Termeni si conditii, politica de confidentialitate

Autor: Autoritatea pentru Digitalizarea Romaniei, dezvoltator si furnizor al aplicatiei ROeID

Acest document prezinta în mod cuprinzător modul în care aplicația ROeID accesează, colectează, utilizează și partajează datele utilizatorilor.

## 1.Precizări generale

1.1. Unul dintre pilonii fundamentali în procesul de transformare digitală a României este identitatea digitală. Simplificarea accesului la serviciile publice electronice necesită o procedură unică de identificare și autentificare, recunoscută de toate instituțiile și autoritățile, astfel încât accesul la mai multe servicii publice electronice să nu presupună repetarea procedurilor proprii pentru fiecare dintre acestea. Așadar, ROeID asigură identitatea digitală a tuturor cetățenilor României, facilitându-le autentificarea cu un singur set de credențiale (nume de utilizator și parolă) în toate platformele digitale pe care statul român le administrează, dar și conectarea la alte platforme digitale guvernamentale din întreaga Uniune Europeană.

1.2. ROeID este soluția Single Sign-On (SSO) a României pentru interacțiunile digitale ale cetățenilor cu administrația, prin care pot fi generate și administrate identitățile digitale ale tuturor cetățenilor români. ROeID permite accesarea centralizată, simplă şi fără efort, a tuturor serviciilor publice digitale printr-o aplicaţie mobilă – fără să fie nevoie de utilizarea, respectiv memorarea, mai multor conturi şi parole diferite.

1.3. Aplicaţia mobilă ROeID este ROeID este livrabilul proiectului “Platforma Software Centralizată pentru Identificare Digitală”, implementat de Autoritatea pentru Digitalizarea României, prin intermediul căreia cetățenii români pot solicita activarea pe propriul telefon mobil inteligent a identității digitale.

1.4. Aplicația mobilă ROeID este gestionată de Autoritatea pentru Digitalizarea României, fiind disponibilă pentru descărcare în magazinele de aplicații Apple și Google, la adresele: https://apps.apple.com/ro/app/roeid/id6444119440 și https://play.google.com/store/apps/details?id=ro.roeid.androidapp&hl=ro.

1.5. Site-ul web www.roeid.ro (incluzând subdomeniile sale) este site-ul oficial al aplicației RoeID și este operat de Autoritatea pentru Digitalizarea României, structură cu personalitate juridică în subordinea Ministerului Cercetării, Inovării şi Digitalizării, cu sediul principal în municipiul Bucureşti, Bd. Libertăţii nr. 14, sectorul 5 şi sediul secundar în Str. Italiană nr. 22, sectorul 2.

1.6. Crearea contului ROeID, pe baza căruia utilizatorul se poate autentifica ulterior în platformele digitale guvernamentale ale României, implică acceptarea necondiționată a prezentului document de Termeni și condiții.

1.7. Ne rezervăm dreptul de a modifica oricând termenii și condițiile, iar forma actualizată a acestora va putea fi accesată de către utilizatori în secțiunea dedicată din aplicația ROeID și de pe site-ul www.roeid.ro, Termeni și condiții. Relația dintre operator și utilizator va fi guvernată de forma în vigoare la momentul validării identității digitale.

## 2. Definiții:

a.Identitate digitală – set de informații și caracteristici care definesc o persoană sau o entitate în spațiul digital; identitatea digitală este utilizată pentru a autentifica persoana/entitatea în spațiul digital, în procesul de interacțiune cu platforme sau servicii digitale.

b. Single Sign-On (SSO) – metodă de autentificare care permite accesarea mai multor aplicații sau servicii folosind aceleași credențiale (nume de utilizator și parolă); SSO crește siguranța prin centralizarea gestionării autentificării și autorizării.

c.Mijloace video – mijloace de identificare la distanţă ce utilizează tehnologii care presupun fie transmiterea audiovideo de succesiuni de imagini în mişcare, în timp real, în cadrul unei videoconferinţe cu prezenţa unui operator uman, fie transmiterea de succesiuni de imagini în mişcare reprezentând capturi video cu persoana fizică, fără prezenţa unui operator uman, cu verificarea ulterioară a acestora de către furnizorul de servicii de identificare (cu sau fără implicarea unui operator uman);

d. Mijloace digitale – mijloace care utilizează tehnologii digitale inovatoare care folosesc, printre altele, inteligenţa artificială şi/sau procese de învăţare automată (machine learning), cum ar fi aplicaţiile care realizează identificarea unei persoane şi/sau verificări ale actelor de identitate (prin capturi de imagini digitale, măsurători ale semnalmentelor biometrice faciale, comparare de imagini), tehnologia NFC (comunicare în câmp apropiat) încorporată în documentele electronice de identitate;

e.Identificarea persoanei la distanţă prin mijloace video – procesul de identificare şi verificare a identităţii persoanei fizice, în baza documentelor prezentate, a imaginilor capturate şi/sau a informaţiilor comunicate de persoana fizică, utilizând mijloace video;

f. Furnizor de servicii de identificare – entitate juridică de drept public sau privat care identifică persoana la distanţă prin mijloace video în scopurile precizate în Normele aprobate prin decizia președintelui ADR nr. 564/2021, respectiv prestatorii de servicii de încredere, prestatorii de servicii de plată, instituţiile de credit, instituţiile financiare nebancare, organismele din sectorul public, terţul de verificare a identităţii;

g.Aplicație – program sau set de programe informatice utilizate pentru a sprijini utilizatorul în realizarea anumitor sarcini de lucru.

