data-protection-anspdcp-decizie-biroul-de-credit
AUTORITATEA NAŢIONALĂ DE SUPRAVEGHERE A PRELUCRĂRII DATELOR CU CARACTER PERSONAL
DECIZIE cu privire la prelucrările de date cu caracter personal efectuate în sisteme de evidenţă de tipul birourilor de credit
În temeiul prevederilor art. 3 alin. (5) şi (6) din Legea nr. 102/2005 privind
înfiinţarea, organizarea şi funcţionarea Autorităţii Naţionale de Supraveghere a
Prelucrării Datelor cu Caracter Personal, modificată şi completată, şi ale art. 6 alin. (2) lit.
b) din Regulamentul de organizare şi funcţionare a Autorităţii Naţionale de Supraveghere
a Prelucrării Datelor cu Caracter Personal, aprobat prin Hotărârea Biroului Permanent al
Senatului nr. 16/2005,
având în vedere prevederile art. 5, art. 12 şi art. 17 din Legea nr. 677/2001 pentru
protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera
circulaţie a acestor date, modificată şi completată,
în aplicarea dispoziţiilor art. 8 şi art. 10 din Legea nr. 677/2001, modificată şi
completată,
luând în considerare riscurile pentru viaţa intimă, familială şi privată a persoanelor
fizice, prezentate de prelucrarea datelor cu caracter personal prin mijloace automatizate,
de natură a evalua aspecte precum credibilitatea sau solvabilitatea,
având în vedere că operaţiunile realizate asupra datelor cu caracter personal incluse
în sistemele de evidenţă de tipul birourilor de credit constituie prelucrare de date cu
caracter personal supusă prevederilor Legii nr. 677/2001, modificată şi completată, care
este susceptibilă de a prezenta riscuri speciale pentru dreptul la viaţă intimă, familială şi
privată,
luând în considerare necesitatea asigurării unei protecţii eficiente a drepturilor
persoanelor ale căror date cu caracter personal sunt supuse prelucrării în cadrul sistemelor
de evidenţă de tipul birourilor de credit, datorită naturii datelor prelucrate şi scopului
prelucrării acestor date,
pentru evitarea producerii unor abuzuri în activitatea de înscriere a datelor
personale în sistemele de evidenţă de tipul birourilor de credit, care pot produce efecte
asupra unui număr considerabil de cetăţeni,
având în vedere interesul legitim al instituţiilor financiare şi de credit de a adopta
politici şi proceduri eficiente de cunoaştere a clientelei şi de prevenire a utilizării
sistemului financiar-bancar pentru desfăşurarea unor activităţi contrare legii,
văzând Referatul de aprobare nr. 5332 din 13 octombrie 2006 privind propunerea
emiterii unei decizii cu privire la prelucrările de date cu caracter personal efectuate în
sisteme de evidenţă de tipul birourilor de credit,
preşedintele Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu
Caracter Personal emite prezenta decizie.
Art. 1
Datele cu caracter personal pot fi prelucrate în cadrul unor sisteme de evidenţă de
tipul birourilor de credit, în scopul evaluării solvabilităţii, a reducerii riscului la creditare
şi a determinării gradului de îndatorare a debitorilor persoane fizice, cu respectarea
prevederilor legale din domeniul protecţiei datelor personale, a reglementărilor din
domeniul financiar-bancar, precum şi a dispoziţiilor prezentei decizii.
