Particularități privind prelucrarea datelor cu caracter personal în cadrul activităților de intermediere financiar-bancară

Universuljuridic.ro PREMIUM

Aici găsiți informaţiile necesare desfăşurării activităţii dvs. profesionale.

Universuljuridic.ro PREMIUM pune la dispoziția profesioniștilor lumii juridice un prețios instrument de pregătire profesională. Oferim un volum vast de conținut: articole, editoriale, opinii, jurisprudență și legislație comentată, acoperind toate domeniile și materiile de drept. Clar, concis, abordăm eficient problematicile actuale, răspunzând scenariilor de activitate din lumea reală, în care practicienii activează.

Testează ACUM beneficiile Universuljuridic.ro PREMIUM prin intermediul abonamentului GRATUIT pentru 7 zile!

Majoritatea activităților de intermediere financiar-bancară^[1] presupun două elemente esențiale atunci când ne referim la relația acestor entități cu persoanele fizice. În primul rând, societățile ce activează pe acest segment încheie cu consumatorii, în calitate de intermediari/prestatori, contracte având ca obiect obținerea unei finanțări (credit ipotecar, credit de nevoi personale, leasing, refinanțare etc.), iar, pe de altă parte, contracte având ca obiect inițierea și derularea de demersuri necesare pentru radierea informațiilor negative raportate la Biroul de Credit cu privire la persoana clientului (întârzieri de plată, cesiuni de creanțe etc.).

În ceea ce privește majoritatea tipurilor de relații contractuale stabilite cu intermediarul, de regulă clientul, în calitate de persoană vizată, semnează un acord de prelucrare a datelor prin intermediul căruia îi permite intermediarului/prestatorului să îi prelucreze date precum nume, prenume, număr de telefon, adresă de e-mail dar și date privind sănătatea, starea civilă, membrii familiei, locul de muncă, veniturile obținute, eventuale litigii în care este implicat etc. Cu alte cuvinte, persoana vizată, prin semnarea unui așa-numit „acord GDPR”, consimte ca intermediarul să îi realizeze un profil care să ajute la verificarea intereselor urmărite, respectiv obținerea unei finanțări ori după caz, radierea din Biroul de Credit. De cele mai multe ori însă astfel de acorduri nu conțin elemente esențiale în materie de informare a persoanei vizate. Cu titlu de exemplu, menționăm faptul că în vederea executării contractelor specifice, persoanei vizate i se alocă o fișă de client ce ajută la formarea unui profil ce trebuie verificat din perspectiva eligibilității în a obține sursa de finanțare dorită, iar operatorii din acest segment omit să realizeze informarea clientului sub aceste aspecte. În mod similar se identifică în practică probleme în materie de îndeplinire a obligației de informare de către intermediar, în calitate de operator de date cu caracter personal cu privire la realizarea scoring-ului preliminar^[2] ori a introducerii datelor clientului în aplicații interne utilizate în mod curent în activitatea brokerului.

Relațiile stabilite între intermediar cu persoanele juridice prin intermediul cărora se urmărește obținerea unei linii de credit ori a unui leasing imobiliar sau auto presupun transferul unui volum minim de date cu caracter personal dinspre client spre broker. Cu toate acestea, stabilirea unui astfel de raport juridic nu ar trebui să omită respectarea măsurilor tehnice și organizatorice implementate la nivelul societății ce realizează activitățile de intermediere deoarece și în această ipoteză are loc o prelucrare de date. Este adevărat că o astfel de relație prezintă riscuri în materie de protecție a datelor cu mult reduse față de relația clasică stabilită între intermediar și persoana fizică, însă apariția incidentelor de securitate trebuie privită în mod proactiv și în această ipoteză. La fel cum intermediarul, în calitatea sa de operator de date cu caracter personal, trebuie să își îndeplinească obligațiile legale impuse de Regulamentul nr. 679 din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor).

