POLITICA DE CONFIDENȚIALITATE ȘI PRELUCRARE A DATELOR CU CARACTER PERSONAL

1.1. Importanța protecției datelor

Protecția și confidențialitatea datelor cu caracter personal reprezintă un subiect de importanță fundamentală pentru FORMIS DIGITAL S.R.L. Atunci când utilizați Platforma Formis, ne încredințați informațiile dumneavoastră, iar noi ne angajăm să le prelucrăm cu respectarea celor mai înalte standarde de confidențialitate, securitate și transparență.

1.2. Scopul prezentei Politici

Prezenta Politică de Confidențialitate (denumită în continuare „Politica") explică în mod transparent modul în care colectăm, utilizăm, stocăm, transmitem și protejăm datele dumneavoastră cu caracter personal atunci când:

• •accesați website-ul formis.ro și subdomeniile acestuia;
• •vă creați un cont de utilizator pe Platformă;
• •plasați o comandă pentru oricare dintre Servicii;
• •interacționați cu Asistentul virtual (chatbot);
• •comunicați cu noi prin orice canal;
• •ne furnizați direct sau indirect date cu caracter personal.

1.3. Documente conexe

Prezenta Politică se citește împreună cu:

• •Termenii și Condițiile Platformei Formis;
• •Politica privind utilizarea modulelor cookie;
• •contractele specifice aplicabile anumitor Servicii.

În cazul oricărei neconcordanțe între prezenta Politică și alte clauze contractuale referitoare la protecția datelor, prevalează prevederile prezentei Politici.

1.4. Cadrul legal aplicabil

Prelucrarea datelor cu caracter personal se realizează în deplină conformitate cu:

• •Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestora („GDPR");
• •Legea nr. 190/2018 privind măsuri de punere în aplicare a GDPR în România;
• •Legea nr. 506/2004 privind prelucrarea datelor în sectorul comunicațiilor electronice (ePrivacy);
• •Legea nr. 129/2019 pentru prevenirea și combaterea spălării banilor și finanțării terorismului;
• •alte acte normative naționale și europene aplicabile.

2.1. Operatorul principal

Operatorul datelor cu caracter personal prelucrate prin Platforma Formis este:

FORMIS DIGITAL S.R.L.

• •Sediu social: București, str. Jiului nr. 144, ap. 22, etaj 4, Sectorul 1
• •Cod unic de înregistrare (CUI): 44077928
• •Număr de ordine în Registrul Comerţului: J2025036197009
• •Adresă de e-mail pentru chestiuni privind protecția datelor: [email protected]

În cuprinsul prezentei Politici, vom utiliza termenul „Formis" pentru a desemna operatorul principal.

2.2. Structura de grup

Formis face parte dintr-un grup de societăți care desfășoară activități complementare în legătură cu operarea Platformei. În funcție de Serviciul achiziționat, anumite activități de prelucrare pot fi efectuate, integral sau parțial, de către alte societăți afiliate din cadrul grupului. În aceste situații, identitatea operatorului efectiv pentru prelucrarea respectivă va fi comunicată Utilizatorului în mod transparent prin documentele contractuale aferente Serviciului.

2.3. Lipsa unui DPO obligatoriu

Având în vedere natura, sfera, contextul și scopurile prelucrării, Formis nu are obligația legală de a desemna un Responsabil cu Protecția Datelor (DPO) în sensul art. 37 din GDPR. Cu toate acestea, Formis a desemnat o persoană de contact pentru chestiuni privind protecția datelor, accesibilă la adresa de e-mail menționată la pct. 2.1.

În sensul prezentei Politici, termenii și expresiile de mai jos vor avea următoarele semnificații:

„GDPR" – Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal.

„Operator" – persoana fizică sau juridică care, singur sau împreună cu altele, stabilește scopurile și mijloacele prelucrării datelor cu caracter personal.

„Persoană împuternicită de operator" – persoana fizică sau juridică ce prelucrează datele cu caracter personal în numele și pe seama operatorului.

„Persoana vizată" – orice persoană fizică identificată sau identificabilă ale cărei date cu caracter personal sunt prelucrate (inclusiv Utilizatori, Clienți, vizitatori ai Platformei, asociați, administratori, beneficiari reali, semnatari, reprezentanți).

„Date cu caracter personal" – orice informații privind o persoană fizică identificată sau identificabilă.

„Prelucrare" – orice operațiune efectuată asupra datelor cu caracter personal (colectare, înregistrare, organizare, structurare, stocare, adaptare, extragere, consultare, utilizare, divulgare, transmitere, restricționare, ștergere, distrugere etc.).

„Consimțământ" – manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă prelucrarea datelor sale.

„Furnizori Tehnologici Terți" – terți care furnizează Formis tehnologii necesare funcționării Platformei (servicii cloud, modele AI, OCR, procesare plăți, comunicare, semnătură electronică, identificare electronică etc.).