Art. 2
În înţelesul prezentei decizii, următorii termeni se definesc astfel:
a) sisteme de evidenţă de tipul birourilor de credit – orice bază de date organizată în
sistem centralizat şi gestionată de o entitate de drept privat, care cuprinde datele cu
caracter personal comunicate în legătură cu activităţile desfăşurate de instituţiile
financiare şi de credit, autorizate potrivit legii, în scopul evaluării solvabilităţii, a
reducerii riscului la creditare şi a determinării gradului de îndatorare a debitorilor
persoane fizice; aceste baze de date pot fi consultate numai de către entităţile participante
la sistem;
b) birou de credit – entitatea de drept privat care gestionează sistemul de evidenţă definit
la lit. a); biroul de credit are calitatea de operator de date cu caracter personal în sensul
Legii nr. 677/2001, modificată şi completată;
c) participant – orice entitate de drept privat care transmite către un sistem de evidenţă de
tipul birourilor de credite datele cu caracter personal colectate în legătură cu
solicitarea/acordarea unui credit, în baza unui contract încheiat cu biroul de credit şi care
consultă pe bază de reciprocitate datele transmise de către ceilalţi participanţi;
participanţii au calitatea de operator de date cu caracter personal în sensul Legii nr.
677/2001, modificată şi completată. Pot fi participanţi la sistemele de evidenţă de tipul
birourilor de credit numai instituţiile financiare şi de credit definite potrivit Ordonanţei de
urgenţă a Guvernului nr. 99/2006 privind instituţiile de credit şi adecvarea capitalului,
modificată şi completată, şi potrivit Ordonanţei Guvernului nr. 28/2006 privind
reglementarea unor măsuri financiar – fiscale, modificată şi completată, precum şi
societăţi de asigurări pentru produsele de tip credit;
d) date negative – informaţii referitoare la întârzierile la plată a obligaţiilor decurgând din
relaţiile de creditare a persoanelor fizice;
e) date pozitive – informaţii referitoare la creditele acordate debitorilor persoane fizice,
de natură a contribui la evaluarea gradului de îndatorare şi a bonităţii acestora;
f) date referitoare la inadvertenţe – informaţii neconcordante rezultate din documentele
prezentate la data solicitării creditului, din culpa solicitantului;
g) date referitoare la fraudulenţi – informaţii privind săvârşirea de infracţiuni sau
contravenţii în domeniul financiar-bancar, în relaţia directă cu un participant, constatate
prin hotărâri judecătoreşti definitive sau irevocabile, după caz, ori prin acte
administrative necontestate;
h) date sensibile – datele cu caracter personal reglementate de art. 7 din Legea nr.
677/2001, modificată şi completată.
Art. 3
(1) Prelucrările efectuate în sisteme de evidenţă de tipul birourilor de credit pot
avea ca obiect numai datele cu caracter personal care sunt relevante şi neexcesive în
raport cu scopurile menţionate la art. 1 şi numai în legătură cu activitatea de creditare.
(2) Prelucrările de date cu caracter personal efectuate în sisteme de evidenţă de
tipul birourilor de credit nu se pot efectua asupra datelor sensibile şi a datelor
reglementate de art. 10 din Legea nr. 677/2001, modificată şi completată, cu excepţia
datelor privind fraudulenţii, în înţelesul prezentei decizii.
(3) Datele cu caracter personal care pot fi prelucrate în cadrul unor sisteme de
evidenţă de tipul birourilor de credit sunt următoarele:
a) date de identificare a persoanei fizice: nume, prenume, iniţiala tatălui/mamei, adresa de
domiciliu/reşedinţa, numărul de telefon fix/mobil, codul numeric personal;
b) date negative: tipul de produs, termenul de acordare, data acordării, data scadenţei,
credite acordate, sume datorate, sume restante, număr de rate restante, data scadentă a
restanţei, număr zile de întârziere în rambursarea creditului, starea contului;
c) date pozitive: tipul de produs, termenul de acordare, data acordării, data scadenţei,
sume acordate, sume datorate, starea contului, data închiderii contului, valuta creditului,
frecvenţa plăţilor, suma plătită, rata lunară, denumirea şi adresa angajatorului;
d) date referitoare la fraudulenţi: fapta comisă, numărul şi data hotărârii
judecătoreşti/actului administrativ, denumirea emitentului;
e) date referitoare la inadvertenţe.
(4) Persoanele fizice ale căror date cu caracter personal pot fi prelucrate în sisteme
de evidenţă de tipul birourilor de credit sunt împrumutaţii, codebitorii şi giranţii.
