INSTRUCŢIUNI
privind prelucrarea datelor cu caracter personal în sectorul
financiar-bancar
PREAMBUL
Centrul Naţional pentru Protecţia Datelor cu Caracter Personal al Republicii Moldova (Centrul),
avînd în vedere:
-
importanţa, rolul şi atribuţiile funcţionale cu care este învestită Banca Naţională a Moldovei (BNM) și Comisia Națională a Pieței Financiare a Republicii Moldova (CNPF), nefiind atins/prejudiciat obiectivul fundamental al acestora, în raport cu calitatea de diriguitori ai mecanismului financiar-bancar naţional;
-
volumul, categoriile şi operaţiunile de prelucrare a datelor cu caracter personal, ce rezultă din obiectivele stabilite de către BNM și CNPF - în calitate de autorități de control şi, respectiv, a instituţiilor financiare care pun în aplicare realizarea acestora;
-
incidentele de securitate produse la instituţiile financiare, constatate de Centru, precum: dezvăluirea listelor acţionarilor (numele, prenumele, numărul de acţiuni, numărul de telefon, adresa de domiciliu, semnătura etc.) persoanelor neautorizate, includerea datelor cu caracter personal ale subiecţilor acestor date în lista debitorilor băncii, prin afişarea acestora pe pagina oficială web a instituțiilor financiare, lipsa evidenței (registrelor de intrare/ieşire) a actelor ce conţin date cu caracter personal, colectarea condiţionată/excesivă (neasigurată legislativ) a datelor cu caracter personal, de la clienţii ce intenţionau să beneficieze de serviciul ,,schimb valutar” chiar şi în cazul unor tranzacţii valutare minore etc.;
-
practica neuniformă de aplicare a principiilor statuate de Legea privind protecţia datelor cu caracter personal, de către instituţiile financiare;
-
inexistenţa garanţiilor suficiente de protecţie a datelor cu caracter personal în textul actelor legislative/normative de profil financiar - bancar;
-
absenţa unui regim armonizat privind operaţiunile de prelucrare a datelor cu caracter personal în sistemul financiar-bancar, fiind necesare măsuri suplimentare de protecţie, pentru a împiedica şi/sau a preveni colectarea, stocarea, extragerea şi prelucrarea datelor cu caracter personal în sistemele de evidenţă existente deja în cadrul entităților financiar-bancare;
-
protejarea drepturilor fundamentale ale persoanei, în special a dreptului la viaţa privată în ceea ce priveşte prelucrarea datelor cu caracter personal;
-
prevenirea pe viitor a operaţiunilor neautorizate de prelucrare a datelor cu caracter personal sub aspectul consultării, extragerii şi utilizării acestor date excesiv scopurilor declarate;
-
necesitatea ajustării operaţiunilor de prelucrare a datelor cu caracter personal la principiile statuate de Legea privind protecţia datelor cu caracter personal,
întrucît:
-
domeniul financiar-bancar reprezintă veriga securității economice a Republicii Moldova;
-
instituțiile financiar-bancare în calitate de principali actori care operează datele cu caracter personal ale subiecților de date/clienți/eventuali clienți;
-
progresul tehnologic actual impune trecerea la metode automatizate de prelucrare a datelor cu caracter personal, care, indubitabil vizează și/sau vor viza fiecare individ, indiferent de apartenența politică, sex, culoare etc., care participă și/sau intenționează să participe la tranzacționarea unor beneficii economice;
-
-
sistemele informaționale automatizate reprezintă un instrument vital la operarea mecanismului financiar-bancar național, precum și la tranzacționarea transfrontalieră a datelor cu caracter personal;
-
integrarea economică şi socială care rezultă din instituirea şi funcţionarea pieţei interne conduce în mod necesar la creşterea fluxului de date cu caracter personal între cei implicaţi, în calitate de participanţi privaţi sau publici, la activitatea economică şi socială naţională;
a elaborat Instrucţiuni privind operaţiunile de prelucrarea datelor cu caracter personal în sectorul financiar-bancar.
-
DISPOZIŢII GENERALE
-
Instrucţiunile privind prelucrarea datelor cu caracter personal în sectorul financiar-bancar (Instrucţiunile) au fost elaborate fără a atinge sfera de competenţă a BNM și CNPF, ţinîndu-se cont de prevederile Convenţiei pentru apărarea drepturilor omului şi a libertăţilor fundamentale; Convenţiei pentru protecţia persoanelor cu privire la prelucrarea automatizată a datelor cu caracter personal; Convenției Consiliului Europei împotriva Spălării Banilor; Convenției ONU împotriva corupției; Convenției penale privind corupția; Legii privind protecţia datelor cu caracter personal; Codului civil; Codului de procedură civilă; Legii cu privire la Banca Naţională a Moldovei; Legii instituţiilor financiare; Legii privind reglementarea valutară; Legii cu privire la serviciul de plată şi monedă electronică; Legii cu privire la prevenirea şi combaterea spălării banilor şi finanţării terorismului; Legii privind societăţile pe acţiuni; Legii cu privire la antreprenoriat şi întreprinderi; Cerinţelor faţă de asigurarea securităţii datelor cu caracter personal la prelucrarea acestora în cadrul sistemelor informaţionale de date cu caracter personal, aprobate prin Hotărîrea Guvernului nr. 1123 din 14 decembrie 2010; Regulamentului Registrului de evidenţă al operatorilor de date cu caracter personal, aprobate prin Hotărîrea Guvernului nr. 296 din 15 mai 2012; actelor normative elaborate de Banca Naţională a Moldovei, precum: Reglementarea şi supravegherea bancară, Operaţiunile valutare şi relaţii externe, Operaţiunile de plată, Sistemului de plăţi, Balanţei de plăţi, Evidenţei contabile, Politicii monetare, Operaţiunile cu numerar, Tehnologiei informaţionale, Raportări etc.
-
Instrucţiunile servesc în calitate de linii directorii în scopul aducerii operaţiunilor de prelucrare a datelor cu caracter personal efectuate de către angajaţii băncilor, şi entităţilor implicate în activitatea financiar-bancară, în conformitate cu principiile statuate de Convenţia pentru protecţia persoanelor cu privire la prelucrarea automatizată a datelor cu caracter personal, Legea privind protecţia datelor cu caracter personal şi bunele practici în domeniu.