„Asistentul virtual" sau „Chatbot AI" – instrumentul de asistență conversațională bazat pe inteligență artificială, integrat în Platformă, alimentat de modele furnizate de Furnizori Tehnologici Terți.

„Platforma" – website-ul formis.ro și toate funcționalitățile, aplicațiile, modulele și serviciile asociate.

Ceilalți termeni utilizați în prezentul document au înțelesul conferit de GDPR și de celelalte prevederi legale aplicabile.

Formis colectează și prelucrează exclusiv categoriile de date strict necesare pentru îndeplinirea scopurilor declarate, conform principiului minimizării datelor.

4.1. Date furnizate direct de dumneavoastră

4.1.1. Date de identificare:

• •nume, prenume, inițiale;
• •cod numeric personal (CNP) sau echivalent pentru cetățeni străini;
• •serie și număr act de identitate (CI/Pașaport);
• •data și locul nașterii;
• •cetățenie;
• •semnătură olografă scanată sau semnătură electronică.

4.1.2. Date de contact:

• •adresă de e-mail;
• •număr de telefon;
• •adresă de domiciliu, reședință sau corespondență;
• •localitate, județ, țară.

4.1.3. Date privind firma sau activitatea profesională:

• •denumirea societății, CUI, număr de ordine în Registrul Comerțului;
• •date privind asociații, administratorii, beneficiarii reali;
• •coduri CAEN, obiect de activitate;
• •capital social, structură de participare;
• •date despre sediu social, puncte de lucru.

4.1.4. Date financiare:

• •istoricul plăților efectuate;
• •date de facturare;
• •detalii privind taxele Autorităților achitate în numele Clientului.

Notă: Formis nu stochează datele cardului bancar. Procesarea plăților este efectuată exclusiv de procesatorii de plăți autorizați (de exemplu, Stripe), în condițiile lor de utilizare.

4.1.5. Date biometrice și imagini (când este aplicabil):

• •copii ale actelor de identitate;
• •în cadrul procesului de verificare a identității la distanță (eKYC) – imaginea facială capturată în vederea atestării identității, prelucrată prin furnizori specializați în identificare electronică.

4.1.6. Conținutul comunicărilor:

• •mesaje transmise prin formularul de contact, e-mail, asistent virtual sau alte canale;
• •documente încărcate în Platformă;
• •conținutul conversațiilor cu Asistentul virtual.

4.2. Date colectate automat

4.2.1. Date tehnice:

• •adresa IP;
• •tipul de dispozitiv, sistem de operare, browser;
• •log-uri de acces, erori și activitate în Cont;
• •identificatori unici ai dispozitivului;
• •data și ora accesării.

4.2.2. Date obținute prin tehnologii OCR:

• •date extrase automat din actele de identitate sau alte documente încărcate de Client (nume, CNP, serie act, dată naștere, adresă etc.), prin tehnologii furnizate de parteneri specializați.

4.2.3. Cookie-uri și tehnologii similare:

• •conform Politicii privind utilizarea modulelor cookie, disponibilă separat pe Platformă.

4.3. Date colectate de la terți

În anumite situații, datele cu caracter personal pot fi furnizate către Formis de către:

• •parteneri B2B (de exemplu, contabili sau alți profesioniști care administrează portofolii de clienți prin Platformă), în condițiile detaliate la Cap. VIII;
• •terți profesioniști contractați de Formis în numele Clientului (avocați, contabili autorizați, auditori, consultanți), în condițiile contractuale aplicabile;
• •Autorități publice, în limitele prevăzute de lege;
• •registrele publice (de exemplu, ONRC).

4.4. Categorii speciale de date

În principiu, Formis nu prelucrează categorii speciale de date cu caracter personal în sensul art. 9 GDPR (date privind sănătatea, originea rasială sau etnică, opinii politice, convingeri religioase, apartenență sindicală, date genetice, date biometrice pentru identificare unică, date privind viața sexuală).

Datele biometrice utilizate în cadrul proceselor eKYC sunt prelucrate exclusiv în scopul identificării certe a persoanei vizate, în temeiul obligațiilor legale Formis (Legea nr. 129/2019) și/sau al consimțământului expres al persoanei vizate, fiind șterse imediat ce scopul prelucrării a fost atins, în condițiile Cap. XIII.

Formis prelucrează datele dumneavoastră cu caracter personal exclusiv în scopuri determinate, explicite și legitime, în baza unuia dintre temeiurile legale prevăzute de art. 6 GDPR.

5.1. Tabel sintetic al scopurilor și temeiurilor

5.2. Detalierea scopurilor cheie

5.2.1. Executarea Contractului. Datele furnizate sunt utilizate pentru a vă livra Serviciile comandate, pentru a genera automat documentele necesare, pentru a vă identifica în relația cu Autoritățile, pentru a comunica cu dumneavoastră și pentru a încasa contravaloarea Serviciilor.