Art. 4
(1) Birourile de credit colectează date cu caracter personal exclusiv de la
participanţi.
(2) Participanţii au obligaţia de a transmite date exacte şi corecte către sistemele
de evidenţă de tipul birourilor de credit.
(3) Birourile de credit sunt obligate să efectueze demersuri în vederea remedierii
deficienţelor constatate în legătură cu caracterul inexact sau incomplet al informaţiilor.
(4) Datele înregistrate în sisteme de evidenţă de tipul birourilor de credit pot fi
actualizate, modificate, completate sau şterse fie direct de către participantul care a
transmis datele, fie de către biroul de credit, la cererea sau în acord cu participantul.
(5) Operaţiunile prevăzute la alin. (4) pot avea loc inclusiv ca urmare a exercitării
de către persoana vizată a drepturilor prevăzute de Legea nr. 677/2001, modificată şi
completată, în baza unei solicitări a Autorităţii Naţionale de Supraveghere a Prelucrării
Datelor cu Caracter Personal sau în temeiul unei hotărâri judecătoreşti.
(6) Este interzis accesul sau furnizarea datelor înregistrate în sisteme de evidenţă
de tipul birourilor de credit către terţi, cu excepţia autorităţilor şi instituţiilor publice, în
cazurile şi cu respectarea condiţiilor prevăzute de lege.
Art. 5
(1) Datele negative se transmit către sistemele de evidenţă de tipul birourilor de
credit după 30 de zile de la data scadenţei.
(2) Datele pozitive se transmit după data încheierii contractului dintre participant
şi persoana fizică.
(3) Datele referitoare la inadvertenţe se transmit după stabilirea culpei
solicitantului care a furnizat informaţii neconcordante, de către compartimentele
competente ale participanţilor, cu respectarea dispoziţiilor art. 8 alin. (4) din prezenta
decizie.
(4) Datele referitoare la fraudulenţi se transmit după luarea la cunoştinţă de
rămânerea definitivă sau, după caz, irevocabilă a hotărârii judecătoreşti ori după data la
care a devenit executoriu un act administrativ necontestat, prin care s-a stabilit vinovăţia
persoanei fizice aflate în relaţie cu un participant, cu respectarea dispoziţiilor art. 8 alin.
(4) din prezenta decizie.
Art. 6
(1) Datele cu caracter personal ale solicitanţilor de credit, care au renunţat la
cererea de credit sau a căror cerere a fost respinsă, sunt stocate în sistemele de evidenţă
de tipul birourilor de credit şi dezvăluite participanţilor pentru cel mult şase luni de la
data transmiterii datelor către biroul de credit.
(2) Datele negative sunt stocate în sistemele de evidenţă de tipul birourilor de
credit şi dezvăluite participanţilor pentru perioada necesară realizării scopurilor prevăzute
la art. 1, dar nu mai mult de 4 ani de la data achitării ultimei rate restante sau de la data
ultimei actualizări transmise, în cazul neachitării restanţelor până la data respectivă.
(3) Datele pozitive sunt stocate în sistemele de evidenţă de tipul birourilor de
credit şi dezvăluite participanţilor pentru perioada necesară realizării scopurilor prevăzute
la art. 1, dar nu mai mult de 4 ani de la data ultimei actualizări transmise.
(4) Datele referitoare la inadvertenţe şi datele referitoare la fraudulenţi sunt
stocate în sistemele de evidenţă de tipul birourilor de credit şi dezvăluite participanţilor
pentru perioada necesară realizării scopurilor prevăzute la art. 1, dar nu mai mult de 4 ani
de la data transmiterii în aceste sisteme.
Art. 7
La expirarea termenelor prevăzute la art. 6, datele cu caracter personal se şterg din
sistemele de evidenţă de tipul birourilor de credit sau sunt transformate, după caz, în date
anonime şi prelucrate în scopuri statistice.