-
Reglementările prescrise în prezentele Instrucțiuni, sînt obligatorii față de operatorii implicați în operațiunile de prelucrare a datelor cu caracter personal în sectorul financiar-bancar, avînd drept scop protejarea drepturilor subiecților de date cu caracter personal.
-
Noţiunile utilizate în text:
-
date cu caracter personal: orice informaţie referitoare la o persoană fizică identificată sau identificabilă (subiect al datelor cu caracter personal). Persoana identificabilă este persoana care poate fi identificată, direct sau indirect, prin referire la un număr de identificare sau la unul ori mai multe elemente specifice identităţii sale fizice, fiziologice, psihice, economice, culturale sau sociale. De exemplu: numele, prenumele, anul naşterii, domiciliul, numărul de identitate de stat (IDNP), imaginile foto şi video - reprezintă date cu caracter personal care se referă la o persoană fizică identificată direct.
-
categorii speciale de date cu caracter personal: datele care dezvăluie originea rasială sau etnică a persoanei, convingerile politice, religioase sau filozofice, apartenenţa socială, datele privind starea de sănătate sau viaţa sexuală, precum şi cele referitoare la condamnările penale, măsurile procesuale de constrîngere sau sancţiunile contravenţionale. De exemplu: informaţia ce se conţine în cazierul judiciar, certificatul medical, informația din fişa buletinului de identitate despre participarea la referendum etc. reprezintă categoria specială a datelor cu caracter personal.
-
prelucrarea datelor cu caracter personal: orice operaţiune sau serie de operaţiuni care se efectuează asupra datelor cu caracter personal prin mijloacele automatizate sau neautomatizate, cum ar fi: colectarea, înregistrarea, organizarea, stocarea, păstrarea, restabilirea, adaptarea ori modificarea, extragerea, consultarea, utilizarea, dezvăluirea prin transmitere, diseminarea sau în orice alt mod, alăturarea ori combinarea, blocarea, ştergerea sau distrugerea. Domeniul de aplicare al Legii privind protecția datelor cu caracter personal se răsfrînge în egală măsură atît asupra prelucrărilor ce se efectuează în mod automatizat în format electronic cît și prin alte mijloace decît cele automatizate. De exemplu: în cazul prelucrării datelor cu caracter personal ce se regăsesc în fișierele stocate pe suport de hîrtie, magnetic (CD, DVD, HDD etc.) în sistemele automatizate, manuale sau mixte, gestionate de către entitate.
-
operator: persoana fizică sau persoana juridică de drept public sau de drept privat, inclusiv autoritatea publică, orice altă instituţie ori organizaţie care, în mod individual sau împreună cu altele, stabileşte scopurile şi mijloacele de prelucrare a datelor cu caracter personal prevăzute în mod expres de legislaţia în vigoare. De exemplu: în cazul în care BNM şi/sau entităţile ce participă la circuitul financiar-bancar va/vor stabili scopurile şi procedurile de colectare, stocare şi prelucrare în continuare a căror-va date cu caracter personal în sisteme de evidenţă automatizate, manuale sau mixte, se va/vor constitui în calitate de operator/i al/i acestor date.
-
persoană împuternicită de către operator: persoana fizică sau persoana juridică de drept public ori de drept privat, inclusiv autoritatea publică şi subdiviziunile ei teritoriale, care prelucrează date cu caracter personal în numele şi pe seama operatorului, pe baza instrucţiunilor primite de la operator. De exemplu: filialele instituţiilor financiar-bancare sînt persoane împuternicite de către operator atunci cînd prelucrează datele cu caracter personal în conformitate cu instrucţiunile aprobate de către entitatea principală.
-
sistem de evidenţă a datelor cu caracter personal: orice serie structurată de date cu caracter personal accesibile conform unor criterii specifice, fie că este centralizată, descentralizată ori repartizată după criterii funcţionale sau geografice. În calitate de sistem de evidenţă a datelor cu caracter personal se constituie inclusiv dar nu se limitează la, bazele de date, sistemele informaţionale şi informatice în care sînt stocate şi prelucrate automatizat sau manual datele cu caracter personal. De exemplu: modele clasice ale sistemelor de evidenţă a datelor cu caracter personal reprezintă: Registrul de evidenţă al angajaţilor sau numerelor telefoanelor corporative ale angajaţilor, Registrul de evidenţă al vizitatorilor, Registrul de evidenţă a petiţiilor, Registrul dosarelor debitorilor creditați, precum şi imaginile foto/video colectate prin intermediul sistemelor de supraveghere video.
-
depersonalizarea datelor cu caracter personal: modificarea datelor cu caracter personal astfel încît detaliile privind circumstanţele personale sau materiale să nu mai permită atribuirea acestora unei persoane fizice identificate sau identificabile. De exemplu: instituțiile financiare la colectarea copiilor de pe buletinele de identitate și fișele de însoțire ale acestora urmează să acopere (blureze) datele cu caracter personal privind participarea la vot/referendum și supus/nesupus militar, în cazul efectuării copiilor de angajare la entitate sau să solicite beneficiarilor să prezinte copiile într-un format care să răspundă principiului neexcesivității prelucrării datelor cu caracter personal.
-
PROCEDURI ORGANIZATORICE ŞI TEHNICE NECESAR A FI RESPECTATE
Măsuri generale
-
Entităţilor implicate în procesul desfăşurării activităţii financiar-bancare, urmează a le fi atribuite, în funcție de rolul pe care îl au, calitatea de operator ori persoană împuternicită de operator, în conformitate cu noţiunile statuate de art. 3 al Legii privind protecţia datelor cu caracter personal şi pct. 4 al prezentelor Instrucţiuni.
-
Prelucrarea datelor cu caracter personal în sistemele informaţionale, deţinute atît de persoane de drept public cît şi de drept privat, implicate în desfășurarea mecanismului financiar-bancar, se va efectua cu respectarea drepturilor omului, a libertăţilor fundamentale şi demnităţii persoanelor în cauză, inclusiv dreptul la protecţia datelor cu caracter personal, dreptul la viaţa privată şi identitatea personală.
