
Băncile românești s-au agitat, în ultima perioadă, cu implementarea Regulamentului General pentru Protecția Datelor (GDPR), unele chiar inițiind procedurile în ultima săptămână. În relația cu clienții, acestea au în jur de 20-30 de pagini, care vor începe a fi puse în practică de vineri. Disperarea băncilor vine din faptul că, în cazul în care vor încălca regulamentul, se pot trezi cu amenzi de 20 milioane euro, conform specialiștilor.
În contextul noului regulament, Deloitte și Reff & Asociatii ne-au declarat că banca poate continua să trimită sms-uri clienților în legătură cu informarea scadenței ratei la credit, nefiind, în niciun caz, necesar să solicite din nou, acordul sau permisiunea de a face acest demers către clienți.
Este esențial însă ca banca să înțeleagă condițiile de legitimitate prevăzute de Regulamentul (UE) 2016/679 privind protecția datelor personale și să determine în mod corect baza legală pentru fiecare activitate.
- Transmiterea de sms-uri în ziua scadenței ratei la credit către client este necesară în vederea executării contractului de credit încheiat între părți, iar acesta reprezintă temeiul legal al prelucrării
„Concret, transmiterea de sms-uri în ziua scadenței ratei la credit către client este necesară în vederea executării contractului de credit încheiat între părți, iar acesta reprezintă temeiul legal al prelucrării. Totodată, acest temei trebuie indicat în mod corespunzător în documentația internă a băncii privind informarea clienților (politica de informare în legatură cu prelucrarea datelor personale), precum și în registrul de evidență al prelucrărilor de date”, a declarat Silvia Axinescu, managing associate Reff & Asociatii - Deloitte România.
În primul rand, spune ea, consimțământul este doar una dintre condițiile de legitimitate prevăzute de Regulament, iar pentru fiecare activitate de prelucrare desfășurată la nivelul băncii trebuie analizat și identificat în mod corect care este temeiul legal cel mai potrivit.
- În general, consimțământul este utilizat pentru activități precum cea de marketing, în timp ce utilizarea datelor pentru indeplinirea obligațiilor contractuale (precum deschiderea unui cont, contractarea unui credit, cu toate obligațiile partilor aferente) este efectuată având în vedere că prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte.
„Drept urmare, solicitarea consimțământului pentru prelucrarea datelor cu caracter personal este necesară doar în condițiile în care activitățile de prelucrare nu se încadrează între celelalte cinci temeiuri legale de prelucrare prevăzute de Regulament. Deși la prima vedere utilizarea consimtământului pare cea mai facilă metodă de a justifica prelucrarea datelor cu caracter personal, în egală măsură acesta prezintă și riscuri, dată fiind ușurința cu care persoanele vizate și-l pot retrage, astfel îngreunând sau chiar blocând activitățile băncii. Totodată, dacă consimțământul este singurul temei legal în baza căruia se efectueaza prelucrarea, în situația în care banca dorește să folosească datele colectate în alt scop decat cel descris inițial, consimțământul trebuie recolectat”, precizează Axinescu.
Ulterior identificării corecte a temeiului legal al prelucrării pentru fiecare activitate desfășurată la nivelul băncii ce implică date personale, revizuirea și actualizarea documentatiei de informare trebuie să reflecte rezultatele exercițiului de mapare sau cartografiere, fiind suficientă aducerea la cunostința clienților a noii documentații și nu neapărat semnarea acesteia de către clienți.
- În cazul în care clientul refuză să-și acorde consimțământul, banca se află în imposibilitatea de a continua activitatea de prelucrare justificată de consimțământ și trebuie să șteargă datele colectate, în măsura în care nu poate identifica un temei alternativ de prelucrare. Într-adevăr, pentru a reduce impactul generat de această decizie, banca ar trebui să evalueze cu rigurozitate dacă consimțământul este într-adevar temeiul adecvat de prelucrare.
Clienții trebuie să fie conștienți de faptul că pe lângă obligațiile de conformare impuse băncilor, Regulamentul le conferă o serie de drepturi care le oferă un nivel crescut de control asupra datelor lor cu caracter personal și a condițiilor în care acestea sunt prelucrate.
KeysFin, companie care oferă servicii de business information, susține că relația dintre client și bancă este destul de bine reglementată și în prezent, cel puțin pe hârtie, prin contractele semnate, așa că GDPR va avea un impact mai scăzut față de alte domenii de activitate.
“Informațiile privind numele, prenumele, domiciliul, vârsta, dar și datele biometrice ale persoanei, orientarea politică sau religioasă sunt deja prevăzute prin contract ca fiind confidențiale, astfel că folosirea lor în alte scopuri este interzisă și sancționată de lege. Pentru mecanismele interne ale băncilor, GDPR-ul va însemna un control mai strict al datelor, în așa fel încât bazele de date să nu mai poată fi așa ușor ,,exportate’’ ca până acum”, au arătat oficialii companiei care reunește consultanți.
- Clienții vor fi mai bine protejați, de exemplu, în fața campaniilor agresive de marketing ce vizează, de exemplu, lansări de oferte de credite sau depozite.
