sau de o parte terţă;

(e) destinatarii sau categoriile de destinatari ai datelor cu caracter personal;

(f) dacă este cazul, intenţia operatorului de a transfera date cu caracter personal către o ţară terţă sau o organizaţie internaţională şi existenţa sau absenţa unei decizii a Comisiei privind caracterul adecvat sau, în cazul transferurilor menţionate la articolul 46 sau 47 sau la articolul 49 alineatul (1) al doilea paragraf, o trimitere la garanţiile adecvate sau corespunzătoare şi la mijloacele de a obţine o copie a acestora, în cazul în care acestea au fost puse la dispoziţie.

(2) În plus faţă de informaţiile menţionate la alineatul (1), în momentul în care datele cu caracter personal sunt obţinute, operatorul furnizează persoanei vizate următoarele informaţii suplimentare necesare pentru a asigura o prelucrare echitabilă şi transparentă:

(a) perioada pentru care vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;

(b) existenţa dreptului de a solicita operatorului, în ceea ce priveşte datele cu caracter personal referitoare la persoana vizată, accesul la acestea, rectificarea sau ştergerea acestora sau restricţionarea prelucrării sau a dreptului de a se opune prelucrării, precum şi a dreptului la portabilitatea datelor;

(c) atunci când prelucrarea se bazează pe articolul 6 alineatul (1) litera (a) sau pe articolul 9 alineatul (2) litera (a), existenţa dreptului de a retrage consimţământul în orice moment, fără a afecta legalitatea prelucrării efectuate pe baza consimţământului înainte de retragerea acestuia;

(d) dreptul de a depune o plângere în faţa unei autorităţi de supraveghere;

(e) dacă furnizarea de date cu caracter personal reprezintă o obligaţie legală sau contractuală sau o obligaţie necesară pentru încheierea unui contract, precum şi dacă persoana vizată este obligată să furnizeze aceste date cu caracter personal şi care sunt eventualele consecinţe ale nerespectării acestei obligaţii;

(f) existenţa unui proces decizional automatizat incluzând crearea de profiluri, menţionat la articolul 22 alineatele (1) şi (4), precum şi, cel puţin în cazurile respective, informaţii pertinente privind logica utilizată şi privind importanţa şi consecinţele preconizate ale unei astfel de prelucrări pentru persoana vizată.

(3) În cazul în care operatorul intenţionează să prelucreze ulterior datele cu caracter personal într-un alt scop decât cel pentru care acestea au fost colectate, operatorul furnizează persoanei vizate, înainte de această prelucrare ulterioară, informaţii privind scopul secundar respectiv şi orice informaţii suplimentare relevante, în conformitate cu alineatul (2).

(4) Alineatele (1), (2) şi (3) nu se aplică dacă şi în măsura în care persoana vizată deţine deja informaţiile respective.

ART. 14 Informaţii care se furnizează în cazul în care datele cu caracter personal nu au fost obţinute de la persoana vizată

(1) În cazul în care datele cu caracter personal nu au fost obţinute de la persoana vizată, operatorul furnizează persoanei vizate următoarele informaţii:

(a) identitatea şi datele de contact ale operatorului şi, după caz, ale reprezentantului acestuia;

(b) datele de contact ale responsabilului cu protecţia datelor, după caz;

(c) scopurile în care sunt prelucrate datele cu caracter personal, precum şi temeiul juridic al prelucrării;

(d) categoriile de date cu caracter personal vizate;

(e) destinatarii sau categoriile de destinatari ai datelor cu caracter personal, după caz;

(f) dacă este cazul, intenţia operatorului de a transfera date cu caracter personal către un destinatar dintr-o ţară terţă sau o organizaţie internaţională şi existenţa sau absenţa unei decizii a Comisiei privind caracterul adecvat sau, în cazul transferurilor menţionate la articolul 46 sau 47 sau la articolul 49 alineatul (1) al doilea paragraf, o trimitere la garanţiile adecvate sau corespunzătoare şi la mijloacele de a obţine o copie a acestora, în cazul în care acestea au fost puse la dispoziţie.