5.2.2. Obligații legale. Anumite prelucrări sunt impuse de lege, în special obligațiile de evidență contabilă și fiscală, obligațiile KYC anti-spălare bani, obligațiile de raportare către Autorități.

5.2.3. Interes legitim. Pentru prelucrările întemeiate pe interes legitim, Formis a efectuat analize de echilibrare (balancing test) care confirmă că interesele Formis sau ale terților nu prevalează asupra drepturilor și libertăților fundamentale ale persoanelor vizate. Detalii pot fi furnizate la cerere.

5.2.4. Consimțământ. Pentru prelucrările bazate pe consimțământ (în special marketing direct prin e-mail), aveți dreptul să vă retrageți consimțământul în orice moment, fără a afecta legalitatea prelucrării efectuate până la momentul retragerii. Dezabonarea de la newslettere se realizează prin link-ul dedicat din fiecare comunicare comercială sau prin cerere la adresa de e-mail oficială.

6.1. Funcționarea Asistentului virtual

Platforma poate pune la dispoziție un Asistent virtual bazat pe inteligență artificială, integrat în interfață, alimentat în tot sau în parte de modele lingvistice de mari dimensiuni (LLM) furnizate de Furnizori Tehnologici Terți (precum, fără limitare, OpenAI, Anthropic, Google, Meta sau alți furnizori similari).

6.2. Datele prelucrate prin Asistentul virtual

Atunci când interacționați cu Asistentul virtual, sunt prelucrate următoarele categorii de date:

• •conținutul conversației (întrebări, răspunsuri, fișiere atașate dacă funcționalitatea o permite);
• •date tehnice (adresă IP, identificator de sesiune, dispozitiv, dată/oră);
• •date din Contul de utilizator, dacă sunteți autentificat (pentru personalizarea răspunsurilor).

6.3. Transferul către Furnizorii Tehnologici Terți

Conținutul conversațiilor cu Asistentul virtual este transmis către Furnizorul Tehnologic Terț care operează modelul AI, în scopul generării răspunsului. Acest transfer poate implica trimiterea datelor către state terțe (în special Statele Unite ale Americii), în condițiile detaliate la Cap. XII.

Furnizorii Tehnologici Terți utilizați acționează în calitate de persoane împuternicite ale Formis și se obligă, prin acordurile de prelucrare încheiate cu Formis, să:

• •prelucreze datele exclusiv pentru scopul prestării serviciului către Formis;
• •nu utilizeze datele pentru antrenarea propriilor modele AI fără acordul expres al Formis;
• •aplice măsuri tehnice și organizatorice adecvate de securitate;
• •respecte garanțiile pentru transferurile internaționale (SCC, Adequacy Decision).

6.4. Avertizare specifică

Vă recomandăm insistent să nu introduceți în conversațiile cu Asistentul virtual:

• •categorii speciale de date (date privind sănătatea, opinii politice, convingeri religioase etc.);
• •parole, credențiale, date bancare complete (PAN, CVV, PIN);
• •date confidențiale aparținând terților;
• •orice alte informații sensibile care nu sunt strict necesare scopului consultării.

6.5. Limitele Asistentului virtual

Asistentul virtual oferă răspunsuri cu caracter strict informativ și orientativ. Răspunsurile pot conține inexactități, omisiuni sau așa-numitele „halucinații AI" – afirmații care par plauzibile dar sunt false sau inventate. Nu luăm decizii exclusiv automate cu impact semnificativ asupra dumneavoastră în baza interacțiunilor cu Asistentul virtual.

6.6. Tehnologia OCR

Tehnologiile de recunoaștere optică a caracterelor (OCR) sunt utilizate pentru extragerea automată de date din actele de identitate sau alte documente încărcate. Aceste tehnologii sunt furnizate de parteneri specializați, care acționează ca persoane împuternicite ale Formis. Datele extrase prin OCR sunt utilizate exclusiv pentru pre-completarea formularelor, urmând a fi validate de Client.

7.1. Calitatea de entitate raportoare

În contextul anumitor Servicii, Formis poate fi calificată drept entitate raportoare în sensul Legii nr. 129/2019 pentru prevenirea și combaterea spălării banilor și finanțării terorismului, având obligația de a aplica măsuri de cunoaștere a clientelei (KYC).

7.2. Date prelucrate în scop KYC

În acest scop, sunt prelucrate următoarele categorii de date:

• •date de identificare ale Clientului persoană fizică (nume, CNP, act de identitate);
• •date de identificare ale beneficiarilor reali ai Clientului persoană juridică;
• •date privind structura de control și proprietate;
• •imagine cu actul de identitate și/sau imagine facială pentru atestarea identității la distanță;
• •înregistrări video/audio realizate în cadrul apelurilor de verificare, după caz;
• •declarații privind sursa fondurilor, scopul tranzacției;
• •verificări împotriva listelor de sancțiuni internaționale și a listelor de persoane expuse politic.