h. Interfață de programare a aplicațiilor (API) – soluții și protocoale software care permit mai multor sistem informatice să comunice și să schimbe date între ele.

i. Utilizator – persoană fizică de cetățenie română sau entitate juridică înregistrată în România, a cărei identitate a fost verificată și validată, care își crează un cont ROeID prin intermediul aplicației mobile disponibile în Google Play Store și Apple App Store.

j. Operator – Autoritatea pentru Digitalizarea României, structură cu personalitate juridică în subordinea Ministerului Cercetării, Inovării şi Digitalizării, cu sediul principal în municipiul Bucureşti, Bd. Libertăţii nr. 14, sectorul 5 şi sediul secundar în Str. Italiană nr. 22, sectorul 2, în calitate de furnizor de servicii de identificare (Identity Service Provider – IDSP) care colectează, validează și verifică informațiile furnizate în procesul de creare a contului ROeID.

k.Sistem de identitate digitală – instrument digital utilizat pentru a declara, înregistra și valida identitatea unei persoane fizice de cetățenie română/entități juridice înregistrate în România în spațiul digital, în raport cu instituțiile publice din România și cu partenerii privați ai ROeID.

l. Validare a identității – proces prin care ADR, în calitate de furnizor de servicii de identificare (IDSP) colectează, verifică și validează informațiile despre o persoană fizică de cetățenie română sau entitate juridică înregistrată în România. Utilizatorii ROeID vor furniza în mod obligatoriu: o fotografie a cărții de identitate; un selfie cu cartea de identitate; un clip video; un clip audio, în vederea validării de către operator și a creării identității digitale.

m. Înregistrare – proces prin care ADR, prin intermediul aplicației mobile ROeID, verifică dacă solicitarea de creare identității digitale a fost validată și creează contul de identitate digitală al solicitantului.

n. Autentificare – proces prin care este confirmată identitatea unei persoane fizice de cetățenie română/entități juridice înregistrate în România în spațiul digital, pe baza utilizării contului ROeID, în platformele digitale ale entităților guvernamentale sau ale partenerilor din mediul privat.

o. Date cu caracter personal – orice informații privind o persoană fizică indentificată sau identificabilă; o persoană identificabilă este acea persoană care poate fi identificată – direct sau indirect, prin referire la un element de identificare: nume/prenume, adresă, cod numeric personal, seria și numărul cărții de identitate, data și locul nașterii, e-mail, telefon, date biometrice, imaginea, adresa de IP

p. Prelucrarea datelor cu caracter personal – orice operațiune sau set de operațiuni care se efectuează asupra datelor cu caracter personal, prin mijloace automate sau neautomate, cum ar fi colectarea, înregistrarea, organizarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, dezvăluirea către terți prin transmitere, diseminare sau în orice alt mod, alăturarea ori combinarea, blocarea, ștergerea sau distrugerea.

q. Persoana vizată – orice persoană fizică ale cărei date cu caracter personal pot fi sau sunt prelucrate de operator;

r. Regulament eIDAS – Regulamentul (UE) nr. 910/2014 al Parlamentului European şi al Consiliului Uniunii Europene din 23 iulie 2014 privind identificarea electronică şi serviciile de încredere pentru tranzacţiile electronice pe piaţa internă şi de abrogare a Directivei 1999/93/CE;

s.Emitent al mijloacelor de identificare electronică – persoană juridică ce operează un sistem de identificare electronică, aşa cum este acesta definit conform art. 3 pct. 4 din Regulamentul eIDAS, prin intermediul căruia furnizează servicii de identificare electronică către beneficiari, inclusiv către organismele din sectorul public.

## 3. Cum accesezi ROeID?

RoeID este o aplicație informatică securizată, accesibilă prin intermediul telefonului mobil inteligent, dotat cu sistem de operare iOS sau Android, care beneficiază de conexiune la Internet. Aplicația poate fi instalată doar din magazinele de aplicații dedicate (Google Play Store – pentru Android, respectiv Apple App Store pentru iOS).

Odată ce îți creezi identitatea digitală ROeID, o vei putea folosi pentru a te autentifica online, direct în platformele digitale guvernamentale.

Beneficiile tale:

1. Timp câștigat – nu mergi la niciun ghișeu, nu stai la cozi

2. Acces direct – folosești un singur nume de utilizator și o singură parolă pentru toate platformele informatice ale instituțiilor publice

3. Confort – accesezi toate platformele digitale guvernamentale de oriunde

4. Program non-stop – depui documente, faci sesizări sau achiți obligații oricând ai nevoie

5. Siguranță – ROeID beneficiază de cele mai avansate soluții de securitate cibernetică disponibile

Este posibil ca aplicația RoeID să nu fie accesibilă în unele țări, acest lucru depinzând de operatorul/furnizorul de internet (Wi-Fi local sau date mobile) din tara respectiva/roaming. Posibilitatea de a descărca aplicația poate fi restricționată atunci când folosiți opțiunea de roaming în străinătate.