(2) Pe lângă informaţiile menţionate la alineatul (1), operatorul furnizează persoanei vizate următoarele informaţii necesare pentru a asigura o prelucrare echitabilă şi transparentă în ceea ce priveşte persoana vizată:

(a) perioada pentru care vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;

(b) în cazul în care prelucrarea se face în temeiul articolului 6 alineatul (1) litera (f), interesele legitime urmărite de operator sau de o parte terţă;

(c) existenţa dreptului de a solicita operatorului, în ceea ce priveşte datele cu caracter personal referitoare la persoana vizată, accesul la acestea, rectificarea sau ştergerea acestora sau restricţionarea prelucrării şi a dreptului de a se opune prelucrării, precum şi a dreptului la portabilitatea datelor;

(d) atunci când prelucrarea se bazează pe articolul 6 alineatul (1) litera (a) sau pe articolul 9 alineatul (2) litera (a), existenţa dreptului de a retrage consimţământul în orice moment, fără a afecta legalitatea prelucrării efectuate pe baza consimţământului înainte de retragerea acestuia;

(e) dreptul de a depune o plângere în faţa unei autorităţi de supraveghere;

(f) sursa din care provin datele cu caracter personal şi, dacă este cazul, dacă acestea provin din surse disponibile public;

(g) existenţa unui proces decizional automatizat incluzând crearea de profiluri, menţionat la articolul 22 alineatele (1) şi (4), precum şi, cel puţin în cazurile respective, informaţii pertinente privind logica utilizată şi privind importanţa şi consecinţele preconizate ale unei astfel de prelucrări pentru persoana vizată.

(3) Operatorul furnizează informaţiile menţionate la alineatele (1) şi (2):

(a) într-un termen rezonabil după obţinerea datelor cu caracter personal, dar nu mai mare de o lună, ţinându-se seama de circumstanţele specifice în care sunt prelucrate datele cu caracter personal;

(b) dacă datele cu caracter personal urmează să fie utilizate pentru comunicarea cu persoana vizată, cel târziu în momentul primei comunicări către persoana vizată respectivă; sau

(c) dacă se intenţionează divulgarea datelor cu caracter personal către un alt destinatar, cel mai târziu la data la care acestea sunt divulgate pentru prima oară.

(4) În cazul în care operatorul intenţionează să prelucreze ulterior datele cu caracter personal într-un alt scop decât cel pentru care acestea au fost obţinute, operatorul furnizează persoanei vizate, înainte de această prelucrare ulterioară, informaţii privind scopul secundar respectiv şi orice informaţii suplimentare relevante, în conformitate cu alineatul (2).

(5) Alineatele (1) - (4) nu se aplică dacă şi în măsura în care:

(a) persoana vizată deţine deja informaţiile;

(b) furnizarea acestor informaţii se dovedeşte a fi imposibilă sau ar implica eforturi disproporţionate, în special în cazul prelucrării în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice, sub rezerva condiţiilor şi a garanţiilor prevăzute la articolul 89 alineatul (1), sau în măsura în care obligaţia menţionată la alineatul (1) din prezentul articol este susceptibil să facă imposibilă sau să afecteze în mod grav realizarea obiectivelor prelucrării respective. În astfel de cazuri, operatorul ia măsuri adecvate pentru a proteja drepturile, libertăţile şi interesele legitime ale persoanei vizate, inclusiv punerea informaţiilor la dispoziţia publicului;

(c) obţinerea sau divulgarea datelor este prevăzută în mod expres de dreptul Uniunii sau de dreptul intern sub incidenţa căruia intră operatorul şi care prevede măsuri adecvate pentru a proteja interesele legitime ale persoanei vizate; sau

(d) în cazul în care datele cu caracter personal trebuie să rămână confidenţiale în temeiul unei obligaţii statutare de secret profesional reglementate de dreptul Uniunii sau de dreptul intern, inclusiv al unei obligaţii legale de a păstra secretul.

ART. 15 Dreptul de acces al persoanei vizate

(1) Persoana vizată are dreptul de a obţine din partea operatorului o confirmare că se prelucrează sau nu date cu caracter personal care o privesc şi, în caz afirmativ, acces la datele respective şi la următoarele informaţii:

(a) scopurile prelucrării;

(b) categoriile de date cu caracter personal vizate;

(c) destinatarii sau categoriile de destinatari cărora datele cu caracter personal le-au fost sau urmează să le fie divulgate, în special destinatari din ţări terţe sau organizaţii internaţionale;

(d) acolo unde este posibil, perioada pentru care se preconizează că vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;