Art. 8
(1) Datele cu caracter personal ale solicitanţilor de credit se transmit către
sistemele de evidenţă de tipul birourilor de credit numai cu acordul scris al persoanei
vizate obţinut de participanţi la data depunerii cererii de credit.
(2) Datele negative, inclusiv cele rezultate din aplicarea comisioanelor sau din
majorări ale ratei dobânzilor, se transmit către sistemele de evidenţă de tipul birourilor
de credit numai după înştiinţarea prealabilă realizată de către participanţi, în scris,
telefonic, prin SMS sau e-mail a persoanei vizate cu privire la întârzierea la plată şi
transmiterea datelor, realizată cu cel puţin 15 de zile calendaristice înainte de data
transmiterii.
(3) Datele pozitive se transmit către sistemele de evidenţă de tipul birourilor de
credit numai după înştiinţarea prealabilă, în scris, a persoanei vizate, realizată de către
participanţi la data încheierii contractului.
(4) Datele referitoare la inadvertenţe şi la fraudulenţi se transmit către sistemele
de evidenţă de tipul birourilor de credit numai după înştiinţarea prealabilă a persoanei
vizate, în scris, telefonic, prin SMS sau e-mail, realizată de către participanţi, înainte de
data transmiterii.
Art. 9
(1) Participanţii sunt obligaţi să furnizeze persoanei vizate la data înştiinţării
prealabile prevăzute de art. 8, în mod clar şi exact, informaţiile prevăzute de art. 12 alin.
(1) din Legea nr. 677/2001, modificată şi completată, inclusiv cu privire la:
a) datele cu caracter personal transmise;
b) identitatea biroului sau birourilor de credit către care sunt transmise datele;
c) categoriile de participanţi la birourile de credit către care sunt transmise datele;
d) perioada sau perioadele de stocare a datelor în cadrul sistemelor de evidenţă
de tipul birourilor de credit;
e) modalităţile concrete de exercitare a dreptului de acces, de intervenţie şi de
opoziţie, în relaţia cu participantul şi cu biroul/birourile de credit.
(2) Participanţii şi birourile de credit sunt obligaţi să ia măsuri corespunzătoare
pentru a asigura respectarea drepturilor de acces, de intervenţie şi de a nu fi supus unei
decizii automate individuale, prevăzute de art. 13-14 şi de art. 17 din Legea nr. 677/2001.
(3) Pentru motive întemeiate şi legitime, legate de situaţii particulare justificate,
persoanele fizice se pot opune ca datele lor cu caracter personal să fie transmise sau
prelucrate ulterior în sistemele de evidenţă de tipul birourilor de credit.
Art. 10
Participanţii şi birourile de credit sunt obligaţi să adopte măsurile de securitate
tehnice şi organizatorice necesare pentru protejarea datelor cu caracter personal în
condiţiile art. 19-20 din Legea nr. 677/2001, modificată şi completată. Pot avea acces la
datele cu caracter personal stocate în sistemele de evidenţă de tipul birourilor de credit
numai persoanele autorizate.
Art. 11
Prevederile prezentei decizii nu se aplică prelucrărilor de date efectuate de
operatorii de date cu caracter personal din alte domenii de activitate, având ca scop
ţinerea evidenţei rău-platnicilor şi evaluarea solvabilităţii propriilor clienţi persoane
fizice, cu respectarea prevederilor legale din domeniul protecţiei datelor personale.
Art. 12
Încălcarea dispoziţiilor prezentei decizii poate atrage răspunderea
contravenţională, potrivit Legii nr. 677/2001, modificată şi completată.
Art. 13
Prezenta decizie intră în vigoare în termen de 60 de zile de la data publicării în
Monitorul Oficial al României, Partea I.
Preşedintele Autorităţii Naţionale de Supraveghere a
Prelucrării Datelor cu Caracter Personal
Georgeta Basarabescu
Nr. 105 din 15 decembrie 2007
