PRELUCRAREA DATELOR CU CARACTER PERSONAL ÎN RAPORTUL

PRESTATOR DE SERVICII / CLIENT

1. Datele cu caracter personal, ce sînt pertinente şi neexcesive, pot fi prelucrate de

către instituția financiar-bancară/organizațiile de microfinanțare, doar în scopul
aducerii la îndeplinire a unui interes legitim (De exemplu: în cazul punerii în aplicare
a unor clauze contractuale, avînd în vedere drepturile şi obligaţiile ce rezultă din
raportul juridico-civil), iar prelucrarea datelor cu caracter personal se va individualiza,
se va răsfrînge şi se va limita doar asupra subiectului/ţilor a căror consimţămînt
(neviciat) a fost obţinut expres. Astfel, prelucrarea datelor cu caracter personal ce
vizează alţi subiecţi decît cei consemnaţi în raportul contractual (De exemplu:
prelucrarea datelor cu caracter personal ale soţului/soţiei, a cărui consimţămînt nu a
fost obţinut la semnarea contractului) nu poate avea loc, decît în cazurile stipulate
conform legislației în vigoare.
2. Principiul pertinenţei datelor urmează a fi pus în aplicare la prelucrarea datelor
cu caracter personal îndreptate spre identificarea clienţilor pentru stabilirea
raporturilor contractuale şi/sau efectuarea unor operaţiuni financiare, precum:
viramente, tranzacţii, schimb valutar etc.
3. Prelucrarea unui anumit volum de date cu caracter personal, în vederea
identificării clienţilor, urmează a fi ajustat la necesităţile raportului juridic, astfel încît,
volumul de date cu caracter personal solicitat să satisfacă şi să se limiteze la
interesul/necesitatea legitimă a operatorului, ne-depăşind scopul pentru care aceste
date au fost colectate.
4. Prelucrarea datelor cu caracter personal conţinute în cadrul raportului juridic
încheiat între instituția financiar-bancară/organizația de microfinanțare şi subiectul
datelor cu caracter personal, precum şi în anexele acestui contract, poate fi efectuată
doar de către operatorul de date şi/sau persoana împuternicită de către acesta.
5. Orice tip de prelucrare a datelor cu caracter personal urmează să corespundă
prevederilor art. 4 al Legii privind protecţia datelor cu caracter personal, care
statuează că datele cu caracter personal care constituie obiectul prelucrării trebuie să
fie prelucrate în mod corect şi conform prevederilor legii; colectate în scopuri
determinate, explicite şi legitime, iar ulterior să nu fie prelucrate într-un mod
incompatibil cu aceste scopuri; adecvate, pertinente şi neexcesive în ceea ce priveşte
scopul pentru care sînt colectate şi/sau prelucrate ulterior, precum și prevederilor
Legii privind protecţia consumatorilor şi Legii privind clauzele abuzive în contractele
încheiate cu consumatorii, care, în mod obiectiv, transpun principiile statuate de
Legea privind protecţia datelor cu caracter personal.
6. Prelucrarea datelor cu caracter personal conţinute într-un sistem informaţional
al unei entități financiar-bancare/organizații de microfinanțare, este realizată de către
operator şi persoanele împuternicite, exclusiv în scopurile pentru care acestea au fost
colectate şi/sau în scopuri de protecţie a creanței şi limitarea riscurilor, în special
pentru a evalua situaţia financiară şi solvabilitatea părţilor în cauză.
7. Prelucrarea datelor cu caracter personal nu poate fi efectuată în oricare alte
scopuri decît cel iniţial, cum ar fi - marketingul direct, promovarea unor anumite
produse/servicii în scopuri publicitare. Excepție fiind cazurile cînd se obține în
prealabil consimțămîntul în scris al subiectului datelor cu caracter personal la
prelucrarea datelor ce-l vizează în astfel de scopuri.
8. Înaintea oferirii dreptului de a prelucra date cu caracter personal persoanelor
împuternicite de către operator, în conformitate cu prevederile art. 29 alin. (2) al Legii
privind protecția datelor cu caracter personal, operatorul urmează să ofere acestora
instrucțiuni clare care vor cuprinde cel puțin: scopul prelucrării, modalitatea
prelucrării, perioada de stocare, persoanelor cărora le pot fi furnizate aceste informații
cu accesibilitate limitată.
9. Operatorul și persoana împuternicită de către operator poate prelucra datele cu
caracter personal încredințate doar în scopurile stabilite exhaustiv și asupra cărora
subiectul datelor cu caracter personal și-a manifestat consimțămîntul în conformitate
cu legislația.
10. Drepturile subiectului de date cu caracter personal prevăzute la art. art.12, 13,
14, 16 și 17 ale Legii privind protecția datelor cu caracter personal se manifestă sub
formă de obligație care revine corespunzător și persoanei împuternicite de operator.
11. În cazul în care persoana împuternicită de operator deține personalitate juridică
și cade sub incidența prevederilor art. 2 al Legii privind protecția datelor cu caracter
personal, iar la prelucrarea datelor cu caracter personal sînt implicați angajații proprii,
acesteia îi revine obligația de a se înregistra în calitate de operator de date cu caracter
personal asupra propriilor sisteme de evidență (precum: sistemul de evidență resurse
umane, sistemul de evidență contabilitate etc.), în conformitate cu prevederile art. 23