(e) existenţa dreptului de a solicita operatorului rectificarea sau ştergerea datelor cu caracter personal ori restricţionarea prelucrării datelor cu caracter personal referitoare la persoana vizată sau a dreptului de a se opune prelucrării;

(f) dreptul de a depune o plângere în faţa unei autorităţi de supraveghere;

(g) în cazul în care datele cu caracter personal nu sunt colectate de la persoana vizată, orice informaţii disponibile privind sursa acestora;

(h) existenţa unui proces decizional automatizat incluzând crearea de profiluri, menţionat la articolul 22 alineatele (1) şi (4), precum şi, cel puţin în cazurile respective, informaţii pertinente privind logica utilizată şi privind importanţa şi consecinţele preconizate ale unei astfel de prelucrări pentru persoana vizată.

(2) În cazul în care datele cu caracter personal sunt transferate către o ţară terţă sau o organizaţie internaţională, persoana vizată are dreptul să fie informată cu privire la garanţiile adecvate în temeiul articolului 46 referitoare la transfer.

(3) Operatorul furnizează o copie a datelor cu caracter personal care fac obiectul prelucrării. Pentru orice alte copii solicitate de persoana vizată, operatorul poate percepe o taxă rezonabilă, bazată pe costurile administrative. În cazul în care persoana vizată introduce cererea în format electronic şi cu excepţia cazului în care persoana vizată solicită un alt format, informaţiile sunt furnizate într-un format electronic utilizat în mod curent.

(4) Dreptul de a obţine o copie menţionată la alineatul (3) nu aduce atingere drepturilor şi libertăţilor altora.

ART. 16 Dreptul la rectificare

Persoana vizată are dreptul de a obține de la operator, fără întârzieri nejustificate, rectificarea datelor cu caracter personal inexacte care o privesc. Ținându-se seama de scopurile în care au fost prelucrate datele, persoana vizată are dreptul de a obține completarea datelor cu caracter personal care sunt incomplete, inclusiv prin furnizarea unei declarații suplimentare.

ART. 17 Dreptul la ştergerea datelor ("dreptul de a fi uitat")

(1) Persoana vizată are dreptul de a obține din partea operatorului ștergerea datelor cu caracter personal care o privesc, fără întârzieri nejustificate, iar operatorul are obligația de a șterge datele cu caracter personal fără întârzieri nejustificate în cazul în care se aplică unul dintre următoarele motive:

(a) datele cu caracter personal nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate;

(b) persoana vizată își retrage consimțământul pe baza căruia are loc prelucrarea, în conformitate cu articolul 6 alineatul (1) litera (a) sau cu articolul 9 alineatul (2) litera (a), şi nu există niciun alt temei juridic pentru prelucrarea;

(c) persoana vizată se opune prelucrării în temeiul articolului 21 alineatul (1) și nu există motive legitime care să prevaleze în ceea ce privește prelucrarea sau persoana vizată se opune prelucrării în temeiul articolului 21 alineatul (2);

(d) datele cu caracter personal au fost prelucrate ilegal;

(e) datele cu caracter personal trebuie șterse pentru respectarea unei obligații legale care revine operatorului în temeiul dreptului Uniunii sau al dreptului intern sub incidența căruia se află operatorul;

(f) datele cu caracter personal au fost colectate în legătură cu oferirea de servicii ale societăţii informaţionale menţionate la articolul 8 alineatul (1).

(2) În cazul în care operatorul a făcut publice datele cu caracter personal şi este obligat, în temeiul alineatului (1), să le şteargă, operatorul, ţinând seama de tehnologia disponibilă şi de costul implementării, ia măsuri rezonabile, inclusiv măsuri tehnice, pentru a informa operatorii care prelucrează datele cu caracter personal că persoana vizată a solicitat ştergerea de către aceşti operatori a oricăror linkuri către datele respective sau a oricăror copii sau reproduceri ale acestor date cu caracter personal.

