DECIZIE Nr.
105 din 15 decembrie 2007
cu privire la prelucrarile
de date cu caracter personal efectuate in sisteme de evidenta de tipul
birourilor de credit
ACT EMIS DE:
AUTORITATEA NATIONALA DE SUPRAVEGHERE A PRELUCRARII DATELOR CU CARACTER
PERSONAL
ACT PUBLICAT IN:
MONITORUL OFICIAL NR. 891 din 27 decembrie 2007
In temeiul prevederilor art. 3
alin. (5) şi (6) din Legea nr. 102/2005 privind înfiinţarea, organizarea şi
funcţionarea Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu
Caracter Personal, cu modificările şi completările ulterioare, şi ale art. 6
alin. (2) lit. b) din Regulamentul de organizare şi funcţionare a Autorităţii
Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal, aprobat
prin Hotărârea Biroului Permanent al Senatului nr. 16/2005,
având în vedere prevederile art. 5, 12 şi 17 din Legea
nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu
caracter personal şi libera circulaţie a acestor date, cu modificările şi
completările ulterioare,
în aplicarea dispoziţiilor art. 8 şi 10 din Legea nr.
677/2001, cu modificările şi completările ulterioare,
luând în considerare riscurile pentru viaţa intimă,
familială şi privată a persoanelor fizice, prezentate de prelucrarea datelor cu
caracter personal prin mijloace automatizate, de natură a evalua aspecte precum
credibilitatea sau solvabilitatea,
ţinând seama că operaţiunile realizate asupra datelor
cu caracter personal incluse în sistemele de evidenţă de tipul birourilor de
credit constituie prelucrare de date cu caracter personal supusă prevederilor
Legii nr. 677/2001, cu modificările şi completările ulterioare, care este
susceptibilă de a prezenta riscuri speciale pentru dreptul la viaţă intimă,
familială şi privată,
luând în considerare necesitatea asigurării unei
protecţii eficiente a drepturilor persoanelor ale căror date cu caracter
personal sunt supuse prelucrării în cadrul sistemelor de evidenţă de tipul
birourilor de credit, datorită naturii datelor prelucrate şi scopului
prelucrării acestor date,
pentru evitarea producerii unor abuzuri în activitatea
de înscriere a datelor personale în sistemele de
evidenţă de tipul birourilor de credit, care pot produce efecte asupra unui
număr considerabil de cetăţeni,
având în vedere interesul legitim al instituţiilor
financiare şi de credit de a adopta politici şi proceduri eficiente de
cunoaştere a clientelei şi de prevenire a utilizării sistemului
financiar-bancar pentru desfăşurarea unor activităţi contrare legii,
văzând Referatul de aprobare nr. 5.332 din 13 octombrie
2006 privind propunerea emiterii unei decizii cu privire la prelucrările de
date cu caracter personal efectuate în sisteme de evidenţă de tipul birourilor
de credit,
preşedintele Autorităţii Naţionale de Supraveghere a
Prelucrării Datelor cu Caracter Personal emite
prezenta decizie.
Art. 1. - Datele cu caracter
personal pot fi prelucrate în cadrul unor sisteme de evidenţă de tipul
birourilor de credit, în scopul evaluării solvabilităţii, al reducerii riscului
la creditare şi al determinării gradului de îndatorare a debitorilor persoane
fizice, cu respectarea prevederilor legale din domeniul protecţiei datelor
personale, a reglementărilor din domeniul financiar-bancar, precum şi a
dispoziţiilor prezentei decizii.