## 4. Înregistrarea utilizatorului

Procedura de înregistrare a contului ROeID durează doar câteva minute și are 5 pași:

1. Deschizi aplicația și introduci datele personale

2. Adaugi o imagine cu cartea de identitate

3. Faci un selfie cu cartea de identitate

4. Filmezi un clip video cu fața ta

5. Înregistrezi un clip audio în care citești textul afișat de aplicație

## 5. Validarea utilizatorului

Validarea solicitării de creare a identității digitale se realizează de către ADR și are o durată de maximum 24 de ore de la data înregistrării solicitării. Odată validată solicitarea sa, utilizatorul primește un mesaj de confirmare pe adresa de e-mail furnizată în procesul de înregistrare și o notificare în aplicația mobilă ROeID.

## 6. Autentificarea utilizatorului

Odată creată identitatea digitală, utilizatorul se poate autentifica în toate platformele digitale guvernamentale ale României prin intermediul butonului „Autentifică-te cu ROeID”.

## 7. Răspundere

7.1 Operatorul ROeID nu este responsabil de funcționarea incorectă a aplicațiilor terțe care folosesc identitatea digitală sau consecințele care derivă din aceasta. Operatorul va furniza către organele abilitate toate informațiile necesare soluționării litigiilor. Orice litigiu se soluționează în relația dintre parti.

7.2 Operatorul ROeID întreprinde operațiuni permanente de menținere in funcțiune a sistemului la parametrii rezonabili de utilizare. Totuși, acesta nu poate fi făcut răspunzător de consecințele nefuncționarii sistemului din motive tehnice sau de altă natură.

## 8. Drepturi și obligații

8.1. Drepturi și obligații cu privire la respectarea regulilor privind prelucrarea datelor cu caracter personal în condițiile creării contului de utilizator ROeID.

8.1.1. Scopurile prelucrării datelor cu caracter personal sunt:

a) Furnizarea serviciului/funcționalității tehnice de identificare digitală la distanță prin intermediul platformei ROeID.
b) Prevenirea fraudelor și gestionarea disputelor, litigiilor și investigațiilor (interne sau cele care implică și alte autorități sau organizații)

8.1.2. Drepturi

Este important să subliniem că drepturile conferite de Regulamentul General de Protecție a Datelor nu sunt drepturi absolute – ele trebuie întotdeauna să fie echilibrate în funcție de circumstanțele în care datele dumneavoastră sunt prelucrate de operatorul de date, măsurile tehnice și organizatorice implementate în legătură cu prelucrarea datelor, scopurile pentru care sunt prelucrate și temeiurile pe care se întemeiază prelucrarea.

Există circumstanțe în care operatorul de date ar putea avea motive întemeiate pentru a refuza o solicitare din partea persoanei vizate. Totodată, prin exercitarea drepturilor dumneavoastră nu ar trebui să fie afectate în mod negativ drepturile și libertățile altor persoane vizate.

Vă puteți adresa responsabilului GDPR din cadrul ADR, la adresa de e-mail dpo@adr.gov.ro.

Anumite drepturi pot fi exercitate extrem de simplu (ex. Dreptul de a vă opune prelucrărilor de date prin tehnologiile de tip cookies existente pe www.roeid.ro) însă pentru celelalte situații în care doriți să vă exercitați drepturile, puteți depune o cerere scrisă, datată și semnată, în format electronic sau fizic, la adresa de e-mail contact@adr.gov.ro sau la adresa de corespondență a Autorității pentru Digitalizarea României din Bd. Libertăţii nr. 14, sectorul 5, București, România.

Totodată aveți dreptul de a contacta și Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), ale cărei date de contact le puteți găsi pe www.dataprotection.ro.

Drepturile utilizatorilor care optează să utilizeze sistemul online de identificare ROeID pentru a se conecta la alte sisteme informatice sunt clar stabilite de Legea nr. 190/2018 și de Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor):

ART. 13. Informaţii care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată

(1) În cazul în care datele cu caracter personal referitoare la o persoană vizată sunt colectate de la aceasta, operatorul, în momentul obţinerii acestor date cu caracter personal, furnizează persoanei vizate toate informaţiile următoare:

(a) identitatea şi datele de contact ale operatorului şi, după caz, ale reprezentantului acestuia;

(b) datele de contact ale responsabilului cu protecţia datelor, după caz;

(c) scopurile în care sunt prelucrate datele cu caracter personal, precum şi temeiul juridic al prelucrării;

(d) prelucrarea se face în temeiul articolului 6, alineatul (1), litera (e) – prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul;

(e) destinatarii sau categoriile de destinatari ai datelor cu caracter personal;

(f) dacă este cazul, intenţia operatorului de a transfera date cu caracter personal către o ţară terţă sau o organizaţie internaţională şi existenţa sau absenţa unei decizii a Comisiei privind caracterul adecvat sau, în cazul transferurilor menţionate la articolul 46 sau 47 sau la articolul 49 alineatul (1) al doilea paragraf, o trimitere la garanţiile adecvate sau corespunzătoare şi la mijloacele de a obţine o copie a acestora, în cazul în care acestea au fost puse la dispoziţie.