(3) Alineatele (1) şi (2a) nu se aplică în măsura în care prelucrarea este necesară:

(a) pentru exercitarea dreptului la liberă exprimare şi la informare;

(b) pentru respectarea unei obligaţii legale care prevede prelucrarea în temeiul dreptului Uniunii sau al dreptului intern care se aplică operatorului sau pentru îndeplinirea unei sarcini executate în interes public sau în cadrul exercitării unei autorităţi oficiale cu care este învestit operatorul;

(c) din motive de interes public în domeniul sănătăţii publice, în conformitate cu articolul 9 alineatul (2) literele (h) şi (i) şi cu articolul 9 alineatul (3);

(d) în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice, în conformitate cu articolul 89 alineatul (1), în măsura în care dreptul menţionat la alineatul (1) este susceptibil să facă imposibilă sau să afecteze în mod grav realizarea obiectivelor prelucrării respective; sau

(e) pentru constatarea, exercitarea sau apărarea unui drept în instanţă.

ART. 18 Dreptul la restricţionarea prelucrării

(1) Persoana vizată are dreptul de a obţine din partea operatorului restricţionarea prelucrării în cazul în care se aplică unul din următoarele cazuri:

(a) persoana vizată contestă exactitatea datelor, pentru o perioadă care îi permite operatorului să verifice exactitatea datelor;

(b) prelucrarea este ilegală, iar persoana vizată se opune ştergerii datelor cu caracter personal, solicitând în schimb restricţionarea utilizării lor;

(c) operatorul nu mai are nevoie de datele cu caracter personal în scopul prelucrării, dar persoana vizată i le solicită pentru constatarea, exercitarea sau apărarea unui drept în instanţă; sau

(d) persoana vizată s-a opus prelucrării în conformitate cu articolul 21 alineatul (1), pentru intervalul de timp în care se verifică dacă drepturile legitime ale operatorului prevalează asupra celor ale persoanei vizate.

(2) În cazul în care prelucrarea a fost restricţionată în temeiul alineatului (1), astfel de date cu caracter personal pot, cu excepţia stocării, să fie prelucrate numai cu consimţământul persoanei vizate sau pentru constatarea, exercitarea sau apărarea unui drept în instanţă sau pentru protecţia drepturilor unei alte persoane fizice sau juridice sau din motive de interes public important al Uniunii sau al unui stat membru.

(3) O persoană vizată care a obţinut restricţionarea prelucrării în temeiul alineatului (1) este informată de către operator înainte de ridicarea restricţiei de prelucrare.

ART. 19 Obligaţia de notificare privind rectificarea sau ştergerea datelor cu caracter personal sau restricţionarea prelucrării

Operatorul comunică fiecărui destinatar căruia i-au fost divulgate datele cu caracter personal orice rectificare sau ştergere a datelor cu caracter personal sau restricţionare a prelucrării efectuate în conformitate cu articolul 16, articolul 17 alineatul (1) şi articolul 18, cu excepţia cazului în care acest lucru se dovedeşte imposibil sau presupune eforturi disproporţionate. Operatorul informează persoana vizată cu privire la destinatarii respectivi dacă persoana vizată solicită acest lucru.

ART. 20 Dreptul la portabilitatea datelor

(1) Persoana vizată are dreptul de a primi datele cu caracter personal care o privesc şi pe care le-a furnizat operatorului într-un format structurat, utilizat în mod curent şi care poate fi citit automat şi are dreptul de a transmite aceste date altui operator, fără obstacole din partea operatorului căruia i-au fost furnizate datele cu caracter personal, în cazul în care:

(a) prelucrarea se bazează pe consimţământ în temeiul articolului 6 alineatul (1) litera (a) sau al articolului 9 alineatul (2) litera (a) sau pe un contract în temeiul articolului 6 alineatul (1) litera (b); şi

(b) prelucrarea este efectuată prin mijloace automate.

(2) În exercitarea dreptului său la portabilitatea datelor în temeiul alineatului (1), persoana vizată are dreptul ca datele cu caracter personal să fie transmise direct de la un operator la altul acolo unde acest lucru este fezabil din punct de vedere tehnic.

(3) Exercitarea dreptului menţionat la alineatul (1) din prezentul articol nu aduce atingere articolului 17. Respectivul drept nu se aplică prelucrării necesare pentru îndeplinirea unei sarcini executate în interes public sau în cadrul exercitării unei autorităţi oficiale cu care este învestit operatorul.

(4) Dreptul menţionat la alineatul (1) nu aduce atingere drepturilor şi libertăţilor altora.