Art. 2. -In înţelesul prezentei decizii, următorii
termeni se definesc astfel:
a) sisteme de evidenţă
de tipul birourilor de credit - orice bază de date
organizată în sistem centralizat şi gestionată de o entitate de drept privat,
care cuprinde datele cu caracter personal comunicate în legătură cu
activităţile desfăşurate de instituţiile financiare şi de credit, autorizate
potrivit legii, în scopul evaluării solvabilităţii, al reducerii riscului la
creditare şi al determinării gradului de îndatorare a debitorilor persoane
fizice; aceste baze de date pot fi consultate numai de către entităţile participante la sistem;
b) birou de credit -
entitatea de drept privat care gestionează sistemul de evidenţă definit la lit.
a); biroul de credit are calitatea de operator de date cu caracter personal în
sensul Legii nr. 677/2001, cu modificările şi completările ulterioare;
c) participant - orice
entitate de drept privat care transmite către un sistem de evidenţă de tipul
birourilor de credite datele cu caracter personal colectate în legătură cu
solicitarea/ acordarea unui credit, în baza unui
contract încheiat cu biroul de credit, şi care consultă
pe bază de reciprocitate datele transmise de către ceilalţi participanţi;
participanţii au calitatea de operator de date cu caracter personal în sensul
Legii nr. 677/2001, cu modificările şi completările ulterioare. Pot fi
participanţi la sistemele de evidenţă de tipul birourilor de credit numai
instituţiile financiare şi de credit definite potrivit Ordonanţei de urgenţă a
Guvernului nr. 99/2006 privind instituţiile de credit şi adecvarea capitalului,
aprobată cu modificări şi completări prin Legea nr. 227/2007, şi potrivit
Ordonanţei Guvernului nr. 28/2006 privind reglementarea unor măsuri
financiar-fiscale, aprobată cu modificări şi completări prin Legea nr.
266/2006, precum şi societăţi de asigurări pentru produsele de tip credit;
d) date negative -
informaţiile referitoare la întârzierile la plată a obligaţiilor decurgând din
relaţiile de creditare a persoanelor fizice;
e) date pozitive -
informaţiile referitoare la creditele acordate debitorilor persoane fizice, de
natură a contribui la evaluarea gradului de îndatorare şi a bonităţii acestora;
f) date referitoare la
inadvertenţe - informaţiile neconcordante,
rezultate din documentele prezentate la data solicitării creditului, din culpa
solicitantului;
g) date referitoare
la fraudulenţi - informaţiile privind săvârşirea
de infracţiuni sau contravenţii în domeniul financiar-
bancar, în relaţia directă cu un participant,
constatate prin hotărâri judecătoreşti definitive sau irevocabile, după caz,
ori prin acte administrative necontestate;
h) date sensibile -
datele cu caracter personal reglementate de art. 7 din Legea nr. 677/2001, cu
modificările şi completările ulterioare.
Art. 3. - (1) Prelucrările efectuate în sisteme de
evidenţă de tipul birourilor de credit pot avea ca obiect numai datele cu
caracter personal care sunt relevante şi neexcesive în raport cu scopurile
menţionate la art. 1 şi numai în legătură cu activitatea de creditare.
(2) Prelucrările de date cu caracter personal
efectuate în sisteme de evidenţă de tipul birourilor de credit nu se pot
efectua asupra datelor sensibile şi a datelor reglementate de art. 10 din Legea
nr. 677/2001, cu modificările şi completările ulterioare, cu excepţia datelor
privind fraudulenţii, în înţelesul prezentei decizii.
(3) Datele cu caracter personal care pot fi prelucrate
în cadrul unor sisteme de evidenţă de tipul birourilor de credit sunt
următoarele:
a) date de identificare a persoanei fizice: numele,
prenumele, iniţiala tatălui/mamei, adresa de domiciliu/reşedinţa, numărul de
telefon fix/mobil, codul numeric personal;
b) date negative: tipul de produs, termenul de
acordare, data acordării, data scadenţei, creditele acordate, sumele datorate,
sumele restante, numărul de rate restante, data scadentă a restanţei, numărul
de zile de întârziere în rambursarea creditului, starea contului;
c) date pozitive: tipul de produs, termenul de
acordare, data acordării, data scadenţei, sumele acordate, sumele datorate,
starea contului, data închiderii contului, valuta creditului, frecvenţa
plăţilor, suma plătită, rata lunară, denumirea şi adresa angajatorului;
d) date referitoare la fraudulenţi: fapta comisă,
numărul şi data hotărârii judecătoreşti/actului administrativ, denumirea
emitentului;
e) date referitoare la inadvertenţe.