al Legii privind protecția datelor cu caracter personal.
12. Persoana împuternicită de operator poartă răspundere solidar pentru acțiunile
săvîrșite la indicația operatorului și/sau la propria inițiativă, în cazul în care se
adeverește că prelucrarea datelor cu caracter personal a fost contrară principiilor de
protecție a datelor cu caracter personal.
13. Prelucrarea datelor cu caracter personal nu poate implica prelucrarea
categoriilor speciale de date cu caracter personal – datele care dezvăluie originea
rasială sau etnică a persoanei, convingerile ei politice, religioase sau filozofice,
apartenenţa socială, datele privind starea de sănătate sau viaţa sexuală, precum şi cele
referitoare la condamnările penale, măsurile procesuale de constrîngere sau
sancţiunile contravenţionale, excepție fiind cazurile expres prevăzute de legislație sau
în condițiile existenței consimțămîntului subiecților de date cu caracter personal
vizați.
14. Orice tip de prelucrare a informației ce conține date cu caracter personal
urmează a se limita la strictul necesar realizării obiectivelor propuse, în special, la
realizarea interesului legitim care poate fi materializat atît prin clauzele contractuale
și/sau existența unor norme legale care permit o astfel de prelucrare.
15. În sistemele de evidență a datelor cu caracter personal gestionate, necesită a fi
instituită obligatoriu rubrica, în care la fiecare accesare vor fi memorizați:
identificatorii utilizatorului autorizat al sistemului de evidență și după caz,
identificatorii dispozitivului precum IP-ul și MAC-adresa, de pe care au fost
prelucrate datele cu caracter personal, scopul și temeiul legal al accesării/prelucrării
datelor cu caracter personal.
16. Operatorul datelor cu caracter personal sau persoana împuternicită sau salariații
acestora poate accesa datele cu caracter personal în sistemul informaţional financiar-
bancar sau al entității de microfinanțare gestionat cu condiţia respectării interesului
justificat/obligaţiei de serviciu care se aplică în următoarele condiţii:
- beneficiarii serviciilor financiar-bancare/microfinanțare care au nevoie de a
stinge sau a modifica o obligaţie sau un drept în ceea ce priveşte raportul juridic civil
încheiat cu instituția financiar-bancară/de microfinanțare cu utilizarea instrumentelor
financiare;
- persoanele împuternicite care acţionează în cadrul instituţiei respective (supuse
obligaţiei nedivulgării) în vederea realizării unor sarcini de serviciu cum ar fi
stabilirea unui raport de credit sau prevenirea unor riscuri creditare;
- persoanele care sînt antrenate într-un raport juridic cu cele menţionate în
alineatul anterior, în condiţiile în care este necesar de a evalua unele riscuri pentru a
dovedi în mod obiectiv situaţia financiară şi solvabilitatea entităţii menţionate.
17. Datele cu caracter personal referitoare la cererile subiecților/clienților instituției
financiar-bancare/organizațiilor de microfinanțare într-un sistem unic de evidență pot
fi accesate treptat şi selectiv, prin unul sau mai multe niveluri de consultare, iar
dreptul de acces, necesită a fi acordat în strictă conformitate cu prezentele instrucţiuni
şi legislaţia în vigoare privind protecţia datelor cu caracter personal.
18. Datele cu caracter personal conţinute în orice tip de cerere (de creditare, de
deschidere a unui depozit, de efectuare a unor tranzacții etc.), pot fi stocate într-un
sistem de evidență și/sau în mai multe sisteme de evidență interconectate pentru
perioada de timp necesară. În cazul în care cererea nu este acceptată sau din anumite
motive solicitantul renunţă la obiectul reclamat, datele cu caracter personal introduse
în sistem atît în format electronic cît și în orice alt format (hîrtie) necesită a fi şterse în
decursul de 10 zile calendaristice, cu condiția că legea nu prevede altfel;
19. Informaţia cu privire la raportul juridic cu instituția financiară/organizația de
microfinanțare care a fost consumat pe deplin, ca urmare persoana fiind exonerată de
orice tip de obligaţie, poate fi stocată în sistem nu mai mult de 24 de luni din data
rezilierii contractului sau expirării lui. Astfel de informaţie poate fi stocată cu
depăşirea termenului de 24 de luni, în următoarele cazuri:
a) îndeplinirea unei obligaţii care îi revine operatorului conform legii;
b) protejarea vieţii, integrităţii fizice sau a sănătăţii subiectului datelor cu caracter
personal;
c) executarea sarcinilor de interes public sau care rezultă din exercitarea
prerogativelor de autoritate publică cu care este învestit operatorul sau terţul
căruia îi sînt dezvăluite datele cu caracter personal;
d) realizarea unui interes legitim al operatorului sau al terţului căruia îi sînt
dezvăluite datele cu caracter personal, cu condiţia ca acest interes să nu
prejudicieze interesele sau drepturile şi libertăţile fundamentale ale subiectului
datelor cu caracter personal;
e) scopuri statistice, de cercetare istorică sau ştiinţifică, cu condiţia ca datele cu
caracter personal să rămînă anonime pe toată durata prelucrării;
f) trecerea informațiilor în documnet de arhivă