7.3. Temeiul legal

Prelucrarea în scop KYC se realizează în temeiul:

• •art. 6 alin. (1) lit. c) GDPR – obligație legală;
• •art. 9 alin. (2) lit. g) GDPR – pentru datele biometrice utilizate în identificarea la distanță, motive de interes public substanțial;
• •legislația națională aplicabilă (Legea nr. 129/2019, normele de aplicare emise de ONPCSB).

7.4. Consecințe ale refuzului

Refuzul Clientului de a furniza datele necesare pentru identificarea KYC sau de a finaliza procesul de identificare atrage imposibilitatea prestării Serviciilor pentru care identificarea este obligatorie, fără ca aceasta să dea naștere la obligații de despăgubire în sarcina Formis.

7.5. Durata de păstrare specifică

Datele prelucrate în scop KYC se păstrează pentru durata prevăzută de Legea nr. 129/2019, în general 5 ani de la data încetării relației de afaceri sau de la data efectuării tranzacției ocazionale, cu posibilitatea prelungirii pentru încă maxim 5 ani la solicitarea Autorităților competente.

8.1. Situații frecvente

În cursul utilizării Platformei, este posibil să introduceți date cu caracter personal aparținând altor persoane (asociați, administratori, beneficiari reali, soți/soții, cenzori, reprezentanți, semnatari, salariați).

8.2. Garanțiile Clientului

Prin introducerea unor astfel de date, Clientul declară și garantează că:

• •a obținut consimțământul informat al persoanelor vizate, atunci când acesta este temeiul legal aplicabil; sau
• •prelucrarea se întemeiază pe un alt temei legal valabil (executarea unui contract la care persoana vizată este parte, obligație legală a Clientului, interes legitim);
• •a informat persoanele vizate, în mod transparent, cu privire la utilizarea Platformei Formis, scopurile transmiterii datelor, identitatea Formis ca destinatar și drepturile pe care le au în temeiul GDPR;
• •datele furnizate sunt corecte, actuale și complete.

8.3. Calitatea Formis în acest scenariu

În raport cu datele terților introduse de Client în Platformă pentru scopurile proprii (înființarea unei firme cu asociați, generarea unei declarații cu privire la beneficiari reali), Formis acționează în calitate de operator pentru prelucrările proprii (stocare, generare documente, transmitere către Autorități), iar nu de persoană împuternicită a Clientului.

Aceasta deoarece Formis stabilește scopurile și mijloacele de prelucrare prin Platformă (prin design-ul fluxurilor, prin durata de păstrare, prin măsurile de securitate, prin obligațiile legale proprii). În același timp, Clientul rămâne operator pentru propriile sale scopuri (de exemplu, administrarea propriei societăți), iar pentru anumite operațiuni se poate institui o relație de operatori asociați sau de operatori independenți.

8.4. Informarea persoanelor vizate

Persoanele vizate ale căror date sunt introduse de Client în Platformă pot solicita Formis informații privind prelucrarea datelor lor și își pot exercita drepturile în condițiile Cap. XV, prin transmiterea unei cereri la adresa de e-mail oficială a Formis.

8.5. Răspundere

Orice încălcare a legislației privind protecția datelor cu caracter personal rezultată din introducerea nelegală de date ale terților în Platformă (lipsa consimțământului, lipsa informării persoanelor vizate, date inexacte) atrage răspunderea exclusivă a Clientului. Clientul se obligă să despăgubească integral Formis pentru orice prejudicii, sancțiuni sau amenzi aplicate de Autorități în acest context.

9.1. Formis în calitate de operator

În general, Formis acționează în calitate de operator de date pentru prelucrările proprii efectuate prin Platformă, inclusiv:

• •crearea și administrarea Conturilor;
• •generarea documentelor;
• •comunicarea cu Clienții;
• •marketing direct;
• •securitate și conformitate;
• •statistici de utilizare;
• •prelucrări KYC anti-spălare bani.

9.2. Formis în calitate de persoană împuternicită (parteneri B2B)

În măsura în care Platforma este utilizată de un partener B2B (de exemplu, un contabil, un cabinet de avocatură sau un consultant care administrează portofolii de clienți finali prin Platformă) pentru prestarea serviciilor proprii către clienții săi, Formis poate dobândi calitatea de persoană împuternicită a partenerului respectiv pentru prelucrarea datelor clienților finali.

În acest scenariu:

• •partenerul B2B este operator pentru datele clienților săi finali;
• •Formis prelucrează datele exclusiv în baza instrucțiunilor partenerului și conform Acordului de Prelucrare a Datelor (DPA) încheiat;
• •partenerul B2B își asumă răspunderea pentru existența temeiului legal, informarea persoanelor vizate și exercitarea drepturilor acestora.