(4) Persoanele fizice ale căror date cu caracter
personal pot fi prelucrate în sisteme de evidenţă de tipul birourilor de credit
sunt împrumutaţii, codebitorii şi giranţii.
Art. 4. - (1) Birourile de credit colectează date cu
caracter personal exclusiv de la participanţi.
(2) Participanţii au obligaţia de a transmite date
exacte şi corecte către sistemele de evidenţă de tipul birourilor de credit.
(3) Birourile de credit sunt obligate să efectueze
demersuri în vederea remedierii deficienţelor constatate în legătură cu
caracterul inexact sau incomplet al informaţiilor.
(4) Datele înregistrate în sisteme de evidenţă de
tipul birourilor de credit pot fi actualizate, modificate, completate sau
şterse fie direct de către participantul care a transmis datele, fie de către
biroul de credit, la cererea sau în acord cu participantul.
(5) Operaţiunile prevăzute la alin. (4) pot avea loc
inclusiv ca urmare a exercitării de către persoana vizată a drepturilor
prevăzute de Legea nr. 677/2001, cu modificările şi completările ulterioare, în
baza unei solicitări a Autorităţii Naţionale de Supraveghere a Prelucrării
Datelor cu Caracter Personal sau în temeiul unei hotărâri judecătoreşti.
(6) Este interzis accesul sau furnizarea datelor
înregistrate în sisteme de evidenţă de tipul birourilor de credit către terţi,
cu excepţia autorităţilor şi
instituţiilor publice, în cazurile şi cu respectarea condiţiilor prevăzute de
lege.
Art. 5. - (1) Datele negative se transmit către
sistemele de evidenţă de tipul birourilor de credit după 30 de zile de la data
scadenţei.
(2) Datele pozitive se transmit după data încheierii
contractului dintre participant şi persoana fizică.
(3) Datele referitoare la inadvertenţe se transmit
după stabilirea culpei solicitantului care a furnizat informaţii neconcordante,
de către compartimentele competente ale participanţilor, cu respectarea
dispoziţiilor art. 8 alin. (4) din prezenta decizie.
(4) Datele referitoare la fraudulenţi se transmit după
luarea la cunoştinţă despre rămânerea definitivă sau, după caz, irevocabilă a
hotărârii judecătoreşti ori după data la care a devenit executoriu un act
administrativ necontestat, prin care s-a stabilit vinovăţia persoanei fizice
aflate în relaţie cu un participant, cu respectarea dispoziţiilor art. 8 alin.
(4) din prezenta decizie.
Art. 6. - (1) Datele cu caracter personal ale
solicitanţilor de credit care au renunţat la cererea de credit sau a căror
cerere a fost respinsă sunt stocate în sistemele de evidenţă de tipul
birourilor de credit şi dezvăluite participanţilor pentru cel mult 6 luni de la
data transmiterii datelor către biroul de credit.
(2) Datele negative sunt stocate în sistemele de
evidenţă de tipul birourilor de credit şi dezvăluite participanţilor pentru
perioada necesară realizării scopurilor prevăzute la art. 1, dar nu mai mult de
4 ani de la data achitării ultimei rate restante sau de la data ultimei
actualizări transmise, în cazul neachitării restanţelor până la data
respectivă.
(3) Datele pozitive sunt stocate în sistemele de
evidenţă de tipul birourilor de credit şi dezvăluite participanţilor pentru
perioada necesară realizării scopurilor prevăzute la art. 1, dar nu mai mult de
4 ani de la data ultimei actualizări transmise.
(4) Datele referitoare la inadvertenţe şi datele
referitoare la fraudulenţi sunt stocate în sistemele de evidenţă de tipul
birourilor de credit şi dezvăluite participanţilor pentru perioada necesară
realizării scopurilor prevăzute la art. 1, dar nu mai mult de 4 ani de la data
transmiterii în aceste sisteme.
Art. 7. - La expirarea
termenelor prevăzute la art. 6, datele cu caracter personal se şterg din
sistemele de evidenţă de tipul birourilor de credit sau sunt transformate, după
caz, în date anonime şi prelucrate în scopuri statistice.
