Băncile românești s-au agitat, în ultima perioadă, cu implementarea Regulamentului General pentru Protecția Datelor (GDPR), unele chiar inițiind procedurile în ultima săptămână. În relația cu clienții, acestea au în jur de 20-30 de pagini, care vor începe a fi puse în practică de vineri. Disperarea băncilor vine din faptul că, în cazul în care vor încălca regulamentul, se pot trezi cu amenzi de 20 milioane euro, conform specialiștilor.

Regulament privind protectia datelor personale -GDPRFoto: sxc.hu

În contextul noului regulament, Deloitte și Reff & Asociatii ne-au declarat că banca poate continua să trimită sms-uri clienților în legătură cu informarea scadenței ratei la credit, nefiind, în niciun caz, necesar să solicite din nou, acordul sau permisiunea de a face acest demers către clienți.

Este esențial însă ca banca să înțeleagă condițiile de legitimitate prevăzute de Regulamentul (UE) 2016/679 privind protecția datelor personale și să determine în mod corect baza legală pentru fiecare activitate.

  • Transmiterea de sms-uri în ziua scadenței ratei la credit către client este necesară în vederea executării contractului de credit încheiat între părți, iar acesta reprezintă temeiul legal al prelucrării

„Concret, transmiterea de sms-uri în ziua scadenței ratei la credit către client este necesară în vederea executării contractului de credit încheiat între părți, iar acesta reprezintă temeiul legal al prelucrării. Totodată, acest temei trebuie indicat în mod corespunzător în documentația internă a băncii privind informarea clienților (politica de informare în legatură cu prelucrarea datelor personale), precum și în registrul de evidență al prelucrărilor de date”, a declarat Silvia Axinescu, managing associate Reff & Asociatii - Deloitte România.

În primul rand, spune ea, consimțământul este doar una dintre condițiile de legitimitate prevăzute de Regulament, iar pentru fiecare activitate de prelucrare desfășurată la nivelul băncii trebuie analizat și identificat în mod corect care este temeiul legal cel mai potrivit.

  • În general, consimțământul este utilizat pentru activități precum cea de marketing, în timp ce utilizarea datelor pentru indeplinirea obligațiilor contractuale (precum deschiderea unui cont, contractarea unui credit, cu toate obligațiile partilor aferente) este efectuată având în vedere că prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte.

„Drept urmare, solicitarea consimțământului pentru prelucrarea datelor cu caracter personal este necesară doar în condițiile în care activitățile de prelucrare nu se încadrează între celelalte cinci temeiuri legale de prelucrare prevăzute de Regulament. Deși la prima vedere utilizarea consimtământului pare cea mai facilă metodă de a justifica prelucrarea datelor cu caracter personal, în egală măsură acesta prezintă și riscuri, dată fiind ușurința cu care persoanele vizate și-l pot retrage, astfel îngreunând sau chiar blocând activitățile băncii. Totodată, dacă consimțământul este singurul temei legal în baza căruia se efectueaza prelucrarea, în situația în care banca dorește să folosească datele colectate în alt scop decat cel descris inițial, consimțământul trebuie recolectat”, precizează Axinescu.

Ulterior identificării corecte a temeiului legal al prelucrării pentru fiecare activitate desfășurată la nivelul băncii ce implică date personale, revizuirea și actualizarea documentatiei de informare trebuie să reflecte rezultatele exercițiului de mapare sau cartografiere, fiind suficientă aducerea la cunostința clienților a noii documentații și nu neapărat semnarea acesteia de către clienți.

  • În cazul în care clientul refuză să-și acorde consimțământul, banca se află în imposibilitatea de a continua activitatea de prelucrare justificată de consimțământ și trebuie să șteargă datele colectate, în măsura în care nu poate identifica un temei alternativ de prelucrare. Într-adevăr, pentru a reduce impactul generat de această decizie, banca ar trebui să evalueze cu rigurozitate dacă consimțământul este într-adevar temeiul adecvat de prelucrare.

Clienții trebuie să fie conștienți de faptul că pe lângă obligațiile de conformare impuse băncilor, Regulamentul le conferă o serie de drepturi care le oferă un nivel crescut de control asupra datelor lor cu caracter personal și a condițiilor în care acestea sunt prelucrate.

KeysFin, companie care oferă servicii de business information, susține că relația dintre client și bancă este destul de bine reglementată și în prezent, cel puțin pe hârtie, prin contractele semnate, așa că GDPR va avea un impact mai scăzut față de alte domenii de activitate.

“Informațiile privind numele, prenumele, domiciliul, vârsta, dar și datele biometrice ale persoanei, orientarea politică sau religioasă sunt deja prevăzute prin contract ca fiind confidențiale, astfel că folosirea lor în alte scopuri este interzisă și sancționată de lege. Pentru mecanismele interne ale băncilor, GDPR-ul va însemna un control mai strict al datelor, în așa fel încât bazele de date să nu mai poată fi așa ușor ,,exportate’’ ca până acum”, au arătat oficialii companiei care reunește consultanți.

  • Clienții vor fi mai bine protejați, de exemplu, în fața campaniilor agresive de marketing ce vizează, de exemplu, lansări de oferte de credite sau depozite.

“În România, din păcate, ne confruntăm cu situații în care ești abordat de un operator bancar pentru o promoție financiară cu toate că nu ești clientul acelei bănci sau dacă ești, nu ți-ai dat acordul pentru a fi angrenat în astfel de campanii de marketing. În plus, noul regulament privind protecția datelor cu caracter personal (GDPR) va aduce drept principală noutate obligația instituțiilor financiare de a-i asigură clientului posibilitatea de a-i fi șterse datele, dacă sunt indeplinite condițiile prevăzute de lege”, arată aceștia.

  • Ei susțin că GDPR va întări dreptul clientului de a obține despăgubiri efective pentru prejudiciul suferit din nerespectarea legislației.
  • “Este important și relevant ca  băncile, în cazul nostru, care vor încălca GDPR vor fi pasibile de amenzi de 10 de milioane de euro sau 2% din cifra de afaceri globală pentru încălcări privind protecţia datelor, respectiv de 20 de milioane de euro sau 4% din cifra de afaceri globală pentru încălcări ale principiilor de bază privind prelucrarea datelor”, au precizat reprezentanții KeysFin.