(2) În plus faţă de informaţiile menţionate la alineatul (1), în momentul în care datele cu caracter personal sunt obţinute, operatorul furnizează persoanei vizate următoarele informaţii suplimentare necesare pentru a asigura o prelucrare echitabilă şi transparentă:

(a) perioada pentru care vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;

(b) existenţa dreptului de a solicita operatorului, în ceea ce priveşte datele cu caracter personal referitoare la persoana vizată, accesul la acestea, rectificarea sau ştergerea acestora sau restricţionarea prelucrării sau a dreptului de a se opune prelucrării, precum şi a dreptului la portabilitatea datelor;

(c) atunci când prelucrarea se bazează pe articolul 6, alineatul (1), litera (a) sau pe articolul 9, alineatul (2), litera (a), existenţa dreptului de a retrage consimţământul în orice moment, fără a afecta legalitatea prelucrării efectuate pe baza consimţământului înainte de retragerea acestuia;

(d) dreptul de a depune o plângere în faţa Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal;

(e) dacă furnizarea de date cu caracter personal reprezintă o obligaţie legală sau contractuală sau o obligaţie necesară pentru încheierea unui contract, precum şi dacă persoana vizată este obligată să furnizeze aceste date cu caracter personal şi care sunt eventualele consecinţe ale nerespectării acestei obligaţii;

(f) existenţa unui proces decizional automatizat incluzând crearea de profiluri, menţionat la articolul 22 alineatele (1) şi (4), precum şi, cel puţin în cazurile respective, informaţii pertinente privind logica utilizată şi privind importanţa şi consecinţele preconizate ale unei astfel de prelucrări pentru persoana vizată.

(3) În cazul în care operatorul intenţionează să prelucreze ulterior datele cu caracter personal într-un alt scop decât cel pentru care acestea au fost colectate, operatorul furnizează persoanei vizate, înainte de această prelucrare ulterioară, informaţii privind scopul secundar respectiv şi orice informaţii suplimentare relevante, în conformitate cu alineatul (2).

(4) Alineatele (1), (2) şi (3) nu se aplică dacă şi în măsura în care persoana vizată deţine deja informaţiile respective.

ART. 14 Informaţii care se furnizează în cazul în care datele cu caracter personal nu au fost obţinute de la persoana vizată

(1) În cazul în care datele cu caracter personal nu au fost obţinute de la persoana vizată, operatorul furnizează persoanei vizate următoarele informaţii:

(a) identitatea şi datele de contact ale operatorului şi, după caz, ale reprezentantului acestuia;

(b) datele de contact ale responsabilului cu protecţia datelor, după caz;

(c) scopurile în care sunt prelucrate datele cu caracter personal, precum şi temeiul juridic al prelucrării;

(d) categoriile de date cu caracter personal vizate;

(e) destinatarii sau categoriile de destinatari ai datelor cu caracter personal, după caz;

(f) dacă este cazul, intenţia operatorului de a transfera date cu caracter personal către un destinatar dintr-o ţară terţă sau o organizaţie internaţională şi existenţa sau absenţa unei decizii a Comisiei privind caracterul adecvat sau, în cazul transferurilor menţionate la articolul 46 sau 47 sau la articolul 49 alineatul (1) al doilea paragraf, o trimitere la garanţiile adecvate sau corespunzătoare şi la mijloacele de a obţine o copie a acestora, în cazul în care acestea au fost puse la dispoziţie.

(2) Pe lângă informaţiile menţionate la alineatul (1), operatorul furnizează persoanei vizate următoarele informaţii necesare pentru a asigura o prelucrare echitabilă şi transparentă în ceea ce priveşte persoana vizată:

(a) perioada pentru care vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;

(b) în cazul în care prelucrarea se face în temeiul Regulamentului UE 2016/679 – articolul 6 alineatul (1) litera (e) – prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul;

(c) existenţa dreptului de a solicita operatorului, în ceea ce priveşte datele cu caracter personal referitoare la persoana vizată, accesul la acestea, rectificarea sau ştergerea acestora sau restricţionarea prelucrării şi a dreptului de a se opune prelucrării, precum şi a dreptului la portabilitatea datelor;

(d) atunci când prelucrarea se bazează pe articolul 6 alineatul (1) litera (a) sau pe articolul 9 alineatul (2) litera (a), existenţa dreptului de a retrage consimţământul în orice moment, fără a afecta legalitatea prelucrării efectuate pe baza consimţământului înainte de retragerea acestuia;

(e) dreptul de a depune o plângere în faţa Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal;

(f) sursa din care provin datele cu caracter personal şi, dacă este cazul, dacă acestea provin din surse disponibile public;

(g) existenţa unui proces decizional automatizat incluzând crearea de profiluri, menţionat la articolul 22 alineatele (1) şi (4), precum şi, cel puţin în cazurile respective, informaţii pertinente privind logica utilizată şi privind importanţa şi consecinţele preconizate ale unei astfel de prelucrări pentru persoana vizată.

(3) Operatorul furnizează informaţiile menţionate la alineatele (1) şi (2):

(a) într-un termen rezonabil după obţinerea datelor cu caracter personal, dar nu mai mare de o lună, ţinându-se seama de circumstanţele specifice în care sunt prelucrate datele cu caracter personal;

(b) dacă datele cu caracter personal urmează să fie utilizate pentru comunicarea cu persoana vizată, cel târziu în momentul primei comunicări către persoana vizată respectivă; sau

(c) dacă se intenţionează divulgarea datelor cu caracter personal către un alt destinatar, cel mai târziu la data la care acestea sunt divulgate pentru prima oară.