9.3. Operatori asociați

În cazul anumitor Servicii prestate în comun cu societăți afiliate din grupul Formis, Formis și entitatea afiliată pot dobândi calitatea de operatori asociați în sensul art. 26 GDPR, situație în care se va încheia un acord de operatori asociați, esența căruia va fi pusă la dispoziția persoanelor vizate.

9.4. Operatori independenți

În anumite situații, transferul datelor către un destinatar (de exemplu, un avocat contractat de Formis în numele Clientului care își prestează ulterior serviciul în relație directă cu Autoritățile) poate determina ca destinatarul respectiv să dobândească calitatea de operator independent pentru propriile sale prelucrări, în temeiul cadrului legal aplicabil profesiei sale.

Formis nu vinde, nu închiriază și nu transmite datele cu caracter personal către terțe părți pentru a fi utilizate în propriile scopuri de marketing sau comerciale ale acestora, fără consimțământul expres al persoanei vizate.

În îndeplinirea scopurilor declarate, datele pot fi transmise către următoarele categorii de destinatari, asigurându-se garanții contractuale și tehnice corespunzătoare:

10.1. Autorități publice

• •Oficiul Național al Registrului Comerțului (ONRC);
• •Agenția Națională de Administrare Fiscală (ANAF);
• •Oficiul Național pentru Prevenirea și Combaterea Spălării Banilor (ONPCSB);
• •Autoritatea pentru Supraveghere Financiară (ASF), după caz;
• •instanțe judecătorești și organe de urmărire penală, la cererea acestora;
• •alte Autorități competente, în limita prevederilor legale.

10.2. Terți profesioniști contractați de Formis în numele Clientului

• •avocați colaboratori, contabili autorizați, auditori, consultanți financiari, notari sau alți specialiști, în condițiile Capitolului X din Termenii și Condițiile Platformei și cu respectarea Legii nr. 51/1995, Statutului profesiei de avocat și a celorlalte acte normative aplicabile profesiei. Aceștia sunt obligați prin lege și/sau prin contractul încheiat cu Formis să păstreze confidențialitatea datelor și să le utilizeze exclusiv în limita mandatului.

10.3. Furnizori Tehnologici Terți (persoane împuternicite)

Detaliați la Capitolul XI.

10.4. Societăți afiliate din grupul Formis

În contextul structurii operaționale interne și pentru îndeplinirea Serviciilor, datele pot fi transmise către societățile afiliate din grupul Formis, cu respectarea principiilor GDPR și a măsurilor contractuale interne de protecție.

10.5. Achizitori, succesori, cesionari

În cazul unei reorganizări corporative (fuziune, divizare, transfer de afacere, vânzare de active, cesiune de portofoliu) – inclusiv contextul fuziunii Dosario→Formis programată pentru iulie 2026 – datele pot fi transmise către entitatea succesoare sau cesionară, în condițiile detaliate la Cap. XVII.

10.6. Asigurători, consilieri juridici, experți

În cazul unor litigii, reclamații sau anchete, datele pot fi transmise către asigurători, avocații care reprezintă Formis, experți judiciari sau alte persoane implicate în soluționarea cauzei, în limitele necesare apărării drepturilor Formis.

Pentru funcționarea Platformei, Formis utilizează servicii furnizate de Furnizori Tehnologici Terți, care acționează în calitate de persoane împuternicite. Aceștia sunt selectați pe baza unor criterii stricte de securitate, conformitate și fiabilitate, și sunt supuși unor obligații contractuale prin Acorduri de Prelucrare a Datelor (DPA).

11.1. Categorii de Furnizori Tehnologici Terți

11.2. Garanțiile aplicate

Toți Furnizorii Tehnologici Terți sunt obligați prin DPA să:

• •prelucreze datele exclusiv pentru scopurile stabilite de Formis;
• •aplice măsuri tehnice și organizatorice adecvate pentru securitatea datelor;
• •respecte obligațiile de confidențialitate;
• •notifice Formis în caz de breșă de securitate;
• •asigure exercitarea drepturilor persoanelor vizate;
• •respecte garanțiile pentru transferuri internaționale, după caz;
• •șteargă sau returneze datele la încetarea contractului.

11.3. Lista actualizată

Lista actualizată a categoriilor de Furnizori Tehnologici Terți și subîmputerniciți este disponibilă la cererea persoanei vizate, transmisă la adresa de e-mail oficială. Modificările importante ale listei sunt notificate Utilizatorilor în condițiile prevăzute de GDPR.

12.1. Principiu

Datele cu caracter personal sunt prelucrate prioritar în cadrul Uniunii Europene și al Spațiului Economic European (UE/SEE). În anumite situații, însă, prelucrarea poate implica transferuri către state terțe, în special atunci când utilizăm Furnizori Tehnologici Terți (procesatori de plăți, furnizori de modele AI, servicii cloud) cu sediul sau infrastructură în afara UE/SEE.