ART. 21 Dreptul la opoziţie

(1) În orice moment, persoana vizată are dreptul de a se opune, din motive legate de situaţia particulară în care se află, prelucrării în temeiul articolului 6 alineatul (1) litera (e) sau (f) sau al articolului 6 alineatul (1) a datelor cu caracter personal care o privesc, inclusiv creării de profiluri pe baza respectivelor dispoziţii. Operatorul nu mai prelucrează datele cu caracter personal, cu excepţia cazului în care operatorul demonstrează că are motive legitime şi imperioase care justifică prelucrarea şi care prevalează asupra intereselor, drepturilor şi libertăţilor persoanei vizate sau că scopul este constatarea, exercitarea sau apărarea unui drept în instanţă.

(2) Atunci când prelucrarea datelor cu caracter personal are drept scop marketingul direct, persoana vizată are dreptul de a se opune în orice moment prelucrării în acest scop a datelor cu caracter personal care o privesc, inclusiv creării de profiluri, în măsura în care este legată de marketingul direct respectiv.

(3) În cazul în care persoana vizată se opune prelucrării în scopul marketingului direct, datele cu caracter personal nu mai sunt prelucrate în acest scop.

(4) Cel târziu în momentul primei comunicări cu persoana vizată, dreptul menţionat la alineatele (1) şi (2) este adus în mod explicit în atenţia persoanei vizate şi este prezentat în mod clar şi separat de orice alte informaţii.

(5) În contextual utilizării serviciilor societăţii informaţionale şi în pofida Directivei 2002/58/CE, persoana vizată îşi poate exercita dreptul de a se opune prin mijloace automate care utilizează specificaţii tehnice.

(6) În cazul în care datele cu caracter personal sunt prelucrate în scopuri de cercetare ştiinţifică sau istorică sau în scopuri statistice în conformitate cu articolul 89 alineatul (1), persoana vizată, din motive legate de situaţia sa particulară, are dreptul de a se opune prelucrării datelor cu caracter personal care o privesc, cu excepţia cazului în care prelucrarea este necesară pentru îndeplinirea unei sarcini din motive de interes public.

ART. 22 Procesul decizional individual automatizat, inclusiv crearea de profiluri

(1) Persoana vizată are dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, care produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă.

(2) Alineatul (1) nu se aplică în cazul în care decizia:

(a) este necesară pentru încheierea sau executarea unui contract între persoana vizată şi un operator de date;

(b) este autorizată prin dreptul Uniunii sau dreptul intern care se aplică operatorului şi care prevede, de asemenea, măsuri corespunzătoare pentru protejarea drepturilor, libertăţilor şi intereselor legitime ale persoanei vizate; sau

(c) are la bază consimţământul explicit al persoanei vizate.

(3) În cazurile menţionate la alineatul (2) literele (a) şi (c), operatorul de date pune în aplicare măsuri corespunzătoare pentru protejarea drepturilor, libertăţilor şi intereselor legitime ale persoanei vizate, cel puţin dreptul acesteia de a obţine intervenţie umană din partea operatorului, de a-şi exprima punctul de vedere şi de a contesta decizia.

(4) Deciziile menţionate la alineatul (2) nu au la bază categoriile speciale de date cu caracter personal menţionate la articolul 9 alineatul (1), cu excepţia cazului în care se aplică articolul 9 alineatul (2) litera (a) sau (g) şi în care au fost instituite măsuri corespunzătoare pentru protejarea drepturilor, libertăţilor şi intereselor legitime ale persoanei vizate.

Atât A.N.A.F, cât și Autoritatea pentru Digitalizarea României au obligația respectării confidențialității prelucrărilor și securității datelor, trebuind să aplice măsurile necesare pentru protejarea datelor cu caracter personal și să asigure un nivel de securitate adecvat în ceea ce privește riscurile pe care le reprezintă prelucrarea, precum și în ceea ce privește natura datelor care trebuie protejate.

3.2.2. Obligații

În vederea protejării datelor cu caracter personal, contribuabilii care au optat pentru plata în sistem online prin intermediul SNEP a obligațiilor fiscale datorate A.N.A.F. și care s-au autentificat pe platforma www.ghiseul.ro, își asumă responsabilitatea asigurării controlului asupra elementelor de identificare și autentificare în SNEP, luând toate măsurile care se impun pentru a preveni pierdearea, dezvăluirea sau utilizarea neautorizată a acestora.

În cazul în care contribuabilii pierd datele de identificare și/sau autentificare pe platforma www.ghiseul.ro au obligația de a solicita noi date, pentru ca astfel datele cu caracter personal să nu intre în posesia unor terțe persoane.