(4) În cazul în care operatorul intenţionează să prelucreze ulterior datele cu caracter personal într-un alt scop decât cel pentru care acestea au fost obţinute, operatorul furnizează persoanei vizate, înainte de această prelucrare ulterioară, informaţii privind scopul secundar respectiv şi orice informaţii suplimentare relevante, în conformitate cu alineatul (2).

(5) Alineatele (1) – (4) nu se aplică dacă şi în măsura în care:

(a) persoana vizată deţine deja informaţiile;

(b) furnizarea acestor informaţii se dovedeşte a fi imposibilă sau ar implica eforturi disproporţionate, în special în cazul prelucrării în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice, sub rezerva condiţiilor şi a garanţiilor prevăzute la articolul 89 alineatul (1), sau în măsura în care obligaţia menţionată la alineatul (1) din prezentul articol este susceptibil să facă imposibilă sau să afecteze în mod grav realizarea obiectivelor prelucrării respective. În astfel de cazuri, operatorul ia măsuri adecvate pentru a proteja drepturile, libertăţile şi interesele legitime ale persoanei vizate, inclusiv punerea informaţiilor la dispoziţia publicului;

(c) obţinerea sau divulgarea datelor este prevăzută în mod expres de dreptul Uniunii sau de dreptul intern sub incidenţa căruia intră operatorul şi care prevede măsuri adecvate pentru a proteja interesele legitime ale persoanei vizate; sau

(d) în cazul în care datele cu caracter personal trebuie să rămână confidenţiale în temeiul unei obligaţii statutare de secret profesional reglementate de dreptul Uniunii sau de dreptul intern, inclusiv al unei obligaţii legale de a păstra secretul.

ART. 15 Dreptul de acces al persoanei vizate

(1) Persoana vizată are dreptul de acces la datele prelucrate şi la următoarele informaţii:

(a) scopurile prelucrării;

(b) categoriile de date cu caracter personal vizate;

(c) destinatarii sau categoriile de destinatari cărora datele cu caracter personal le-au fost sau urmează să le fie divulgate, în special destinatari din ţări terţe sau organizaţii internaţionale;

(d) acolo unde este posibil, perioada pentru care se preconizează că vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;

(e) existenţa dreptului de a solicita operatorului rectificarea sau ştergerea datelor cu caracter personal ori restricţionarea prelucrării datelor cu caracter personal referitoare la persoana vizată sau a dreptului de a se opune prelucrării;

(f) dreptul de a depune o plângere către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal;

(g) în cazul în care datele cu caracter personal nu sunt colectate de la persoana vizată, precum în cazul accesibilizării procedurii de înregistrare a contului ROeID, orice informaţii disponibile privind sursa acestora;

(h) existenţa unui proces decizional automatizat incluzând crearea de profiluri, menţionat la articolul 22 alineatele (1) şi (4), precum şi, cel puţin în cazurile respective, informaţii pertinente privind logica utilizată şi privind importanţa şi consecinţele preconizate ale unei astfel de prelucrări pentru persoana vizată.

(2) În cazul în care datele cu caracter personal sunt transferate către o ţară terţă sau o organizaţie internaţională, persoana vizată are dreptul să fie informată cu privire la garanţiile adecvate în temeiul articolului 46 referitoare la transfer.

(3) Operatorul deține o copie a datelor cu caracter personal care fac obiectul prelucrării. Pentru copii solicitate de persoana vizată, operatorul poate percepe o taxă rezonabilă, bazată pe costurile administrative. În cazul în care persoana vizată introduce cererea în format electronic şi cu excepţia cazului în care persoana vizată solicită un alt format, informaţiile sunt furnizate într-un format electronic utilizat în mod curent.

(4) Dreptul de a obţine o copie menţionată la alineatul (3) nu aduce atingere drepturilor şi libertăţilor altora.

ART. 16 Dreptul la rectificare

Persoana vizată are dreptul de a obține de la operator rectificarea datelor cu caracter personal inexacte care o privesc. Ținându-se seama de scopurile în care au fost prelucrate datele, persoana vizată are dreptul de a obține completarea datelor cu caracter personal care sunt incomplete, inclusiv prin furnizarea unei declarații suplimentare.

ART. 17 Dreptul la ştergerea datelor (dreptul de a fi uitat)

(1) Persoana vizată are dreptul de a obține din partea operatorului ștergerea datelor cu caracter personal care o privesc, iar operatorul are obligația de a șterge datele cu caracter personal, după identificarea certă a persoanei vizate, în cazul în care se aplică unul dintre următoarele motive:

(a) datele cu caracter personal nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate;

(b) persoana vizată își retrage consimțământul pe baza căruia are loc prelucrarea, în conformitate cu Regulamentul UE 2016/679 – articolul 6 alineatul (1) litera (a) sau cu articolul 9 alineatul (2) litera (a), şi nu există niciun alt temei juridic pentru continuarea prelucrării datelor cu caracter personal;

(c) persoana vizată se opune prelucrării în temeiul articolului 21 alineatul (1) și nu există motive legitime care să prevaleze în ceea ce privește prelucrarea sau persoana vizată se opune prelucrării în temeiul Regulamentului UE 2016/679 – articolul 21 alineatul (2);

(d) datele cu caracter personal au fost prelucrate ilegal;

(e) datele cu caracter personal trebuie șterse pentru respectarea unei obligații legale care revine operatorului în temeiul dreptului Uniunii sau al dreptului intern sub incidența căruia se află operatorul;

(2) În cazul în care operatorul a făcut publice datele cu caracter personal şi este obligat, în temeiul alineatului (1), să le şteargă sau să le anonimizeze/pseudonimizeze, operatorul, ţinând seama de tehnologia disponibilă şi de costul implementării, ia măsuri rezonabile, inclusiv măsuri tehnice, pentru a informa operatorii care prelucrează datele cu caracter personal că persoana vizată a solicitat ştergerea de către aceşti operatori a oricăror linkuri către datele respective sau a oricăror copii sau reproduceri ale acestor date cu caracter personal.