-
Toate persoanele implicate în procesul desfăşurării activităţilor specificate în pct. 4, care prelucrează date cu caracter personal, inclusiv angajaţii BNM și/sau CNPF, urmează a fi supuşi unei declaraţii de confidenţialitate, care, după caz, poate fi inclusă în contractele de muncă, avînd calitate de clauză contractuală sau în fişele postului, cu menţiunea expresă despre răspunderea civilă, contravenţională sau penală pentru încălcarea acesteia.
-
Urmează a fi elaborată şi implementată politica de securitate instituțională (pentru fiecare operator în parte) a datelor cu caracter personal, în conformitate cu prevederile Cerinţelor faţă de asigurarea securităţii datelor cu caracter personal la prelucrarea acestora în cadrul sistemelor informaţionale de date cu caracter personal, aprobată prin Hotărîrea Guvernului nr. 1123 din 14 decembrie 2010 (Cerinţe), care ar acoperi aspecte ce vizează inclusiv: procedurile şi măsurile legate de realizarea politicii de securitate, cu aplicarea soluţiilor practice cu un nivel de detaliere și complexitate proporţional; identificarea şi autentificarea utilizatorilor învestiţi cu drepturi de acces la sistemele informaţionale de date cu caracter personal; modalităţile de reacţionare la incidentele de securitate; de protecţie a tehnologiei informaţiei şi comunicaţiilor; de asigurare a integrităţii informaţiei care conţine date cu caracter personal; de administrare a accesului la datele cu caracter personal prelucrate; de prescriere a trasabilității datelor cu caracter personal față de fiecare sistem de evidență gestionat; de audit în sistemele informaţionale şi de evidenţă a datelor cu caracter personal etc.
-
Politica de securitate instituţională urmează să se fundamenteze pe principiul ,,Privacy by Designe” – arhitectura tehnică a securității informaționale a oricărui sistem de evidență gestionat în cadrul entității urmează să corespundă și/sau să asigure anumite practici de reacționare prescrise, instituite conceptual, urmînd să conţină reglementări care ar asigura protecţia datelor cu caracter personal prelucrate în cadrul sistemelor de evidenţă deţinute, în special prin următoarele metode:
-
preîntîmpinarea conexiunilor neautorizate la reţelele comunicaţionale şi interceptării cu ajutorul mijloacelor tehnice a datelor cu caracter personal transmise prin aceste reţele, în special în procesul dezvăluirii prin transmitere a datelor cu caracter personal între entităţile abilitate cu diferite competenţe în procesul desfăşurării activităţilor de prelucrare a datelor cu caracter personal în cadrul acţiunilor de monitorizare, supraveghere, raportare şi control al entităţilor subordonate normativ şi/sau contractual;
-
excluderea accesului neautorizat la datele cu caracter personal prelucrate în cadrul sistemelor de evidenţă gestionate, prin metoda implementării procedurilor de identificare şi autentificare a utilizatorilor, prin repartizarea obligaţiilor şi învestirea cu minim de drepturi şi competenţe a celor implicaţi în procesul de gestionare a sistemelor de evidenţă a datelor cu caracter personal, prin asigurarea resurselor informaţionale cu soft licenţiat;
-
preîntîmpinarea acţiunilor speciale tehnice şi de program care pot condiţiona distrugerea, modificarea datelor cu caracter personal sau defecţiuni în lucrul complexului tehnic, a soft-urilor destinate prelucrării datelor cu caracter personal, prin metoda folosirii mijloacelor de protecţie speciale, inclusiv a programelor licenţiate, programelor antivirus, organizării sistemului de control al securităţii soft-urilor şi efectuarea periodică a copiilor de siguranţă;
-
preîntîmpinarea scurgerii informaţiilor care conţin date cu caracter personal, transmise prin canalele de legătură, prin folosirea metodelor de cifrare (criptare) a acestor informaţii;
-
stabilirea exactă a ordinii şi procedurilor de acces la informaţia care conţine date cu caracter personal și/sau atribuite la secret comercial/financiar, prelucrată în cadrul sistemelor informaţionale şi de evidenţă instituite, atît pentru utilizatorii interni cît şi pentru cei externi;
-
organizarea generării înregistrărilor de audit a securităţii în sistemele informaţionale de evidenţă a datelor cu caracter personal, pentru a fi posibil acumularea probatoriului în cazurile investigării (de către operatorii sau organele corespunzătoare) a eventualelor operaţiuni de acces/tentativă de acces neautorizat, a operaţiunilor de modificare, extragere, blocare, ştergere sau distrugere a datelor cu caracter personal prelucrate în aceste sisteme de evidenţă.
-
Operatorii financiari-bancari (și/sau entitățile financiare antrenate în operațiunile de prelucrare a datelor cu caracter personal) trebuie: să adopte mecanisme de criptare pe parcursul tuturor pasajelor interne, să restricţioneze accesul la fişiere într-un număr mic de agenţi, să actualizeze în mod constant sistemele de operare şi software-ul antivirus.
-
Perioada de păstrare a datelor cu caracter personal din registrele informaționale interne trebuie să fie specificată şi, odată expirată, trebuie să fie activată ştergere de funcționalitatea automatizată și sau trecerea acestora în regim de document de arhivă, fără posibilitatea de reanimare (utilizare) a acestor informații decît: la cererea subiectului de date și/sau la cererea organului de resort în ordinea și în temeiul legislației procesual civile, contravenționale sau penale.