3.4. Consimțământul contribuabililor persoane fizice

3.4. 1. Principii legate de prelucrarea datelor cu caracter personal

În conformitate cu prevederile art. 5 din Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor), datele cu caracter personal sunt:

(a) prelucrate în mod legal, echitabil şi transparent faţă de persoana vizată ("legalitate, echitate şi transparenţă");

(b) colectate în scopuri determinate, explicite şi legitime şi nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri; prelucrarea ulterioară în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice nu este considerată incompatibilă cu scopurile iniţiale, în conformitate cu articolul 89 alineatul (1) ("limitări legate de scop");

(c) adecvate, relevante şi limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate ("reducerea la minimum a datelor");

(d) exacte şi, în cazul în care este necesar, să fie actualizate; trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt şterse sau rectificate fără întârziere ("exactitate");

(e) păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depăşeşte perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele; datele cu caracter personal pot fi stocate pe perioade mai lungi în măsura în care acestea vor fi prelucrate exclusiv în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice, în conformitate cu articolul 89 alineatul (1), sub rezerva punerii în aplicare a măsurilor de ordin tehnic şi organizatoric adecvate prevăzute în prezentul regulament în vederea garantării drepturilor şi libertăţilor persoanei vizate ("limitări legate de stocare");

(f) prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecţia împotriva prelucrării neautorizate sau ilegale şi împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare ("integritate şi confidenţialitate").

(2) Operatorul este responsabil de respectarea alineatului (1) şi poate demonstra această respectare ("responsabilitate").

3.4.2. Legalitatea prelucrării datelor cu caracter personal aparținând contribuabililor persoane fizice

Operatorul S.N.E.P. prelucrază datele cu caracter personal aparținând contribuabilor numai în condițiile în care:

(a) persoana vizată şi-a dat consimţământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;

(b) prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;

(c) prelucrarea este necesară în vederea îndeplinirii unei obligaţii legale care îi revine operatorului;

(d) prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;

(e) prelucrarea este necesară pentru îndeplinirea unei sarcini care serveşte unui interes public sau care rezultă din exercitarea autorităţii publice cu care este învestit operatorul;

(f) prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terţă, cu excepţia cazului în care prevalează interesele sau drepturile şi libertăţile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.

Scopul prelucrării este stabilit pe baza respectivului temei juridic.

În cazul în care prelucrarea în alt scop decât cel pentru care datele cu caracter personal au fost colectate nu se bazează pe consimţământul persoanei vizate sau pe dreptul Uniunii sau dreptul intern, care constituie o măsură necesară şi proporţională într-o societate democratică, operatorul, pentru a stabili dacă prelucrarea în alt scop este compatibilă cu scopul pentru care datele cu caracter personal au fost colectate iniţial, ia în considerare, printre altele:

(a) orice legătură dintre scopurile în care datele cu caracter personal au fost colectate şi scopurile prelucrării ulterioare preconizate;

(b) contextul în care datele cu caracter personal au fost colectate, în special în ceea ce priveşte relaţia dintre persoanele vizate şi operator;

(c) natura datelor cu caracter personal, în special în cazul prelucrării unor categorii speciale de date cu caracter personal;

(d) posibilele consecinţe asupra persoanelor vizate ale prelucrării ulterioare preconizate;

(e) existenţa unor garanţii adecvate, care pot include criptarea sau pseudonimizarea.

3.4.3. Consimțământul contribuabililor persoane fizice

Contribuabilii care optează pentru plata obligațiilor fiscale în sistem online, înțeleg să-și dea consimțământul cu privire la transmiterea de către A.N.A.F. Autorității pentru Digitalizarea României a datelor personale și a informațiilor fiscale , în vederea creării condițiilor necesare derulării procesului de plata a impozitelor și taxelor prin intermediul www.ghiseul.ro.

Potrivit prevederilor art. 7 din Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor) se vor respecta următoarele condiţii privind consimţământul:

"(1) În cazul în care prelucrarea se bazează pe consimţământ, operatorul trebuie să fie în măsură să demonstreze că persoana vizată şi-a dat consimţământul pentru prelucrarea datelor sale cu caracter personal.