În cadrul societăților ce activează în calitate de brokeri de credite, este esențial să existe un plan coerent de conformare la normele de protecție a datelor. Întocmirea unui plan de conformare nu este prevăzută ca o obligație legală pentru operatorii de date, însă această măsura apare ca o bună practică în demonstrarea conformității companiei. De regulă, planul de conformare cuprinde strategia companiei pentru o perioadă determinată sau pentru o durată nedeterminată, urmând a fi actualizat periodic, în funcțiile de noile nevoi ale companiei operator de date cu caracter personal – de exemplu, în cazul apariției unor acte normative noi ce impun procese noi de prelucrări de date ori abordări diferite în materie de procese de prelucrare raportat la ce fusese deja implementat la nivelul societății, în cazul introducerii unor mijloace tehnice noi în activitate, în cazul unor modificări organizaționale etc.

Având în vedere particularitățile brokerului și ținând cont de volumul de date prelucrate, stadiul conformității societății, planul de conformare ar putea conține următoarele elemente: realizarea unui audit preliminar care să identifice nivelul actual al conformității, desemnarea unui responsabil cu protecția datelor, realizarea unei evaluări de impact pentru procesele interne în cazul cărora se impune ca obligație legală redactarea acestui document, instruirea salariaților din toate departamentele societății, revizuirea/actualizarea documentelor utilizate în activitatea internă curentă – de exemplu, draftul de contract pentru obținerea unei finanțări, draftul de contract pentru radierea informațiilor negative deținute de Biroul de Credit, draftul de nota de informare/de acord pentru protecția datelor cu caracter personal etc.

Un element central al planului de conformare al unei societăți ce activează în domeniul intermedierii financiar-bancare ar trebui să fie desemnarea responsabilului cu protecția datelor. Deși mare parte din brokeri nu au desemnat un DPO, este foarte important ca operatorii de pe acest segment să înțeleagă faptul că desemnarea responsabilului este o garanție în respectarea planului de conformare. Numirea DPO nu trebuie privită ca o simplă formalitate, așa cum se întâmpla la nivelul multor companii în practică care consideră în mod eronat că simpla desemnare a persoanei respective va elimina riscul oricărei sancțiuni ce ar putea fi aplicată de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP). În realitate, conducerea companiei trebuie să fie constant preocupată în implicarea responsabilului în toate chestiunile care implica, direct sau indirect, prelucrări de date cu caracter personal astfel încât DPO-ul să cunoască în amănunt toate procesele interne ce privesc funcționarea companiei, în special pe cele susceptibile de a fi riscante pentru operator.

Înainte de a pune în discuție beneficiul implementării eficiente a acestei măsuri organizatorice, se impune o analiză a obligativității desemnării responsabilului cu protecția datelor la nivelul companiilor ce funcționează în intermedierea financiar-bancară. Pentru a ajunge la o concluzie, este necesar ca operatorul să răspundă cel puțin la următoarele întrebări:

○ Operatorul face parte din categoria autorităților publice? –Răspunsul la această întrebare ar fi NU.

○ Activitatea de bază a operatorului presupune o prelucrare care, prin natura sa, necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară larga? – Răspunsul la această întrebare ridică o serie de provocări legate de interpretarea noțiunilor deoarece Regulamentul nu stabilește ce anume presupune termenul „sistematic” sau noțiunea „pe scară largă”. Însă ANSPDCP vine cu o serie de precizări pe site-ul oficial^[3], arătând faptul că, pentru a se stabili este pe scară largă, vor fi avute în vedere patru criterii: numărul persoanelor vizate – un număr exact ori un procent din populația relevantă; volumul datelor și/sau gama de elemente diferite de date în curs de prelucrare; durata sau permanența activității de prelucrare a datelor; suprafața geografică a activității de prelucrare. În ceea ce privește monitorizarea periodică și sistematică, ANSPDCP arată că aceasta presupune toate formele de urmărire și profilare pe Internet, inclusiv în scop de publicitate comportamentală, nefiind însă restricționată în mediul online. Sintagma „periodică și sistematică” presupune o activitate continuă și recurentă, care implică prelucrări de date. La o primă vedere, activitățile de intermediere financiar-bancară intră în sfera prelucrărilor sistematice și pe scară largă deoarece esențialul acestui tip de activitate presupune o profilare constantă a persoanei vizate pentru ca brokerul să poată pregăti dosarul cu profilul potrivit pentru a obține oferte de creditare de la mai multe instituții financiare.

