Prelucrarea datelor în sistemele de evidență bancare, un punct vulnerabil?

Decizia nr. 6920/2019 a Judecătoriei Sectorului 4 București lămurește modalitatea în care trebuie să se realizeze prelucrarea datelor cu caracter personal în sistemele de evidență bancare, pentru ca prelucrarea să fie una legală și să nu atragă sancționarea.

Situația faptică:

Reclamanta a solicitat instanţei, în contradictoriu cu pârâta – instituție de credit bancar, ca prin hotărârea ce se va pronunţa să se constate faptul că datele cu caracter personal ale reclamantei au fost prelucrate ilegal în sistemul de evidenţă al Biroului de Credit, prin vicierea consimţământului, deoarece nu există nicio informare prealabilă clară şi exactă care să corespundă în tot dispoziţiilor imperative ale art. 9 alineat 1 din decizia ANSPDCP nr. 105/2007, ceea ce duce şi la nelegalitatea prelucrărilor faţă de dispoziţiile Regulamentului (UE) nr. 679/27.04.2016 (…), să dispună obligarea pârâtei la ştergerea datelor cu caracter personal pentru care nu există o informare prealabilă legală, compatibilă cu Regulamentul (UE) nr. 679/27.04.2016. De asemenea, s-a solicitat obligarea pârâtei la plata daunelor morale de 5000 lei pentru încălcarea drepturilor apărate de Regulamentul (UE) nr. 679/27.04.2016[1].

Te-ar putea interesa și:

 

Pârâta a precizat că a obţinut consimţământul reclamantei de prelucrare a datelor cu caracter personal anterior prelucrării acestor date, consimţământ obţinut în conformitate cu legislaţia naţională aplicabilă. Informaţiile privind prelucrarea datelor cu caracter personal au fost aduse la cunoştinţa reclamantei încă de la iniţierea raportului juridic de creditare, reclamanta dându-şi acordul ca datele sale să fie prelucrate de pârâtă, inclusiv pentru scopul transmiterii acestora către sistemul de evidenţă al Biroului de Credit. A mai precizat că reclamanta şi-a exercitat dreptul de ştergere prin cererea pe care a formulat-o pe portalul Biroului de Credit în 13.07.2017, cerere la care pârâta a răspuns din 10.08.2018, dispunând ştergerea datelor din evidenţa Biroului de Credit[2].

KIT GDPR Premium

 

Față de situația precizată, instanța a decis următoarele:

Având în vedere că prelucrarea datelor a avut loc înainte de data de 04.07.2017, implicit înainte 25.05.2018, data intrării în vigoare a Regulamentului (UE) 2016/679, este aplicabilă Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date.

Potrivit art. 18 din Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, fără a se aduce atingere posibilităţii de a se adresa cu plângere autorităţii de supraveghere, persoanele vizate au dreptul de a se adresa justiţiei pentru apărarea oricăror drepturi garantate de prezenta lege, care le-au fost încălcate[3].

Reclamanta a semnat atât cererea de creditare, cât şi contractul de credit, prin care şi-a exprimat consimţământul pentru prelucrarea datelor cu caracter personal si de transmitere, prelucrare si consultare a informaţiilor la Biroul de Credit. Conform înscrisurilor amintite, reclamanta şi-a exprimat acordul cu privire la procesarea datelor sale personale, precum şi cu stocarea şi cu transmiterea către terţi a datelor sale personale a informaţiilor şi a datelor obţinute pe parcursul desfăşurării relaţiei contractuale, astfel a fost îndeplinită şi condiţia de informare prevăzută de art. 12 alin.1 lit. c din Legea nr. 677/2001.

În ceea ce priveşte critica reclamantei în sensul că nu şi-a exprimat acordul de prelucrare fără echivoc şi nici nu a fost informată instanţa constată că este neîntemeiată, mai ales în contextul în care reclamanta nu a dovedit eroarea ori dolul, ca viciu de consimţământ sau vreo împrejurare credibilă care să conducă instanţa la concluzia că nu a existat un astfel de consimţământ[4]. Astfel, instanţa constată că informaţiile cuprinse în cererea de creditare şi în declaraţia de prelucrare a datelor cu caracter personal anexate contractelor de credit sunt uşor accesibil şi uşor de înţeles, fiind utilizat unui limbaj simplu şi clar. Din simpla lecturare a acestor înscrisuri rezultă cu evidenţă pentru ce anume se solicită acordul. În acest context instanţa constată nu se poate contesta sub acest aspect valabilitatea consimţământului, afirmaţiile reclamantei în sensul că nu a fost informată privind datele care urmează a fi prelucrate fiind simple aserţiuni, fără temei.

 

Cum știu când trebuie să aplic RGPD și când aplic Legea nr. 677/2001?

  • Pentru prelucrările anterioare datei de 04.07.2017 (conform jurisprudenței analizate), implicit înainte de data de 25.05.2018 – data aplicării  Regulamentului (UE) 2016/679 în România, se va aplica Legea nr. 677/2001;
  • Pentru prelucrările începând cu data de 25.05.2018, se aplică RGPD;

Cum trebuie să fie informațiile cuprinse în cererile de creditare pentru a nu încălca prevederile în materie de protecție a datelor cu caracter personal?

  • Informațiile cuprinse în cererile de creditare, precum și cele cuprinse în declarația de prelucrare a datelor cu caracter personal, care se anexează contractelor de credit, trebuie să fie accesibile și ușor de înțeles, fiind necesară utilizarea unui limbaj simplu și clar.

 

[1] Aici.

[2] Aici.

[3] Aici.

[4] Aici.

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]


ALTE ARTICOLE

Vrei să primești articolele noastre direct pe mail?

Abonează-te, e gratuit!