Folosirea poștei electronice și internetului în relațiile de muncă
-
Pentru utilizarea corectă a rețelei internet și serviciilor e-mail urmează a se ține cont de următoarele principii:
-
principiul de necesitate, în conformitate cu care, sistemele informaționale și programele calculatorului trebuie să fie configurate prin reducerea la minimum a utilizării datelor cu caracter personal și de identificare în raport cu scopurile urmărite;
-
principiul de corectitudine, în conformitate cu care, caracteristicile esențiale ale prelucrărilor trebuie să fie apreciate de angajați cu individualizarea necesității pentru fiecare categorie de date cu caracter personal în parte. Tehnologia informației (într-o măsură mai mare decît dispozitivele interne de pe care se face o prelucrare) permite efectuarea mai multor prelucrări decît cele care sînt efectuate la locul de muncă. Astfel, prelucrarea de date cu caracter personal, prin diverse aplicații, poate excede circuitul fizic intern al instituției financiar-bancare, prin ce pot fi cauzate unele scurgeri de informații, calificate drept incidente de securitate, acestea fiind în mod proporțional prejudiciabile sub aspect pecuniar atît operatorului de date cît și întregului mecanism financiar-bancar național. În astfel de condiții, se impune necesitatea unei instruiri suplimentare ale personalului angajat, prin prisma principiilor de protecție a datelor cu caracter personal;
-
prelucrarea trebuie să fie efectuată în scopuri determinate, explicite cu respectarea principiului de relevanță și de ne-excesivitate. Orice prelucrare de date cu caracter personal urmează a fi efectuată în strictă conformitate cu atribuțiile specificate în fișa postului și să fie conforme prevederilor art. 4 al Legii privind protecția datelor cu caracter personal;
-
principiul responsabilizării, potrivit căruia, angajatorii/instituțiile financiar-bancare urmează să asigure funcționalitatea și utilizarea adecvată a acestor resurse informaționale, prin implementarea unor instrucțiuni clare care vor permite angajaților de a-și exercita corect obligațiile de serviciu ce rezultă din activitatea financiar-bancară prestată.
-
La prelucrarea datelor cu caracter personal ce vizează angajații, instituțiile financiar-bancare urmează să țină cont de prevederile art. 91-94 Codul muncii. Mai mult, urmează să se asigure angajatului la locul de muncă protecția drepturilor și libertăților fundamentale și a demnității, printr-un cadru de drepturi și obligații reciproce, în special, reglementări, care să permită angajatului să-și exprime în mod liber personalitatea și să i se asigure rezonabil sfera de intimitate în relațiile personale și profesionale. Astfel, utilizarea tehnicilor de monitorizare, precum supravegherea video, cardurile de acces, monitorizarea geolocației persoanei prin diferite dispozitive, urmează a fi ajustată la principiile statuate de legislația din domeniul protecției datelor cu caracter personal.
-
Disciplina la locul de muncă urmează a fi armonizată cu principiile de protecție a datelor cu caracter personal, precum și corelate cu reglementările sectoriale în ceea ce privește relațiile de muncă și utilizarea tehnologiilor electronice la prelucrarea informațiilor, ținînd cont de dreptul persoanei de a nu fi supus unei decizii individuale automatizate (art. 7 al Legii privind protecția datelor cu caracter personal, Recomandarea nr. R(89) 2 a CE și Recomandarea CM/Rec (rdo) 12).
-
În funcție de gradul de risc asupra cărora sînt supuse prelucrările de date cu caracter personal, instituția financiar-bancară, în cadrul anumitor tehnici de operare ar putea:
-
navigarea pe paginile web ce nu au tangență cu atribuțiile de serviciu, descărcarea de software sau de fișiere cu muzică etc.;
-
servicii de e - mail sau de rețea, chiar dacă numai de la anumite stații de lucru sînt folosite sistemele de webmail, indicînd modul și perioada de utilizare (De exemplu: în afara orelor de lucru sau în timpul pauzelor, sau să permită utilizarea moderată, chiar și în timp de lucru);
-
sistarea traficului extern a internetului pentru a nu putea accesa site-uri extra-jurisdicționale legislației naționale;
-
excluderea dispozitivelor de transcriere a informațiilor (CD-ROM, DVD-ROM, USB etc.);
-
pătrunderii în perimetrul de securitate cu dispozitive audio-video (De exemplu: telefoanele mobile proprii ale angajaților care sînt dotate cu astfel de tehnici de captare a informațiilor);
-
prescrie unele proceduri de control,
-
în ce situație angajatorul își rezervă dreptul de a efectua verificări cu privire la respectarea principiilor de protecție a datelor cu caracter personal, chiar și ocazional sau cazual, precizînd motivele legitime sau situații critice, care vor genera astfel de verificări (chiar și pentru testarea funcționalității și securității sistemului);
-
care sînt consecințele, inclusiv de natură disciplinară, în cazul în care se constată că e-mail-ul și internetul sînt utilizate în mod necorespunzător;
-
soluțiile de asigurare a continuității procesului tehnologic chiar și în situația în care angajatul ce operează sistemul va lipsi, inclusiv, la activarea sistemelor de a răspunde automat la e - mail-urile primite.
-
În situația în care angajații sînt supuși unor măsuri de audit/control intern, la finalizarea procedurilor de verificare, obligatoriu, toți subiecții a căror activitate a fost supusă unei astfel de monitorizări (chiar și în cazul neînregistrării unor abateri de ordin execuțional), excepție fiind cazurile specificate la art. 15 al Legii privind protecția datelor cu caracter personal, urmează a fi informați despre rezultatele acesteia.
-
Angajatorul nu este în drept să utilizeze tehnici ascunse de captare a imaginilor video/audio și/sau să supună oricărui tip de monitorizare ascunsă angajații, inclusiv reproducerea și depozitarea sistematică a paginilor web vizualizate de către aceștia.
-
Angajatorul este obligat să ia măsuri corespunzătoare organizatorice și tehnologice, menite să prevină riscul de abuz în prelucrarea datelor cu caracter personal și, în toate cazurile, să minimizeze utilizarea datelor referitoare la angajați.
-
De asemenea angajatorul este obligat să pună la dispoziția angajaților email-uri naționale personalizate de tip - @bancaXXX.md.
-
DREPTURILE SUBIECȚILOR DATELOR CU CARACTER PERSONAL
-
În momentul colectării datelor cu caracter personal referitor la încheierea unui contract de prestare a serviciilor financiar-bancare, persoana responsabilă din cadrul entității, notifică subiectul de date cu caracter personal despre identitatea operatorului, în conformitate cu prevederile art. 12 al Legii privind protecţia datelor cu caracter personal.