Art. 8. - (1) Datele cu caracter personal ale solicitanţilor de credit se transmit către sistemele de
evidenţă de tipul birourilor de credit numai cu acordul scris al persoanei
vizate, obţinut de participanţi la data depunerii cererii de credit.
(2) Datele negative, inclusiv cele rezultate din aplicarea comisioanelor sau din majorări ale ratei dobânzilor,
se transmit către sistemele de evidenţă de tipul birourilor de credit numai
după înştiinţarea prealabilă, realizată de către participanţi în scris,
telefonic, prin SMS sau e-mail, a persoanei vizate cu privire la întârzierea la
plată şi transmiterea datelor, realizată cu cel puţin 15 zile calendaristice
înainte de data transmiterii.
(3) Datele pozitive se transmit către sistemele de
evidenţă de tipul birourilor de credit numai după înştiinţarea prealabilă, în scris,
a persoanei vizate, realizată de către participanţi la data încheierii
contractului.
(4) Datele referitoare la inadvertenţe şi la
fraudulenţi se transmit către sistemele de evidenţă de tipul birourilor de
credit numai după înştiinţarea prealabilă a persoanei vizate, în scris,
telefonic, prin SMS sau e-mail, realizată de către participanţi, înainte de
data transmiterii.
Art. 9. - (1) Participanţii sunt obligaţi să furnizeze
persoanei vizate la data înştiinţării prealabile prevăzute la art. 8, în mod clar
şi exact, informaţiile prevăzute la art. 12 alin. (1) din Legea nr. 677/2001,
cu modificările şi completările ulterioare, inclusiv cele cu privire la:
a) datele cu caracter personal transmise;
b) identitatea biroului sau birourilor de credit către care sunt transmise datele;
c) categoriile de participanţi la birourile de credit
către care sunt transmise datele;
d) perioada sau perioadele de stocare a datelor în
cadrul sistemelor de evidenţă de tipul birourilor de credit;
e) modalităţile concrete de exercitare
a dreptului de acces, de intervenţie şi de opoziţie, în relaţia cu
participantul şi cu biroul/birourile de credit.
(2) Participanţii şi birourile de credit sunt obligaţi
să ia măsuri corespunzătoare pentru a asigura respectarea drepturilor de acces,
de intervenţie şi de a nu fi supus unei decizii automate individuale, prevăzute
la art. 13, 14 şi 17 din Legea nr. 677/2001, cu modificările şi completările
ulterioare.
(3) Pentru motive întemeiate şi legitime, legate de
situaţii particulare justificate, persoanele fizice se pot opune ca datele lor
cu caracter personal să fie transmise sau prelucrate ulterior în sistemele de
evidenţă de tipul birourilor de credit.
Art. 10. - Participanţii şi birourile de credit sunt
obligaţi să adopte măsurile de securitate tehnice şi organizatorice necesare
pentru protejarea datelor cu caracter personal în condiţiile art. 19 şi 20 din
Legea nr. 677/2001, cu modificările şi completările ulterioare. Pot avea acces
la datele cu caracter personal stocate în sistemele de evidenţă de tipul
birourilor de credit numai persoanele autorizate.
Art. 11. - Prevederile prezentei decizii nu se aplică
prelucrărilor de date efectuate de operatorii de date cu caracter personal din
alte domenii de activitate, având ca scop ţinerea evidenţei rău-platnicilorşi
evaluarea solvabilităţii propriilor clienţi persoane fizice, cu respectarea
prevederilor legale din domeniul protecţiei datelor personale.
Art. 12. -Incălcarea dispoziţiilor prezentei decizii
poate atrage răspunderea contravenţională, potrivit Legii nr. 677/2001, cu
modificările şi completările ulterioare.
Art. 13. - Prezenta decizie intră în vigoare în termen
de 60 de zile de la data publicării în Monitorul Oficial al României, Partea I.
Preşedintele Autorităţii Naţionale de Supraveghere a
Prelucrării Datelor cu Caracter Personal,
Georgeta Basarabescu