12.2. Garanții aplicate transferurilor internaționale

Transferurile către state terțe se realizează exclusiv în baza unuia dintre următoarele temeiuri:

12.2.1. Decizii de adecvare ale Comisiei Europene – pentru state care oferă un nivel adecvat de protecție (de exemplu, transferurile către SUA către entități certificate sub EU-US Data Privacy Framework).

12.2.2. Clauze Contractuale Standard (SCC) – aprobate prin Decizia de punere în aplicare (UE) 2021/914 a Comisiei, încheiate între Formis și destinatarul din statul terț.

12.2.3. Reguli Corporatiste Obligatorii (BCR), după caz.

12.2.4. Măsuri suplimentare (criptare, pseudonimizare, măsuri organizatorice) acolo unde analiza de impact privind transferul (TIA) impune asemenea măsuri.

12.3. Drepturi specifice

Persoana vizată are dreptul de a obține o copie a garanțiilor aplicate pentru transferurile internaționale, prin transmiterea unei cereri la adresa de e-mail oficială a Formis.

Datele cu caracter personal sunt păstrate exclusiv pe perioada necesară îndeplinirii scopurilor pentru care au fost colectate, cu respectarea termenelor minime impuse de lege.

13.1. Durate specifice

Înregistrări video/audio din apeluri eKYC

5 ani conform Legii nr. 129/2019, după care se șterg automat

13.2. Anonimizare după expirarea duratei

După expirarea duratei de păstrare, datele sunt:

• •șterse în mod sigur din sistemele Formis; sau
• •transformate în date anonime care nu mai permit identificarea persoanei, pentru utilizare în scopuri statistice, de cercetare sau de îmbunătățire a Platformei.

13.3. Păstrare extinsă

În anumite situații, Formis poate fi obligată să păstreze datele pentru o perioadă mai îndelungată decât cea standard:

• •la cererea Autorităților competente;
• •în vederea apărării unui drept în instanță;
• •pentru îndeplinirea unor obligații legale specifice;
• •în caz de incidente de securitate care necesită investigare.

13.4. Ștergerea Contului versus marketing

Vă informăm că ștergerea Contului de utilizator nu echivalează automat cu retragerea consimțământului pentru prelucrările bazate pe consimțământ (de exemplu, marketing direct). Pentru retragerea consimțământului pentru marketing, este necesară o acțiune explicită (dezabonare prin link-ul dedicat sau cerere expresă).

În cazul în care solicitați ștergerea Contului, însă pe acel cont există cel puțin o Comandă activă, cererea de ștergere va putea fi procesată numai după finalizarea Serviciului.

Formis a implementat un set complex de măsuri tehnice și organizatorice pentru a proteja datele cu caracter personal împotriva accesului neautorizat, modificării, divulgării, pierderii sau distrugerii accidentale sau ilegale.

14.1. Măsuri tehnice

• •criptare SSL/TLS pentru transmisia datelor;
• •criptare la stocare (at-rest encryption) a datelor sensibile;
• •baze de date securizate, segregate logic;
• •politici stricte de backup și plan de recuperare în caz de dezastru;
• •monitorizare continuă a infrastructurii și sistemelor de detecție a intruziunilor;
• •protecție împotriva atacurilor cibernetice (firewall, anti-DDoS, anti-malware);
• •autentificare cu factor secundar (2FA) pentru conturi cu acces privilegiat;
• •gestionarea actualizărilor de securitate și a patch-urilor.

14.2. Măsuri organizatorice

14.2.1. Politici dedicate. Formis adoptă și revizuiește constant practicile și politicile interne de prelucrare a datelor cu caracter personal pentru a proteja sistemele de accese neautorizate sau alte amenințări.

14.2.2. Minimizarea datelor. Datele prelucrate sunt limitate strict la cele necesare, adecvate și relevante pentru scopurile declarate.

14.2.3. Restrângerea accesului. Accesul la date este limitat la minimul necesar – doar persoanele care au nevoie de aceste date pentru îndeplinirea atribuțiilor profesionale, cu acces pe bază de roluri.

14.2.4. Obligații de confidențialitate. Toți angajații, colaboratorii și terții profesioniști contractați de Formis sunt supuși unor obligații stricte de confidențialitate (contractuale și/sau legale).

14.2.5. Instruirea personalului. Personalul Formis este instruit periodic cu privire la legislația privind protecția datelor și cele mai bune practici.

14.2.6. Anonimizare și pseudonimizare. Acolo unde este posibil, datele sunt anonimizate sau pseudonimizate pentru a reduce riscurile.

14.2.7. Verificarea exactității datelor. Periodic, Formis poate solicita persoanelor vizate confirmarea exactității și actualității datelor.