-
Informaţiile menţionate la pct. 20 trebuie să includă descifrarea clară şi obiectivă în ceea ce priveşte scopurile şi metodele de prelucrare, precum şi alte elemente prevăzute la art. 12 al Legii privind protecţia datelor cu caracter personal, cum ar fi :
-
identificarea sistemului de evidență în care vor fi prelucrate datele cu caracter personal, prezentarea informaţiei în gestiunea căror operatori/persoane împuternicite de operatori vor fi transmise datele cu caracter personal;
-
categoriile de participanţi care vor avea acces la datele cu caracter personal;
-
termenul de păstrare a datelor cu caracter personal;
-
modalitatea de exercitare a drepturilor prevăzute la art. art. 13, 14 şi 16 ale Legii privind protecţia datelor cu caracter personal - dreptul de acces, de intervenție și de opoziție asupra datelor cu caracter personal ce vizează subiectul de date.
-
Obligația prezentării informațiilor specificate la pct. 21 se referă în mod corespunzător și persoanei/lor împuternicite de către operator.
-
Informarea clientului băncii/subiectului datelor cu caracter personal se va efectua o singură dată în condițiile enunțate supra, în situația în care colectare/prelucrarea ulterioară a datelor ce-l vizează va urmări scopul declarat inițial și va continua atît timp cît contractul va produce efecte juridice.
-
La cererea scrisă a subiectului datelor cu caracter personal, instituțiile financiar-bancare oferă acces spre vizualizare sau, după caz, eliberare a informațiilor pe suport de hîrtie sau în format electronic (în funcție de solicitarea subiectului), ce constituie date cu caracter personal care vizează petentul, în condițiile prevăzute de art. 13 al Legii privind protecția datelor cu caracter personal și în termenele prevăzute la art. 16 al Legii privind accesul la informație. În cazul în care satisfacerea solicitării necesită timp și resurse financiare disproporționate scopului propus spre realizare (exemplu: în cazul în care subiectul datelor cu caracter personal solicită accesul la un volum exorbitant de date ce-l vizează, și/sau pe o perioadă ce depășește capacitatea operațională de extragere a acestor informații), subiectului datelor cu caracter personal i se poate solicita acoperirea cheltuielilor suportate pentru realizarea acestui drept, însă, cuantumul financiar nu poate depăși sine-costul operațiunilor, și/sau stabilirea unor termene suplimentare de examinare a adresării. Dreptul subiectului datelor cu caracter personal poate fi suspendat, pe o perioadă determinată, care nu va depăși termenele prescrise în legislația specială, în situația în care prelucrarea datelor cu caracter personal ce-l vizează cad sub incidența art. 15 al Legii privind protecția datelor cu caracter personal.
-
Drept motiv pentru refuzul subiectului de date cu caracter personal de a i se furniza/informa/acorda acces la datele cu caracter personal (ce-l vizează) nu poate constitui atribuirea acestor informații la secret bancar/comercial/fiscal. Excepție fiind informația ce cade sub incidența prevederilor art. 15 al Legii privind protecția datelor cu caracter personal.
-
În cazul realizării de către subiectul de date cu caracter personal a dreptului de intervenție, datele inexacte urmează a fi actualizate prin rectificare sau ștergere, ca bază servind doar actele oficiale (buletinul de identitate, adeverința de naștere, permisul de conducere etc.), modificarea urmînd a fi efectuată în toate sistemele de evidență a datelor cu caracter personal gestionate de către operator/persoana împuternicită de către operator.
-
La cererea scrisă a subiectului datelor cu caracter personal prin care acesta își manifestă dreptul de opoziție asupra operațiunilor de prelucrare a datelor ce-l vizează, în situația în care aceasta nu cade sub incidența clauzelor contractuale și/sau unor obligațiuni caracteristice circuitului civil, precum și restricțiilor prevăzute la art. 15 al Legii privind protecția datelor cu caracter personal și/sau altor legi, entitățile financiare au obligația de a înceta orice prelucrare asupra datelor, acestea fiind distruse în modul corespunzător.
-
Calitatea de subiect al datelor cu caracter personal revine nu doar clienților contractanți dar și oricărei persoane fizice implicate într-o anumită prelucrare de date cu caracter personal (De exemplu: în cazul supravegherii prin mijloace video a trecătorilor, vizitatorilor etc).
IV. PRELUCRAREA DATELOR CU CARACTER PERSONAL ÎN RAPORTUL INSTITUȚIA FINANCIAR-BANCARĂ / CLIENT
-
Datele cu caracter personal, ce sînt pertinente şi neexcesive, pot fi prelucrate de către instituția financiar-bancară, doar în scopul aducerii la îndeplinire a unui interes legitim (De exemplu: în cazul punerii în aplicare a unor clauze contractuale, avînd în vedere drepturile şi obligaţiile ce rezultă din raportul juridico-civil), iar prelucrarea datelor cu caracter personal se va individualiza, se va răsfrînge şi se va limita doar asupra subiectului/ţilor a căror consimţămînt (neviciat) a fost obţinut expres. Astfel, prelucrarea datelor cu caracter personal ce vizează alţi subiecţi decît cei consemnaţi în raportul contractual (De exemplu: prelucrarea datelor cu caracter personal ale soţului/soţiei, a cărui consimţămînt nu a fost obţinut la semnarea contractului) nu poate avea loc, decît în cazurile stipulate expres în lege.
-
Principiul pertinenţei datelor urmează a fi pus în aplicare la prelucrarea datelor cu caracter personal îndreptate spre identificarea clienţilor pentru stabilirea raporturilor contractuale şi/sau efectuarea unor operaţiuni financiare, precum: viramente, tranzacţii, schimb valutar etc.
-
Prelucrarea unui anumit volum de date cu caracter personal, în vederea identificării clienţilor, urmează a fi ajustat la necesităţile contractuale, astfel încît, volumul de date cu caracter personal solicitat să satisfacă şi să se limiteze la interesul/necesitatea legitimă a operatorului, ne-depăşind scopul pentru care aceste date au fost colectate.