(3) Alineatele (1) şi (2a) nu se aplică în măsura în care prelucrarea este necesară:

(a) pentru exercitarea dreptului la liberă exprimare şi la informare;

(b) pentru respectarea unei obligaţii legale care prevede prelucrarea în temeiul dreptului Uniunii sau al dreptului intern care se aplică operatorului sau pentru îndeplinirea unei sarcini executate în interes public sau în cadrul exercitării unei autorităţi oficiale cu care este învestit operatorul;

(c) din motive de interes public în domeniul sănătăţii publice, în conformitate cu articolul 9 alineatul (2) literele (h) şi (i) şi cu articolul 9 alineatul (3);

(d) în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice, în conformitate cu articolul 89 alineatul (1), în măsura în care dreptul menţionat la alineatul (1) este susceptibil să facă imposibilă sau să afecteze în mod grav realizarea obiectivelor prelucrării respective; sau

(e) pentru constatarea, exercitarea sau apărarea unui drept în instanţă.

ART. 18 Dreptul la restricţionarea prelucrării

(1) Persoana vizată are dreptul de a obţine din partea operatorului restricţionarea prelucrării în cazul în care se aplică unul din următoarele cazuri:

(a) persoana vizată contestă exactitatea datelor, pentru o perioadă care îi permite operatorului să verifice exactitatea datelor;

(b) prelucrarea este ilegală, iar persoana vizată se opune ştergerii datelor cu caracter personal, solicitând în schimb restricţionarea utilizării lor;

(c) operatorul nu mai are nevoie de datele cu caracter personal în scopul prelucrării, dar persoana vizată i le solicită pentru constatarea, exercitarea sau apărarea unui drept în instanţă; sau

(d) persoana vizată s-a opus prelucrării în conformitate cu articolul 21 alineatul (1), pentru intervalul de timp în care se verifică dacă drepturile legitime ale operatorului prevalează asupra celor ale persoanei vizate.

(2) În cazul în care prelucrarea a fost restricţionată în temeiul alineatului (1), astfel de date cu caracter personal pot, cu excepţia stocării, să fie prelucrate numai cu consimţământul persoanei vizate sau pentru constatarea, exercitarea sau apărarea unui drept în instanţă sau pentru protecţia drepturilor unei alte persoane fizice sau juridice sau din motive de interes public important al Uniunii sau al unui stat membru.

(3) O persoană vizată care a obţinut restricţionarea prelucrării în temeiul alineatului (1) este informată de către operator înainte de ridicarea restricţiei de prelucrare.

ART. 19 Obligaţia de notificare privind rectificarea sau ştergerea datelor cu caracter personal sau restricţionarea prelucrării

Operatorul comunică fiecărui destinatar căruia i-au fost divulgate datele cu caracter personal orice rectificare sau ştergere a datelor cu caracter personal sau restricţionare a prelucrării efectuate în conformitate cu Regulamentul UE 2016/679 – articolul 16, articolul 17 alineatul (1) şi articolul 18, cu excepţia cazului în care acest lucru se dovedeşte imposibil sau presupune eforturi disproporţionate. Operatorul informează persoana vizată cu privire la destinatarii respectivi dacă persoana vizată solicită acest lucru.

ART. 20 Dreptul la portabilitatea datelor

(1) Persoana vizată are dreptul de a primi datele cu caracter personal care o privesc şi pe care le-a furnizat operatorului într-un format structurat, utilizat în mod curent şi care poate fi citit automat şi are dreptul de a transmite aceste date altui operator, fără obstacole din partea operatorului căruia i-au fost furnizate datele cu caracter personal, în cazul în care:

(a) prelucrarea se bazează pe consimţământ în temeiul articolului 6 alineatul (1) litera (a) sau al articolului 9 alineatul (2) litera (a) sau pe un contract în temeiul articolului 6 alineatul (1) litera (e); şi

(b) prelucrarea este efectuată prin mijloace automate.

(2) În exercitarea dreptului său la portabilitatea datelor în temeiul alineatului (1), persoana vizată are dreptul ca datele cu caracter personal să fie transmise direct de la un operator la altul acolo unde acest lucru este fezabil din punct de vedere tehnic.

(3) Exercitarea dreptului menţionat la alineatul (1) din prezentul articol nu aduce atingere articolului 17. Respectivul drept nu se aplică prelucrării necesare pentru îndeplinirea unei sarcini executate în interes public sau în cadrul exercitării unei autorităţi oficiale cu care este învestit operatorul.

(4) Dreptul menţionat la alineatul (1) nu aduce atingere drepturilor şi libertăţilor altora.