(2) În cazul în care consimţământul persoanei vizate este dat în contextul unei declaraţii scrise care se referă şi la alte aspecte, cererea privind consimţământul trebuie să fie prezentată într-o formă care o diferenţiază în mod clar de celelalte aspecte, într-o formă inteligibilă şi uşor accesibilă, utilizând un limbaj clar şi simplu.

(3) Persoana vizată are dreptul să îşi retragă în orice moment consimţământul. Retragerea consimţământului nu afectează legalitatea prelucrării efectuate pe baza consimţământului înainte de retragerea acestuia. Înainte de acordarea consimţământului, persoana vizată este informată cu privire la acest lucru. Retragerea consimţământului se face la fel de simplu ca acordarea acestuia.

(4) Atunci când se evaluează dacă consimţământul este dat în mod liber, se ţine seama cât mai mult de faptul că, printre altele, executarea unui contract, inclusiv prestarea unui serviciu, este condiţionată sau nu de consimţământul cu privire la prelucrarea datelor cu caracter personal care nu este necesară pentru executarea acestui contract” .

4. Prelucrarea datelor cu caracter personal în contextul operațiunilor de plată a facturilor furnizorilor de utilități prin intermediul platformei Ghiseul.ro

Ghiseul.ro oferă posibilitatea utilizatorilor săi plata facturilor de utilități către furnizorii înrolați pe platforma Ghiseul.ro. Acest proces implică prelucrarea datelor cu caracter personal de către următoarele părți:

- Autoritatea pentru Digitalizarea României;

- Furnizorul înrolat pe platforma Ghiseul.ro – denumit în cele ce urmează Furnizorul. Lista furnizorilor care dețin o Convenție în vigoare și datele acestora de identificare se regăsește în Anexa 1 la acest document.

- Instituția bancară - emitenta cardului bancar deținut de Utilizatorul platformei Ghiseul.ro

- procesatorul de plăți.

Aceste părți vor acționa, în raport cu datele cu caracter personal ale persoanelor vizate - utilizatori ai platformei Ghiseul.ro, ca și Operatori de date independenți.

4.1 Scopul prelucrării datelor și categoriile de persoane vizate

Scopurile prelucrării datelor sunt următoarele :

a) Furnizarea serviciului / funcționalității tehnice de plată a facturilor Furnizorilor prin intermediul platformei Ghiseul.ro.

b) Prevenirea fraudelor și gestionarea disputelor, litigiilor și investigațiilor (interne sau cele declanșate de autorități)

4.2. Descrierea procesului

Pentru realizarea unei plăți către un anumit Furnizor, utilizatorul trebuie să îndeplinească următoarele condiții :

a) Să fie utilizator înrolat pe platforma ghiseul.ro;

b) Să fie titularul unui contract de prestări servicii încheiat cu Furnizorul;

c) Să fie titularul unui card bancar emis de o instituție bancară;

d) Să selecteze tab-ului denumit Plăți Furnizori din meniul Utilitati,

e) Să aleagă Furnizorul ale cărui facturi dorește să le achite

f) Să transmită o solicitare de interogare a sumelor datorate Furnizorului. Interogare în sistemul Furnizorului se va realiza în baza CNP-ului utilizatorului

g) Să opereze plata online prin introducerea datelor cardului deținut de utilizator

4.3 Datele prelucrate, temeiul prelucrării și sursa datelor

Pentru realizarea procesului de interogare si plată a facturilor, Furnizorul și Autoritatea pentru Digitalizarea României vor prelucra un set minim de date cu caracter personal:

Date

Mecanism

Sursa datelor

Temei de prelucrare

CNP-ul utilizatorului

În baza acestui criteriu unic de identificare la nivel național utilizatorul va transmite cererea de interogare a bazei de date a Furnizorului

Persoana vizata

Consimțământul persoanei vizate

Date despre factura (număr) și sumele datorate

Aceste date sunt returnare de Furnizor ca urmare a cererii transmise de utilizator

Furnizorul

Executarea contractului

Numărul cardului bancar deținut de utilizator, banca emitentă și data de expirare

Aceste date sunt prelucrate pentru realizarea procesului de plată

Persoana vizata

Executarea contractului, obligație legală

Data și ora plății, validarea / invalidarea plății.