-
Colectarea sistematică a unui anumit volum de date cu caracter personal la identificarea clienților ce intenționează de a beneficia de anumite servicii financiar-bancare urmează a fi efectuată în condițiile prevăzute la art. 5 alin. (1) lit. b) şi c) din Legea cu privire la prevenirea şi combaterea spălării banilor şi finanţării terorismului. Astfel, colectarea copiilor buletinelor de identitate în volum integral, ce consemnează date cu caracter personal, precum: culoarea ochilori, înălţimea, grupa sangvină, sexul, starea civilă, numele, prenumele, data şi anul naşterii soţiei/copiilor, numărul certificatului de căsătorie, participarea la alegeri, situaţia militară etc., sînt redundante şi excesive în raport cu scopul declarat, prelucrarea neîntemeiată a acestor categorii se va considera ca o ingerinţă în viaţa privată a subiectului de date cu caracter personal. Precizăm că raționamentele specificate în acest alineat se referă la colectarea sistematică/unilaterală vis-à-vis de toți clienții/beneficiarii serviciilor financiar-bancare, însă, în cazul existenței a unor bănuieli rezonabile în ceea ce privește natura tranzacției și/sau autenticitatea datelor prezentate, banca și/sau instituția financiară este în drept de a colecta orice informație cu condiția că prelucrarea este necesară și nu contravine prevederilor art. 4 și art. 5 ale Legii privind protecția datelor cu caracter personal. Astfel, operațiunile de colectare și prelucrare a datelor cu caracter personal de către instituția financiar-bancară, urmează a fi justificate cu individualizarea fiecărei categorii de date cu caracter personal suplimentar colectată, ori de cîte ori se intenționază o astfel de prelucrare.
-
Un alt aspect important care urmează a fi suprimat (avînd în vedere practica instituțiilor financiar-bancare), este colectarea copiilor buletinelor de identitate şi/sau altor acte oficiale ce identifică clientul (permis de conducere, poliţa de asigurare, legitimaţia de serviciu, certificatul de naştere, certificatul de căsătorie, paşaportul străin etc.), colectate repetat, în situaţia în care cu un anumit client a fost stabilită o relaţie contractuală. Totodată, precizăm că operatorul de date cu caracter personal este în drept să solicite de la potenţialii clienţi orice tip de act oficial în original care demonstrează identitatea acestuia, precum şi să verifice autenticitate acestora, prin contrapunerea informaţiilor prezentate cu cele din Registrul de Stat al Populaţiei, astfel încît, să fie exclus orice dubiu şi/sau pretinsă justificare de a colecta sistematic un volum de date cu caracter personal inutil şi excesiv scopului acestor entităţi. Respectiv, colectarea sistematică de date cu caracter personal şi anume copiile actelor oficiale în volum integral care duce la identificare clienţilor, avînd categoriile de date cu caracter personal inutile raportului juridico-civil, urmează a fi anihilate din considerentul excluderii posibilităţii cauzării îngerinţelor în viaţa privată a subiectului de date cu caracter personal. În susținerea celor menționate servesc prevederile art. 5 alin. (2) al Legea cu privire la prevenirea şi combaterea spălării banilor şi finanţării terorismului, care reglementează procedura identificării şi verificării identităţii persoanelor fizice sau juridice, însă, nu presupune şi dreptul de a prelucra datele cu caracter personal conţinute în buletinele de identitate precum: starea civilă, situaţia militară, numele şi prenumele copiilor minori, înălțimea, grupa sangvină, culoarea ochilor, participarea la alegeri etc., inclusiv nu prevede obligația de a colecta și păstra o durată nedeterminată toate copiile buletinelor de identitate și a fișelor de însoțire a acestora. Respectiv, prevederile art. 8 lit. a) al Legii privind actele de identitate din sistemul național de pașapoarte, reiterează circumstanțele invocate în alineatul precedent, statuînd că titularul actului este obligat să prezinte, la cerere, entităților competente actul de identitate, iar potrivit art. 9 alin. (1) lit. l) al aceluiași act normativ, extragerea nelegală (în absența unui temei legal), a datelor despre titularii actelor de identitate - constituie încălcare a legii precitate.
-
Prelucrarea datelor cu caracter personal conţinute în contractul încheiat între instituția financiar-bancară şi subiectul datelor cu caracter personal, precum şi în anexele acestui contract, poate fi efectuată doar de către operatorul de date şi/sau persoana împuternicită de către acesta (angajaţii cărora, conform fişei postului, le sînt atribuite şi delimitate exhaustiv împuternicirile respective).
-
Orice tip de prelucrare a datelor cu caracter personal urmează să corespundă prevederilor art. 4 al Legii privind protecţia datelor cu caracter personal, care statuează că datele cu caracter personal care constituie obiectul prelucrării trebuie să fie prelucrate în mod corect şi conform prevederilor legii; colectate în scopuri determinate, explicite şi legitime, iar ulterior să nu fie prelucrate într-un mod incompatibil cu aceste scopuri; adecvate, pertinente şi neexcesive în ceea ce priveşte scopul pentru care sînt colectate şi/sau prelucrate ulterior, precum și prevederilor Legii privind protecţia consumatorilor şi Legii privind clauzele abuzive în contractele încheiate cu consumatorii, care, în mod obiectiv, transpun principiile statuate de Legea privind protecţia datelor cu caracter personal.
-
Prelucrarea datelor cu caracter personal conţinute într-un sistem informaţional al unei entități financiar-bancare, este realizată de către operator şi persoanele împuternicite, exclusiv în scopurile pentru care acestea au fost colectate şi/sau în scopuri de protecţie a creanței şi limitarea riscurilor, în special pentru a evalua situaţia financiară şi solvabilitatea părţilor în cauză.
-
Prelucrarea datelor cu caracter personal nu poate fi efectuată în oricare alte scopuri decît cel iniţial, cum ar fi - marketingul direct, promovarea unor anumite produse/servicii în scopuri publicitare. Excepție fiind cazurile cînd se obține în prealabil consimțămîntul în scris al subiectului datelor cu caracter personal la prelucrarea datelor ce-l vizează în astfel de scopuri.
-
Înaintea oferirii dreptului de a prelucra date cu caracter personal persoanelor împuternicite de către operator, în conformitate cu prevederile art. 29 alin. (2) al Legii privind protecția datelor cu caracter personal, operatorul urmează să ofere acestora instrucțiuni clare care vor cuprinde cel puțin: scopul prelucrării, modalitatea prelucrării, perioada de stocare, persoanelor cărora le pot fi furnizate aceste informații cu accesibilitate limitată.