“În România, din păcate, ne confruntăm cu situații în care ești abordat de un operator bancar pentru o promoție financiară cu toate că nu ești clientul acelei bănci sau dacă ești, nu ți-ai dat acordul pentru a fi angrenat în astfel de campanii de marketing. În plus, noul regulament privind protecția datelor cu caracter personal (GDPR) va aduce drept principală noutate obligația instituțiilor financiare de a-i asigură clientului posibilitatea de a-i fi șterse datele, dacă sunt indeplinite condițiile prevăzute de lege”, arată aceștia.
- Ei susțin că GDPR va întări dreptul clientului de a obține despăgubiri efective pentru prejudiciul suferit din nerespectarea legislației.
- “Este important și relevant ca băncile, în cazul nostru, care vor încălca GDPR vor fi pasibile de amenzi de 10 de milioane de euro sau 2% din cifra de afaceri globală pentru încălcări privind protecţia datelor, respectiv de 20 de milioane de euro sau 4% din cifra de afaceri globală pentru încălcări ale principiilor de bază privind prelucrarea datelor”, au precizat reprezentanții KeysFin.
Le vor cumpara datele prin sistemele Pitagora etc si ii vor suna ca si pana acum.
In principiu GDPR spune ca in formularul de acceptare care trebuie trimis obligatoriu (cele precedente nu mai sunt acceptate) nu se poate selecta automat "De acord" ci utilizatorul/clientul trebuie sa dea click.
Eu am primit email de la Raiffeisen prin care mi se spune ca daca nu raspund la email se considera ca accept.
Poate Universitatea are voie sa tina notele si lucrarile insa dvs. pe persoana fizica in nici un caz.
PS: GDPR e despre dreptul FUNDAMENTAL al omului asupra datelor sale personale.
este vina sectorului de servicii ca s-a ajuns aici, o situatie pe care altfel ai vrea sa o eviti si sa lasi mecanismele de piata sa regleze situatia automat. dar s-a abuzat de libertatea ridicata fata de alte sectoare economice, numarul de procese care ajungeau in instanta este de-a dreptul ridicol si ceva trebuia facut ca situatia sa nu degenereze in continuare. companiile trebuiau sa se organizeze astfel incat sa nu se ajunga aici, in alte privinte au creat institutii private de standarde care sa reglementeze activitatea pentru a nu ajunge la interventii guvernamentale, ceea ce era un prim pas minim pe care puteau sa-l faca. in schimb au continuat sa-si bata joc de proprii lor clienti.
aaa, si inca o chestie, altii au zis ca de acum inainte companiile vor avea grija sa bage in contractele initiale aceste acorduri de utilizare a datelor, ca si alte clauze. dar nu le va merge asa usor. in privinta datelor personale, esti deplin proprietar si este suficienta o notificare ulterioara intrarii in vigoare a contractului pentru a duce la nulitatea clauzelor respective. ai dreptul sa te razgandesti oricand, fara repercursiuni legale, asupra modului in care sunt folosite datele tale personale. partea asta a reglementarilor actuale este foarte buna, parerea mea ca doar aceste schimbari ar fi fost suficiente pentru cei care vor sa controleze modul cum le sunt folosite datele personale. pentru restul cetatenilor oricum nu conteaza.
am citit si restul comentariilor d-voastra.
am sa extind ce am scris despre comercianti tuturor entitatilor private sau publice: cine nu are infrastructura si cunostintele necesare pentru a stoca date personale in conditii minime de siguranta, nu ar trebui sa stocheze astfel de date, niciodata, punct.
concret, in cazul d-voastra:
- datele personale ar trebui colectate selectiv si masurile de protectie sa fie proportionale cu riscul.
-> exemplu de risc, chiar daca nu exista un risc financiar (riscul cel mai mare), CNP/seria buletin si adresa unei persoane pot fi folosite pentru a comite crime impotriva sau in numele acelei persoane. cum v-ati simti daca niste studenti ar lua adresa unui coleg "sa regleze niste conturi" dupa ce au obtinut aceste detalii fraudulos de pe calculatorul dumneavoastra? legal ati avea o parte din vina DACA nu ati facut efortul minim necesar sa evitati colectarea sau sa le stocati in siguranta.
-> exemplu de selectivitate, universitatea oricum stocheaza numele, CNP-ul, adresa etc, duplicarea lor poate si ar trebui sa fie EVITATA. daca prin scanarea unui document ar fi intregistrat CNP-ul, acea partea poate fi obturata inainte de stocare. chiar era nevoie de acele date duplicate? daca nu, nu ar trebui stocate, este foarte simplu.
- identificarea se poate face fara date personale directe, exista alternative. de exemplu, s-ar putea folosi un cod unic pe care il asociaza institutia persoanei respective (cand ii emite carnet de student de exemplu). legatura dintre datele personale si acel cod ar trebui sa nu poata fi facuta decat de persoane cu acces in institutia care oricum are obligatia sa le protejeze. riscul este minimalizat.
- stocare criptata, sisteme de protectie software -cel putin- daca nu poate fi evitata colectarea datelor.