PRELUCRAREA DATELOR CU CARACTER PERSONAL ÎN RAPORTUL
PRESTATOR DE SERVICII / CLIENT
1. Datele cu caracter personal, ce sînt pertinente şi neexcesive, pot fi prelucrate de
către instituția financiar-bancară/organizațiile de microfinanțare, doar în scopul aducerii la îndeplinire a unui interes legitim (De exemplu: în cazul punerii în aplicare a unor clauze contractuale, avînd în vedere drepturile şi obligaţiile ce rezultă din raportul juridico-civil), iar prelucrarea datelor cu caracter personal se va individualiza, se va răsfrînge şi se va limita doar asupra subiectului/ţilor a căror consimţămînt (neviciat) a fost obţinut expres. Astfel, prelucrarea datelor cu caracter personal ce vizează alţi subiecţi decît cei consemnaţi în raportul contractual (De exemplu: prelucrarea datelor cu caracter personal ale soţului/soţiei, a cărui consimţămînt nu a fost obţinut la semnarea contractului) nu poate avea loc, decît în cazurile stipulate conform legislației în vigoare. 2. Principiul pertinenţei datelor urmează a fi pus în aplicare la prelucrarea datelor cu caracter personal îndreptate spre identificarea clienţilor pentru stabilirea raporturilor contractuale şi/sau efectuarea unor operaţiuni financiare, precum: viramente, tranzacţii, schimb valutar etc. 3. Prelucrarea unui anumit volum de date cu caracter personal, în vederea identificării clienţilor, urmează a fi ajustat la necesităţile raportului juridic, astfel încît, volumul de date cu caracter personal solicitat să satisfacă şi să se limiteze la interesul/necesitatea legitimă a operatorului, ne-depăşind scopul pentru care aceste date au fost colectate. 4. Prelucrarea datelor cu caracter personal conţinute în cadrul raportului juridic încheiat între instituția financiar-bancară/organizația de microfinanțare şi subiectul datelor cu caracter personal, precum şi în anexele acestui contract, poate fi efectuată doar de către operatorul de date şi/sau persoana împuternicită de către acesta. 5. Orice tip de prelucrare a datelor cu caracter personal urmează să corespundă prevederilor art. 4 al Legii privind protecţia datelor cu caracter personal, care statuează că datele cu caracter personal care constituie obiectul prelucrării trebuie să fie prelucrate în mod corect şi conform prevederilor legii; colectate în scopuri determinate, explicite şi legitime, iar ulterior să nu fie prelucrate într-un mod incompatibil cu aceste scopuri; adecvate, pertinente şi neexcesive în ceea ce priveşte scopul pentru care sînt colectate şi/sau prelucrate ulterior, precum și prevederilor Legii privind protecţia consumatorilor şi Legii privind clauzele abuzive în contractele încheiate cu consumatorii, care, în mod obiectiv, transpun principiile statuate de Legea privind protecţia datelor cu caracter personal. 6. Prelucrarea datelor cu caracter personal conţinute într-un sistem informaţional al unei entități financiar-bancare/organizații de microfinanțare, este realizată de către operator şi persoanele împuternicite, exclusiv în scopurile pentru care acestea au fost colectate şi/sau în scopuri de protecţie a creanței şi limitarea riscurilor, în special pentru a evalua situaţia financiară şi solvabilitatea părţilor în cauză. 7. Prelucrarea datelor cu caracter personal nu poate fi efectuată în oricare alte scopuri decît cel iniţial, cum ar fi - marketingul direct, promovarea unor anumite produse/servicii în scopuri publicitare. Excepție fiind cazurile cînd se obține în prealabil consimțămîntul în scris al subiectului datelor cu caracter personal la prelucrarea datelor ce-l vizează în astfel de scopuri. 8. Înaintea oferirii dreptului de a prelucra date cu caracter personal persoanelor împuternicite de către operator, în conformitate cu prevederile art. 29 alin. (2) al Legii privind protecția datelor cu caracter personal, operatorul urmează să ofere acestora instrucțiuni clare care vor cuprinde cel puțin: scopul prelucrării, modalitatea prelucrării, perioada de stocare, persoanelor cărora le pot fi furnizate aceste informații cu accesibilitate limitată. 9. Operatorul și persoana împuternicită de către operator poate prelucra datele cu caracter personal încredințate doar în scopurile stabilite exhaustiv și asupra cărora subiectul datelor cu caracter personal și-a manifestat consimțămîntul în conformitate cu legislația. 10. Drepturile subiectului de date cu caracter personal prevăzute la art. art.12, 13, 14, 16 și 17 ale Legii privind protecția datelor cu caracter personal se manifestă sub formă de obligație care revine corespunzător și persoanei împuternicite de operator. 11. În cazul în care persoana împuternicită de operator deține personalitate juridică și cade sub incidența prevederilor art. 2 al Legii privind protecția datelor cu caracter personal, iar la prelucrarea datelor cu caracter personal sînt implicați angajații proprii, acesteia îi revine obligația de a se înregistra în calitate de operator de date cu caracter personal asupra propriilor sisteme de evidență (precum: sistemul de evidență resurse umane, sistemul de evidență contabilitate etc.), în conformitate cu prevederile art. 23 al Legii privind protecția datelor cu caracter personal. 