Aceste date sunt prelucrare pentru finalizarea procesului de plată

Autoritatea pentru Digitalizarea României

Executarea contractului, Obligație legală

4.4 Locul și durata prelucrării

Datele sunt prelucrate pe serverele Autorității pentru Digitalizarea Romaniei localizate în România.

4.5 Drepturile persoanelor vizate

a) Atunci când vi se prelucrează date cu caracter personal în scopul realizării plăților către Furnizorul de utilități, aveți anumite drepturi fundamentale. Aceste drepturi au fost déjà detaliate în art. 3 din acest document.

Este important să subliniem că drepturile conferite de Regulamentul General de Protecție a Datelor nu sunt drepturi absolute – ele trebuie întotdeauna să fie echilibrate în funcție de circumstanțele în care datele dumneavoastră sunt prelucrate de operatorul de date, măsurile tehnice și organizatorice implementate în legătură cu prelucrarea datelor, scopurile pentru care sunt prelucrate și temeiurile pe care se întemeiază prelucrarea. Există circumstanțe în care operatorul de date ar putea avea motive întemeiate pentru a refuza o solicitare din partea persoanei vizate. Totodată, prin exercitarea drepturilor dumneavoastră nu ar trebui să fie afectate în mod negativ drepturile și libertățile altor persoane vizate.

b) Cum va puteți exercita drepturile. Biroul Ofițerului de Protecție a Datelor. Autoritatea pentru Protecția Datelor (ANSPDCP)

Anumite drepturi pot fi exercitate extrem de simplu (ex. Dreptul de a vă opune prelucrărilor de date prin tehnologiile de tip cookies existente pe ghiseul.ro) însã pentru celelalte situații în care doriți să vă exercitați drepturile, vă rugăm să depuneţi o cerere scrisă, datată și semnată de către dumneavoastră la adresa de corespondență a Autorității pentru Digitalizarea României din: Strada Italiană Nr. 22, București, România.

Totodată aveți dreptul de a contacta și Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), ale cărei date de contact le puteți găsi pe www.dataprotection.ro.

5. Confidentialitatea datelor

(5.1) Autoritatea pentru Digitalizarea României respectă prevederile din Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor).

(5.2) Operatorul va lua toate măsurile tehnice si organizatorice adecvate pentru protejarea datelor dumneavoastră cu caracter personal, împotriva distrugerii accidentale sau ilegale, pierderii, modificării, dezvăluirii sau accesului neautorizat.

(5.3) Datele cu caracter personal care sunt inregistrate pe acest site, nu sunt comunicate unor terțe persoane decât in condițiile prevederilor din Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor)

(5.4) Sistemul păstrează date referitoare la adresa IP de la care se realizează tranzacțiile. Acestea sunt folosite exclusiv la solutionarea litigiilor.

(5.5) Utilizatorul este răspunzator pentru păstrarea confidentialității parolelor asociate conturilor pe care le utilizează pentru accesarea serviciilor.

(5.6) Utilizarea S.N.E.P. implica cunoașterea si acceptarea termenilor si conditiilor.

(5.7) Este interzisă accesarea datelor sau serviciilor oferite de SNEP altfel decât prin intermediul interfețelor puse la dispoziție de acesta. Orice altă abordare, in special folosirea unor programe care să faciliteze accesul la date sau servicii va fi considerata imixtiune ilegală.

(5.8) Activitățile care au drept scop crearea de disfuncționalități sistemului, blocarea, rescrierea sau modificarea continutului paginilor ghiseul.ro sau crearea în alt mod a unei perturbări prin imixtiunea cu S.N.E.P. sunt interzise.

6. Modificări

Autoritatea pentru Digitalizarea României isi rezervă dreptul de a modifica orice element din conținutul site-ului, inclusiv termenii si condițiile de utilizare a acestui site, fără o notificare prealabilă. Utilizatorul este obligat sa revadă cu regularitate termenii si condițiile. Folosirea site-ului implică acceptarea tuturor termenilor si conditiilor.

Anexa 1 – Lista furnizorilor de utilități

1. Furnizorul APA NOVA BUCUREŞTI S.A., cu sediul social în Str. Tunari nr. 60A, clădirea Ștefan cel Mare, etajele 6-9, sector 2, București, înmatriculată la Registrul Comerțului București cu nr. J40/9006/1999, cod unic de înregistrare 12276949, cont IBAN RO89BRDE450SV15572604500 – B.R.D. – Sucursala Mari Clienți Corporativi.