○ Activitatea principală a operatorului constă în prelucrarea pe scară largă a unor categorii speciale de date sau a unor categorii de date cu caracter personal privind condamnări penale și infracțiuni? Pentru a oferi un răspuns la această întrebare, trebuie analizată noțiunea de „categorii speciale de date” prin raportare la specificul activităților de intermediere financiar bancară. Articolul 9 din Regulament identifică categoriile speciale de date cu caracter personal: date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, date biometrice pentru identificarea unică a unei persoane fizice, date privind sănătatea sau date privind viața sexuală sau orientarea sexuală ale unei persoane fizice. Având în vedere faptul că pentru realizarea scoring-ului preliminar este necesară simularea unui profil ce urmează a fi generat și de către unitatea finanțatoare când va analiza cererea pentru creditare, sunt necesare inclusiv date medicale cu privire la persoana vizată, putem concluziona asupra faptului că activitatea brokerilor oferă un răspuns pozitiv și cu privire la această ultimă întrebare.

Chiar și în ipoteza în care din analiza răspunsurilor la întrebările de mai sus ar rezulta faptul că desemnarea responsabilului cu protecția datelor nu apare ca o obligație legală pentru operator, este important să amintim faptul ca ANSPDCP recomandă numirea DPO-ului ca bună practică în general, nu doar atunci când legislația în materie o impune.

Sigur că societățile ce oferă servicii de intermediere financiar-bancară precum și orice operator de date în general nu trebuie să se limiteze în a desemna responsabilul cu protecția datelor cu caracter personal sau la a elabora un plan de conformare pentru a demonstra alinierea la legislația și bunele practici aplicabile în materie de protecție a datelor. Este necesar ca întregul set de măsuri tehnice și organizatorice să fie implementat și monitorizat continuu astfel încât să se asigure un nivel optim de conformare pentru companie. Ca măsuri tehnice aplicabile cu titlu general amintim: securizarea echipamentelor, autentificarea unică a personalului, executarea copiilor de siguranță, anticiparea incidentelor de securitate, securizarea serverelor, implementarea ISO 27001:2013 iar la nivel de măsuri organizatorice menționăm: evidența activităților de prelucrare, analiza interesului legitim, instruirea salariaților, elaborarea de politici și proceduri interne, evaluarea partenerilor comerciali, notele de informare, acordurile privind prelucrările de date, auditul intern etc.

Lista măsurilor tehnice și organizatorice de mai sus nu este nici limitativă și nici exhaustivă, companiile urmând a gândi constant noi măsuri menite să acopere cât mai bine eventualele riscuri în materie de protecție a datelor sau după caz, măsuri care să vină în completarea celor deja elaborate și implementate la nivel de operator, ținând cont în permanență de principiile fundamentale de protecție a datelor prevăzute de legislația aplicabilă, de transparență, de proporționalitate și nu în ultimul rând, de reducerea la minimum a datelor prelucrate în activitatea curentă. Cel mai important aspect de reținut și totodată cea mai mare provocare pe care o înfruntă operatorii de date rămâne identificarea planului intern care să asigure o implementare responsabila și nu una formală.

Bibliografie:

– www.dataprotection.ro;

– www.bnro.ro;

– Elena Grecu, Raluca Comănescu, Georgiana Trifan, GDPR pentru afaceri. Un ghid eficient pentru companii, Ed. Universul Juridic, București 2021;

– Revista Română pentru protecția datelor și securitatea datelor cu caracter personal – RRPSDCP 2/2020;

– Revista Română pentru protecția datelor și securitatea datelor cu caracter personal – RRPSDCP 3/2020;

– Comitetul European pentru Protecția Datelor. Ghidul nr. 4/2019 cu privire la art. 25. Protecția datelor by design și by default;

– Paul Voight, Alex von dem Bussche, The EU General Data Protection Regulation (GDPR). A practical guide, Springer, 2017.