12. Persoana împuternicită de operator poartă răspundere solidar pentru acțiunile săvîrșite la indicația operatorului și/sau la propria inițiativă, în cazul în care se adeverește că prelucrarea datelor cu caracter personal a fost contrară principiilor de protecție a datelor cu caracter personal. 13. Prelucrarea datelor cu caracter personal nu poate implica prelucrarea categoriilor speciale de date cu caracter personal – datele care dezvăluie originea rasială sau etnică a persoanei, convingerile ei politice, religioase sau filozofice, apartenenţa socială, datele privind starea de sănătate sau viaţa sexuală, precum şi cele referitoare la condamnările penale, măsurile procesuale de constrîngere sau sancţiunile contravenţionale, excepție fiind cazurile expres prevăzute de legislație sau în condițiile existenței consimțămîntului subiecților de date cu caracter personal vizați. 14. Orice tip de prelucrare a informației ce conține date cu caracter personal urmează a se limita la strictul necesar realizării obiectivelor propuse, în special, la realizarea interesului legitim care poate fi materializat atît prin clauzele contractuale și/sau existența unor norme legale care permit o astfel de prelucrare. 15. În sistemele de evidență a datelor cu caracter personal gestionate, necesită a fi instituită obligatoriu rubrica, în care la fiecare accesare vor fi memorizați: identificatorii utilizatorului autorizat al sistemului de evidență și după caz, identificatorii dispozitivului precum IP-ul și MAC-adresa, de pe care au fost prelucrate datele cu caracter personal, scopul și temeiul legal al accesării/prelucrării datelor cu caracter personal. 16. Operatorul datelor cu caracter personal sau persoana împuternicită sau salariații acestora poate accesa datele cu caracter personal în sistemul informaţional financiar- bancar sau al entității de microfinanțare gestionat cu condiţia respectării interesului justificat/obligaţiei de serviciu care se aplică în următoarele condiţii: - beneficiarii serviciilor financiar-bancare/microfinanțare care au nevoie de a stinge sau a modifica o obligaţie sau un drept în ceea ce priveşte raportul juridic civil încheiat cu instituția financiar-bancară/de microfinanțare cu utilizarea instrumentelor financiare; - persoanele împuternicite care acţionează în cadrul instituţiei respective (supuse obligaţiei nedivulgării) în vederea realizării unor sarcini de serviciu cum ar fi stabilirea unui raport de credit sau prevenirea unor riscuri creditare; - persoanele care sînt antrenate într-un raport juridic cu cele menţionate în alineatul anterior, în condiţiile în care este necesar de a evalua unele riscuri pentru a dovedi în mod obiectiv situaţia financiară şi solvabilitatea entităţii menţionate. 17. Datele cu caracter personal referitoare la cererile subiecților/clienților instituției financiar-bancare/organizațiilor de microfinanțare într-un sistem unic de evidență pot fi accesate treptat şi selectiv, prin unul sau mai multe niveluri de consultare, iar dreptul de acces, necesită a fi acordat în strictă conformitate cu prezentele instrucţiuni şi legislaţia în vigoare privind protecţia datelor cu caracter personal. 18. Datele cu caracter personal conţinute în orice tip de cerere (de creditare, de deschidere a unui depozit, de efectuare a unor tranzacții etc.), pot fi stocate într-un sistem de evidență și/sau în mai multe sisteme de evidență interconectate pentru perioada de timp necesară. În cazul în care cererea nu este acceptată sau din anumite motive solicitantul renunţă la obiectul reclamat, datele cu caracter personal introduse în sistem atît în format electronic cît și în orice alt format (hîrtie) necesită a fi şterse în decursul de 10 zile calendaristice, cu condiția că legea nu prevede altfel; 19. Informaţia cu privire la raportul juridic cu instituția financiară/organizația de microfinanțare care a fost consumat pe deplin, ca urmare persoana fiind exonerată de orice tip de obligaţie, poate fi stocată în sistem nu mai mult de 24 de luni din data rezilierii contractului sau expirării lui. Astfel de informaţie poate fi stocată cu depăşirea termenului de 24 de luni, în următoarele cazuri: a) îndeplinirea unei obligaţii care îi revine operatorului conform legii; b) protejarea vieţii, integrităţii fizice sau a sănătăţii subiectului datelor cu caracter personal; c) executarea sarcinilor de interes public sau care rezultă din exercitarea prerogativelor de autoritate publică cu care este învestit operatorul sau terţul căruia îi sînt dezvăluite datele cu caracter personal; d) realizarea unui interes legitim al operatorului sau al terţului căruia îi sînt dezvăluite datele cu caracter personal, cu condiţia ca acest interes să nu prejudicieze interesele sau drepturile şi libertăţile fundamentale ale subiectului datelor cu caracter personal; e) scopuri statistice, de cercetare istorică sau ştiinţifică, cu condiţia ca datele cu caracter personal să rămînă anonime pe toată durata prelucrării; f) trecerea informațiilor în documnet de arhivă