-
Operatorul de date cu caracter personal este obligat să obțină de la persoana/ele împuternicită/e clauza de confidențialitate (de nedivulgare a informațiilor care au fost cunoscute în virtutea funcției exercitate), care va cuprinde răspunderea pe care o poartă acesta/ea în ordine civilă, contravențională sau penală, chiar și după rezilierea/încetarea raportului juridic civil.
-
Operatorul și persoana împuternicită de către operator poate prelucra datele cu caracter personal încredințate doar în scopurile stabilite exhaustiv și asupra cărora subiectul datelor cu caracter personal și-a manifestat consimțămîntul în formă scrisă.
-
Drepturile subiectului de date cu caracter personal prevăzute la art. art.12, 13, 14, 16 și 17 ale Legii privind protecția datelor cu caracter personal se manifestă sub formă de obligație care revine corespunzător și persoanei împuternicite de operator.
-
În cazul în care persoana împuternicită de operator deține personalitate juridică, iar la prelucrarea datelor cu caracter personal sînt implicați angajații proprii, acesteia îi revine obligația de a se înregistra în calitate de operator de date cu caracter personal asupra propriilor sisteme de evidență (precum: sistemul de evidență resurse umane, sistemul de evidență contabilitate etc.), în conformitate cu prevederile art. 23 al Legii privind protecția datelor cu caracter personal.
-
Persoana împuternicită de operator poartă răspundere solidar pentru acțiunile săvîrșite la indicația operatorului și/sau la propria inițiativă, în cazul în care se adeverește că prelucrarea datelor cu caracter personal a fost contrară principiilor de protecție a datelor cu caracter personal.
-
Prelucrarea datelor cu caracter personal nu poate implica prelucrarea categoriilor speciale de date cu caracter personal – datele care dezvăluie originea rasială sau etnică a persoanei, convingerile ei politice, religioase sau filozofice, apartenenţa socială, datele privind starea de sănătate sau viaţa sexuală, precum şi cele referitoare la condamnările penale, măsurile procesuale de constrîngere sau sancţiunile contravenţionale, excepție fiind cazurile expres prevăzute de lege.
-
Orice tip de prelucrare a informației ce conține date cu caracter personal urmează a se limita la strictul necesar realizării obiectivelor propuse, în special, la realizarea interesului legitim care poate fi materializat atît prin clauzele contractuale și/sau existența unor norme legale care permit o astfel de prelucrare.
-
Codificarea şi criteriile utilizate eventual pentru înregistrarea datelor cu caracter personal într-un sistem de evidență, reprezintă o verigă importantă în vederea securizării sistemului şi creării unor premise necesare pentru respectarea dreptului privind protecţia datelor cu caracter personal. Utilizarea acestor coduri şi standarde trebuie să fie însoţită de instrucţiuni clare cu privire la scopul lor, modul de utilizare şi respectare a acestora de către eventualii utilizatori împuterniciţi.
-
În sistemele de evidență a datelor cu caracter personal gestionate, necesită a fi instituită obligatoriu rubrica, în care la fiecare accesare vor fi memorizați: identificatorii utilizatorului autorizat al sistemului de evidență, după caz identificatorii dispozitivului precum IP-ul și MAC-adresa, de pe care au fost prelucrate datele cu caracter personal, scopul și temeiul legal al accesării/prelucrării datelor cu caracter personal.
-
Operatorul datelor cu caracter personal sau persoana împuternicită poate accesa datele cu caracter personal în sistemul informaţional financiar-bancar cu condiţia respectării interesului justificat/obligaţiei de serviciu care se aplică în următoarele condiţii:
-
beneficiarii serviciilor financiar-bancare care au nevoie de a stinge sau a modifica o obligaţie sau un drept în ceea ce priveşte relaţia pozitivă cu instituția financiar-bancară cu utilizarea instrumentelor financiare;
-
persoanele împuternicite care acţionează în cadrul instituţiei respective (supuse obligaţiei nedivulgării) în vederea realizării unor sarcini de serviciu cum ar fi stabilirea unui raport de credit sau prevenirea unor riscuri creditare;
-
persoanele care sînt antrenate într-un raport juridic cu cele menţionate în alineatul anterior, în condiţiile în care este necesar de a evalua unele riscuri pentru a dovedi în mod obiectiv situaţia financiară şi solvabilitatea entităţii menţionate.
-
Datele cu caracter personal referitoare la cererile subiecților/clienților instituției financiar-bancare într-un sistem unic de evidență pot fi accesate treptat şi selectiv, prin unul sau mai multe niveluri de consultare, iar dreptul de acces, necesită a fi acordat în strictă conformitate cu prezentele instrucţiuni şi legislaţia în vigoare privind protecţia datelor cu caracter personal.
-
Datele cu caracter personal conţinute în orice tip de cerere (de creditare, de deschidere a unui depozit, de efectuare a unor tranzacții etc.), pot fi stocate într-un sistem de evidență și/sau în mai multe sisteme de evidență interconectate pentru perioada de timp necesară. În cazul în care cererea nu este acceptată sau din anumite motive solicitantul renunţă la obiectul reclamat, datele cu caracter personal introduse în sistem atît în format electronic cît și în orice alt format (hîrtie) necesită a fi şterse în decursul a 10 zile calendaristice;
-
Informaţia cu privire la o relaţie pozitivă care a fost consumată pe deplin ca urmare persoana fiind exonerată de orice tip de obligaţie, poate fi stocată în sistem nu mai mult de 24 de luni din data rezilierii contractului sau expirării lui. Astfel de informaţie poate fi stocată cu depăşirea termenului de 24 de luni, în următoarele cazuri:
-
îndeplinirea unei obligaţii care îi revine operatorului conform legii;
-
protejarea vieţii, integrităţii fizice sau a sănătăţii subiectului datelor cu caracter personal;
-
executarea sarcinilor de interes public sau care rezultă din exercitarea prerogativelor de autoritate publică cu care este învestit operatorul sau terţul căruia îi sînt dezvăluite datele cu caracter personal;
-
realizarea unui interes legitim al operatorului sau al terţului căruia îi sînt dezvăluite datele cu caracter personal, cu condiţia ca acest interes să nu prejudicieze interesele sau drepturile şi libertăţile fundamentale ale subiectului datelor cu caracter personal;
-
scopuri statistice, de cercetare istorică sau ştiinţifică, cu condiţia ca datele cu caracter personal să rămînă anonime pe toată durata prelucrării.