14.2.8. Evaluări de impact (DPIA). Pentru prelucrările care prezintă risc ridicat, Formis efectuează evaluări de impact asupra protecției datelor.

14.3. Notificarea breșelor de securitate

În eventualitatea unei breșe de securitate care prezintă risc pentru drepturile și libertățile persoanelor vizate, Formis va:

• •notifica ANSPDCP în maxim 72 de ore de la luarea la cunoștință;
• •informa persoanele vizate afectate, atunci când breșa prezintă risc ridicat;
• •documenta breșa și măsurile luate.

14.4. Riscuri inerente

Cu toate măsurile implementate, nicio metodă de transmisie sau de stocare a datelor pe internet nu este absolut sigură. Utilizatorul își asumă riscurile inerente mediului online și se obligă să utilizeze parole puternice, să nu transmită credențialele sale și să notifice prompt Formis în caz de suspiciune privind compromiterea Contului.

În conformitate cu art. 15-22 GDPR, beneficiați de următoarele drepturi:

15.1. Dreptul de acces (art. 15 GDPR)

Aveți dreptul de a obține din partea Formis confirmarea că datele dumneavoastră sunt sau nu prelucrate, precum și o copie a datelor și informații privind scopurile, categoriile, destinatarii, durata, drepturile și sursa datelor.

15.2. Dreptul la rectificare (art. 16 GDPR)

Aveți dreptul de a obține rectificarea datelor inexacte și completarea datelor incomplete.

15.3. Dreptul la ștergere („dreptul de a fi uitat") (art. 17 GDPR)

Aveți dreptul de a obține ștergerea datelor atunci când:

• •datele nu mai sunt necesare scopului inițial;
• •vă retrageți consimțământul, iar nu există alt temei legal;
• •vă opuneți prelucrării și nu există motive legitime imperative pentru continuare;
• •datele au fost prelucrate ilegal;
• •ștergerea este impusă de o obligație legală.

Acest drept poate fi limitat atunci când prelucrarea este necesară pentru:

• •îndeplinirea unei obligații legale (de exemplu, obligațiile fiscale, KYC);
• •constatarea, exercitarea sau apărarea unui drept în instanță;
• •motive de interes public.

15.4. Dreptul la restricționarea prelucrării (art. 18 GDPR)

Aveți dreptul de a solicita restricționarea prelucrării în anumite cazuri (contestarea exactității datelor, opoziție la prelucrare, prelucrare ilegală fără solicitare de ștergere).

15.5. Dreptul la portabilitatea datelor (art. 20 GDPR)

Aveți dreptul de a primi datele furnizate într-un format structurat, utilizat în mod curent și care poate fi citit automat (de exemplu, JSON, CSV, PDF) și de a le transmite altui operator, atunci când prelucrarea este bazată pe consimțământ sau pe contract și se efectuează prin mijloace automate.

15.6. Dreptul la opoziție (art. 21 GDPR)

Aveți dreptul de a vă opune oricând prelucrării datelor:

• •bazate pe interes legitim, din motive legate de situația dumneavoastră particulară;
• •pentru marketing direct (drept absolut, fără justificare).

15.7. Dreptul de a nu face obiectul unei decizii automate (art. 22 GDPR)

Aveți dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrare automată, inclusiv profilare, care produce efecte juridice sau vă afectează semnificativ.

Formis nu ia decizii exclusiv automate cu impact semnificativ asupra dumneavoastră. Răspunsurile Asistentului virtual au caracter pur informativ și nu constituie decizii automate cu efecte juridice.

15.8. Dreptul de a retrage consimțământul

Pentru prelucrările bazate pe consimțământ, aveți dreptul de a vă retrage oricând consimțământul, fără a afecta legalitatea prelucrării efectuate până la momentul retragerii.

15.9. Dreptul de a depune plângere

Aveți dreptul de a depune plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (A.N.S.P.D.C.P.):

• •Adresa: B-dul G-ral Gheorghe Magheru nr. 28-30, Sector 1, București;
• •Website: www.dataprotection.ro;
• •E-mail: [email protected].

De asemenea, aveți dreptul de a vă adresa instanțelor competente.

15.10. Limitări ale drepturilor

Drepturile descrise mai sus pot fi limitate în anumite situații prevăzute de GDPR și de legislația națională (de exemplu, când există motive legitime imperative ce prevalează asupra intereselor persoanei vizate, sau când datele sunt necesare pentru constatarea, exercitarea sau apărarea unui drept).

15.11. Verificarea identității

Pentru exercitarea drepturilor, Formis poate solicita informații suplimentare necesare pentru verificarea identității solicitantului, în scopul prevenirii accesului neautorizat la date.

Platforma Formis utilizează cookie-uri și tehnologii similare (pixeli, web beacons, local storage, session storage) pentru funcționarea Platformei, autentificarea Utilizatorilor, măsurarea performanței și marketing.