ART. 21 Dreptul la opoziţie

(1) În orice moment, persoana vizată are dreptul de a se opune, din motive legate de situaţia particulară în care se află, prelucrării în temeiul Regulamentului UE 2016/679 – articolul 6 alineatul (1) litera (e) sau (f) sau al articolului 6 alineatul (1) a datelor cu caracter personal care o privesc, inclusiv creării de profiluri pe baza respectivelor dispoziţii. Operatorul nu mai prelucrează datele cu caracter personal, cu excepţia cazului în care operatorul demonstrează că are motive legitime şi imperioase care justifică prelucrarea şi care prevalează asupra intereselor, drepturilor şi libertăţilor persoanei vizate sau că scopul este constatarea, exercitarea sau apărarea unui drept în instanţă.

(2) Atunci când prelucrarea datelor cu caracter personal are drept scop marketingul direct, persoana vizată are dreptul de a se opune în orice moment prelucrării în acest scop a datelor cu caracter personal care o privesc, inclusiv creării de profiluri, în măsura în care este legată de marketingul direct respectiv.

(3) În cazul în care persoana vizată se opune prelucrării în scopul marketingului direct, datele cu caracter personal nu mai sunt prelucrate în acest scop.

(4) Cel târziu în momentul primei comunicări cu persoana vizată, dreptul menţionat la alineatele (1) şi (2) este adus în mod explicit în atenţia persoanei vizate şi este prezentat în mod clar şi separat de orice alte informaţii.

(5) În contextual utilizării serviciilor societăţii informaţionale şi în pofida Directivei 2002/58/CE, persoana vizată îşi poate exercita dreptul de a se opune prin mijloace automate care utilizează specificaţii tehnice.

(6) În cazul în care datele cu caracter personal sunt prelucrate în scopuri de cercetare ştiinţifică sau istorică sau în scopuri statistice în conformitate cu articolul 89 alineatul (1), persoana vizată, din motive legate de situaţia sa particulară, are dreptul de a se opune prelucrării datelor cu caracter personal care o privesc, cu excepţia cazului în care prelucrarea este necesară pentru îndeplinirea unei sarcini din motive de interes public.

ART. 22 Procesul decizional individual automatizat, inclusiv crearea de profiluri

(1) Persoana vizată are dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, care produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă.

(2) Alineatul (1) nu se aplică în cazul în care decizia:

(a) este necesară pentru încheierea sau executarea unui contract între persoana vizată şi un operator de date;

(b) este autorizată prin dreptul Uniunii sau dreptul intern care se aplică operatorului şi care prevede, de asemenea, măsuri corespunzătoare pentru protejarea drepturilor, libertăţilor şi intereselor legitime ale persoanei vizate; sau

(c) are la bază consimţământul persoanei vizate.

(3) În cazurile menţionate la alineatul (2) literele (a) şi (c), operatorul de date pune în aplicare măsuri corespunzătoare pentru protejarea drepturilor, libertăţilor şi intereselor legitime ale persoanei vizate, cel puţin dreptul acesteia de a obţine intervenţie umană din partea operatorului, de a-şi exprima punctul de vedere şi de a contesta decizia.

(4) Deciziile menţionate la alineatul (2) nu au la bază categoriile speciale de date cu caracter personal menţionate la articolul 9 alineatul (1), cu excepţia cazului în care se aplică articolul 9 alineatul (2) litera (a) sau (g) şi în care au fost instituite măsuri corespunzătoare pentru protejarea drepturilor, libertăţilor şi intereselor legitime ale persoanei vizate.

Autoritatea pentru Digitalizarea României are obligația respectării confidențialității prelucrărilor și securității datelor, aplicând măsurile necesare pentru protejarea datelor cu caracter personal și să asigure un nivel de securitate adecvat în ceea ce privește riscurile pe care le reprezintă prelucrarea, precum și în ceea ce privește natura datelor care trebuie protejate.

8.1.3. Obligații

În cazul în care utilizatorii pierd credențialele de identificare și/sau autentificare pe platforma ROeID au obligația de a solicita noi credențiale, pentru ca astfel datele cu caracter personal să nu intre în posesia unor terțe persoane.

8.2. Principii legate de prelucrarea datelor cu caracter personal

În conformitate cu prevederile art. 5 din Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor), datele cu caracter personal sunt:

(a) prelucrate în mod legal, echitabil şi transparent faţă de persoana vizată (legalitate, echitate şi transparenţă);

(b) colectate în scopuri determinate, explicite şi legitime şi nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri; prelucrarea ulterioară în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice nu este considerată incompatibilă cu scopurile iniţiale, în conformitate cu Regulamentul UE 2016/679 – articolul 89 alineatul (1) (limitări legate de scop);

(c) adecvate, relevante şi limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate (reducerea la minimum a datelor);

(d) exacte şi, în cazul în care este necesar, să fie actualizate; trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt şterse sau rectificate fără întârziere (exactitate);

(e) păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depăşeşte perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele; datele cu caracter personal pot fi stocate pe perioade mai lungi în măsura în care acestea vor fi prelucrate exclusiv în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice, în conformitate cu articolul 89 alineatul (1), sub rezerva punerii în aplicare a măsurilor de ordin tehnic şi organizatoric adecvate prevăzute în prezentul regulament în vederea garantării drepturilor şi libertăţilor persoanei vizate (limitări legate de stocare);

(f) prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecţia împotriva prelucrării neautorizate sau ilegale şi împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare (integritate şi confidenţialitate).