Dezvăluirea datelor cu caracter personal terţilor
-
Fiecare caz de solicitare a accesului la datele cu caracter personal, cuprinse în conturile și dosarele personale ale subiecţilor de date cu caracter personal, indiferent de statutul solicitantului (fie judecător, savant, avocat, polițist, procuror etc.), trebuie analizat în detaliu de către reprezentantul instituției financiar-bancare pentru identificarea:
-
scopului pentru care se cere punerea la dispoziție a acestor date și dacă acest scop este sau nu în legătură cu scopurile pentru care au fost colectate datele cu caracter personal;
-
volumului și categoriilor datelor cu caracter personal la care se solicită accesul;
-
condițiilor în care vor fi păstrate datele cu caracter personal și termenelor pentru care sînt necesare aceste date;
-
cadrului normativ care întemeiază cererea de acces al solicitantului la aceste date;
-
prezenței consimțămîntului subiectului de date cu caracter personal pentru transmiterea informației cuprinse în dosarul personal al acestuia (De exemplu: în cazul cînd această informație îi este necesară subiectului în interes personal);
-
prezenței temeiurilor prevăzute la art. art. 5 alin. (5) lit. a), 6 alin. (1), 7 alin. (4) lit. a) - e) ale Legii privind protecția datelor cu caracter personal, care permit acordarea accesului sau punerea la dispoziția terților a informației care conține date cu caracter personal în absența consimțămîntului subiectului de date cu caracter personal;
-
posibilității aplicării prevederilor art. 31 al Legii privind protecția datelor cu caracter personal, prin depersonalizarea datelor cu caracter personal puse la dispoziția terților (după analiza detaliată a scopurilor pentru care se solicită accesul la aceste date).
-
Instituția financiar-bancară poate dezvălui datele cu caracter personal ce vizează angajații/clienții/vizitatorii etc. acesteia în adresa organelor competente, în cazul în care planează o bănuială rezonabilă de săvîrșire a unor acțiuni ce contravin prevederilor legislației naționale, însă, în această situație, instituția financiar-bancară – își asumă responsabilitatea despre pertinența informațiilor dezvăluite, urmînd ca fondul cauzei să nu exceadă volumul de date dezvăluit.
-
Eliberarea informațiilor cu accesibilitate limitată, poate avea loc doar subiectului de date care urmează să se identifice prin contrapunerea identificatorilor din buletin și/sau alt act oficial, cu informația menționată în cerere, (anexarea copiei buletinului de identitate și/sau altui act la cerere fără prezența fizică a persoanei nu constituie temei de eliberare a informațiilor), reprezentanților legali (ale căror împuterniciri urmează a fi prezentate în modul corespunzător), sau entităților ce cad sub incidența prevederilor art. 5 alin. (5) ale Legii privind protecția datelor cu caracter personal. Se explică, că dreptul entităților publice sau private (regăsite în legislația specială), de a solicita și a primi informații, în mod obligatoriu urmează a fi justificate prin existența legăturii de cauzalitate dintre subiectul datelor cu caracter personal, informația solicitată și relevanța/necesitatea acesteia la pricinile cauzei examinate.
-
Entitățile care, datorită specificului serviciilor prestate și/sau drepturilor și obligațiilor ce rezultă dintr-o relație pozitivă sau negativă cu subiectul de date, beneficiază de dreptul de a prelucra date cu caracter personal în absența consimțămîntului persoanei vizate, la solicitarea scrisă privind exprimarea intenției de a colecta/dezvălui date cu caracter personal, urmează să indice în mod obligatoriu numărul și data documentului în baza căruia se face prelucrarea (petiție, sesizare, autosesizare, control etc.), calitatea persoanei vizate în raport cu pricinile cauzei, scopul prelucrării, perioada de stocare a informației, precum și destinatarii cărora li se intenționează dezvăluirea acestor informații cu accesibilitate limitată.
-
Informaţiile menţionate la punctele anterioare se va furniza părţilor interesate în scris, în conformitate cu prezentele instrucţiuni şi în conformitate cu legislaţia naţională în ceea ce priveşte protecţia datelor cu caracter personal.
Serviciile telefonice şi înregistrarea convorbirilor telefonice
-
În funcție de serviciile prestate şi necesităţile ce rezultă din prestarea serviciilor financiar-bancare, în temeiul unor regulamente interne, instituțiile vizate pot înregistra convorbirile telefonice dintre bancă/client/eventuali clienți, astfel încît, punerea în aplicare a instrumentelor financiare precum ,,telephone banking”, să minimizeze riscurile de fraudă ce rezultă din acest raport juridico-civil.
-
În toate cazurile în care operatorul de date cu caracter personal intenţionează înregistrarea convorbirilor telefonice în timp real, subiecţii de date cu caracter personal urmează a fi informaţi (atît angajații instituției financiar-bancare cît și clienții acesteia) în sensul prevederilor art. 12 al Legii privind protecţia datelor cu caracter personal, fiind obţinut consimţămîntul în prealabil (din partea tuturor subiecților implicați în convorbire), prin includerea în clauzele contractuale a dispoziţiilor ce vor cuprinde exhaustiv scopul, temeiul legal, şi termenul de păstrare a datelor cu caracter personal, inclusiv a convorbirilor telefonice.
-
Pentru înregistrarea convorbirilor telefonice şi, ulterior, stocarea acestora, operatorul şi/sau persoana împuternicită de operator trebuie să asigure măsuri de securitate adecvate pentru a preveni accesul neautorizat sau pierderea, distrugerea datelor cu caracter personal, avînd în vedere că termenul de stocare nu poate depăşi termenul necesar pentru atingerea scopului înregistrărilor efectuate.
Dostları ilə paylaş: |