Detaliile complete privind tipurile de cookie-uri utilizate, scopurile, durata și modul de gestionare a preferințelor sunt disponibile în Politica privind utilizarea modulelor cookie, accesibilă pe Platformă.

Vă puteți gestiona preferințele privind cookie-urile prin intermediul banner-ului de cookie afișat la prima accesare a Platformei și prin centrul de preferințe accesibil în orice moment.

17.1. Acord anticipat

Prin acceptarea prezentei Politici și a Termenilor și Condițiilor, persoana vizată își exprimă acordul anticipat pentru transferul datelor cu caracter personal către o entitate succesoare, cesionară sau achizitoare în cazul unei fuziuni, divizări, transfer de afacere, vânzări de active, cesiuni de portofoliu sau alte forme de reorganizare corporativă.

17.2. Fuziunea Dosario→Formis

Persoana vizată este informată că, în iulie 2026, este programată consolidarea operațională a platformelor Dosario.ro și Formis.ro, datele Clienților Dosario urmând să fie migrate către infrastructura Formis. Migrarea se va realiza cu respectarea integrală a GDPR, cu menținerea garanțiilor de securitate și cu respectarea drepturilor persoanelor vizate.

17.3. Notificare

Formis va notifica persoanele vizate cu privire la orice cesiune sau transfer cu efect asupra datelor lor, prin notificare la adresa de e-mail asociată Contului, cu cel puțin 30 de zile înainte de producerea efectelor (sau imediat ulterior, în cazul operațiunilor confidențiale până la finalizare).

17.4. Drept de opoziție

Persoana vizată poate exercita drepturile prevăzute de GDPR (în special dreptul la opoziție și dreptul la ștergere) în legătură cu transferul datelor, în limitele prevăzute de lege.

18.1. Principiu general

Formis nu utilizează decizii bazate exclusiv pe prelucrare automată, inclusiv profilare, care să producă efecte juridice sau să afecteze semnificativ persoanele vizate.

18.2. Profilare cu impact redus

În anumite contexte (recomandări de Servicii, personalizarea experienței pe Platformă, conținut publicitar), Formis poate utiliza tehnici de profilare cu impact redus, în temeiul interesului legitim sau al consimțământului. Persoana vizată are dreptul de a se opune acestor prelucrări, conform Cap. XV.

18.3. Verificări automate

În scopul prevenirii fraudei, securității și conformității KYC, Formis poate utiliza sisteme automate de detecție (de exemplu, verificarea împotriva listelor de sancțiuni). Eventualele alerte generate de aceste sisteme sunt validate manual de personalul Formis înainte de luarea unei decizii cu impact semnificativ asupra Clientului.

19.1. Drept de modificare

Formis își rezervă dreptul de a modifica prezenta Politică în orice moment, în funcție de evoluția legislativă, tehnică, operațională sau a Serviciilor.

19.2. Notificare

Modificările vor fi publicate pe Platformă, cu indicarea datei ultimei actualizări. Pentru modificările substanțiale, Formis va notifica Utilizatorii prin e-mail cu cel puțin 15 zile înainte de intrarea în vigoare, cu excepția modificărilor impuse de legislație, care pot intra în vigoare imediat.

19.3. Continuare

Continuarea utilizării Platformei după intrarea în vigoare a modificărilor constituie acceptarea expresă a noii versiuni. Persoana vizată care nu acceptă modificările are dreptul de a închide Contul și de a-și exercita drepturile conform Cap. XV.

20.1. Operator

FORMIS DIGITAL S.R.L.

• •Denumire: FORMIS DIGITAL S.R.L.
• •Sediu: București, str. Jiului nr. 144, ap. 22, etaj 4, Sectorul 1
• •Cod unic de înregistrare (CUI): 44077928
• •Număr de ordine în Registrul Comerţului: J2025036197009
• •E-mail pentru chestiuni privind protecția datelor: [email protected]

20.2. Termen de răspuns

Cererile pentru exercitarea drepturilor vor fi soluționate în termen de o lună de la primire, cu posibilitatea prelungirii cu maxim două luni în cazul cererilor complexe sau numeroase, cu informarea prealabilă a solicitantului.

20.3. Gratuitate

Exercitarea drepturilor este gratuită. În cazul cererilor vădit nefondate, excesive sau repetitive, Formis poate percepe o taxă rezonabilă, justificată, sau poate refuza solicitarea.

20.4. A.N.S.P.D.C.P.

În cazul în care considerați că drepturile dumneavoastră nu au fost respectate, vă puteți adresa direct A.N.S.P.D.C.P.:

• •Adresa: B-dul G-ral Gheorghe Magheru nr. 28-30, Sector 1, București
• •Website: www.dataprotection.ro
• •E-mail: [email protected]