(2) Operatorul este responsabil de respectarea alineatului (1) şi poate demonstra această respectare (responsabilitate), printr-un proces de jurnalizare în aplicația mobilă ROeID.

8.3. Legalitatea prelucrării datelor cu caracter personal aparținând utilizatorilor

Operatorul prelucrază datele cu caracter personal aparținând utilizatorilor numai în condițiile în care:

(a) persoana vizată şi-a dat consimţământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;
(b) prelucrarea este necesară pentru îndeplinirea unei sarcini care serveşte unui interes public sau care rezultă din exercitarea autorităţii publice cu care este investit operatorul;
(c) prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terţă, cu excepţia cazului în care prevalează interesele sau drepturile şi libertăţile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.

9. Datele colectate si prelucrate, temeiul colectarii, prelucrării și sursa datelor

În procedura de înregistrare a identităţii digitale pe telefonul mobil inteligent, aplicaţia ROeID va solicita utilizatorului să efectueze o poză cu cartea de identitate, o fotografie selfie, o înregistrare video și o înregistrare audio, în care cetăţeanul citeşte un text de pe ecran.

Datele utilizatorului prelucrate în vederea verificării identității sunt următoarele, în conformitate cu consimțământul acordat prin acceptarea acestor termeni și condiții:

– Codul Numeric Personal (C.N.P)
– Datele de identificare din buletin: numele, prenumele, data nașterii, locul nașterii, adresa de domiciliu, seria și numărul cărții de identitate, date biometrice, imaginea selfie, inregistrare video si audio a persoanei..

9.1. Locul și durata prelucrării

Datele sunt prelucrate pe serverele Autorității pentru Digitalizarea Romaniei, localizate în România.

9.2 Gestionarea in siguranta a datelor colectate
Datele colectate sunt criptate in tranzit si in locurile unde sunt inregistrate, accesul la aceste date sunt limitate la aplicatia de backend ROeID si persoanelor autorizate de catre Autoritatea pentru Digitalizarea Romaniei.

9.3 Durata de gestionare a datelor
Datele colectate sunt stocate pe serverele Autoritatii pentru Digitalizarea Romaniei pe o perioada de 5 ani de la data colectarii. Dupa expirarea acestei perioade, datele sunt sterse automat de pe serverele Autoritatii pentru Digitalizarea Romaniei.

## 10. Confidențialitatea datelor

10.1 Autoritatea pentru Digitalizarea României respectă prevederile din Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor).

10.2 Operatorul va lua toate măsurile tehnice si organizatorice adecvate pentru protejarea datelor dumneavoastră cu caracter personal, împotriva distrugerii accidentale sau ilegale, pierderii, modificării, dezvăluirii sau accesului neautorizat.

10.3 Datele cu caracter personal care sunt inregistrate pe acest site, nu sunt comunicate unor terțe persoane decât in condițiile prevederilor din Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor)

10.4 Sistemul păstrează date referitoare la adresa IP de la care se realizează autentificările. Acestea sunt folosite exclusiv la soluționarea litigiilor.

10.5 Utilizatorul este răspunzator pentru păstrarea confidentialității parolelor asociate conturilor pe care le utilizează pentru accesarea serviciilor.

10.6 Utilizarea ROeID implică cunoașterea si acceptarea termenilor și conditiilor.

10.7 Este interzisă accesarea datelor sau serviciilor oferite de ROeID altfel decât prin intermediul interfețelor puse la dispoziție de acesta.

10.8 Activitățile care au drept scop crearea de disfuncționalități sistemului, blocarea, rescrierea sau modificarea continutului paginilor www.roeid.ro sau crearea în alt mod a unei perturbări prin imixtiunea cu ROeID sunt interzise și vor fi pedepsite conform legii.

## 11. Modificări

Autoritatea pentru Digitalizarea României îşi rezervă dreptul de a modifica orice element din conținutul site-ului și aplicației mobile, inclusiv termenii şi condițiile de utilizare a acestui site, fără o notificare prealabilă. Utilizatorul este obligat să revadă cu regularitate termenii şi condițiile. Folosirea site-ului implică acceptarea tuturor termenilor şi condiţiilor.

## 12. Baza legală

1. Regulamentul (UE) nr. 910/2014 al Parlamentului European și al Consiliului din 23 iulie 2014 privind identificarea electronică și serviciile de încredere pentru tranzacțiile electronice pe piața internă și de abrogare a Directivei 1999/93/CE

2. Regulamentul (UE) 2018/1724 al Parlamentului European și al Consiliului din 2 octombrie 2018 privind înființarea unui portal digital unic (gateway) pentru a oferi acces la informații, la proceduri și la servicii de asistență și de soluționare a problemelor și de modificare a Regulamentului (UE) nr. 1024/2012

3. Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor)

4. Legea nr. 190 din 18 iulie 2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor)

5. HG nr. 89 din 28 ianuarie 2020 privind organizarea și funcționarea Autorității pentru Digitalizarea României, cu modificările și completările ulterioare

6. Normele privind reglementarea, recunoaşterea, aprobarea sau acceptarea procedurii de identificare a persoanei la distanţă utilizând mijloace video, aprobate prin Decizia președintelui ADR nr. 564/2021, publicate în Monitorul Oficial al României cu numărul 1119 din data de 24 noiembrie 2021.