Secţiuni » Articole
Articole
Publicare articolePublicare comunicatePreluare RSSNewsletters
EssentialsInterviuriOpiniiRNSJNote de studiuStudii
Banner BA-01
Servicii JURIDICE.ro
Banner BA-02
Articole Flux informații SELECTED

Riscurile aferente transferurilor de portofolii și modalități de limitare a acestora în perspectiva aplicării GDPR

16 martie 2018 | Iulian IOSIF, Vlad CORDEA
Iulian Iosif

Iulian Iosif

Vlad Cordea

Vlad Cordea

La data de 6 aprilie 2016, Uniunea Europeană a demarat o reformă de substanță a cadrului legislativ aplicabil protecției datelor cu caracter personal, prin adoptarea unui pachet de acte normative în acest domeniu, în ansamblul căruia se distinge Regulamentul General privind Protecția Datelor cu Caracter Personal („Regulamentul”)[1].

Regulamentul va deveni aplicabil în mod direct în toate Statele Membre ale Uniunii Europene începând cu data de 25 mai 2018, urmărind să stabilească un set de reguli uniforme la nivelul uniunii cu privire la prelucrarea datelor cu caracter personal, garantând totodată libera circulație a acestora între Statele Membre, precum și consolidarea încrederii și securității în rândul consumatorilor.

Regulamentul continuă liniile directoare trasate de Directiva Datelor Personale[2] dar, beneficiind de experiența acumulată în cei peste 20 de ani de aplicare a directivei și a legislației naționale adoptate în Statele Membre, precum și a jurisprudenței relevante a instanțelor naționale și a CJUE, clarifică și actualizează reglementările aplicabile în acest domeniu. Totodată, sunt introduse și elemente de noutate, care urmăresc să consolideze protecția acordată datelor personale în contextul dezvoltării accelerate din ultimele decenii a economiei digitale și a diversificării în acest proces a riscurilor aferente privind protecția datelor personale.

Luând nota de importanță a modificărilor de ansamblu propuse de Regulament, nu ne propunem să realizăm aici o analiză de ansamblu a elementelor de noutate prevăzute în noua reglementare, deoarece aceasta a făcut deja obiectul a numeroase articole și studii publicate recent în contextul aplicării iminente a Regulamentului. O astfel de sinteză privind principalele noutăți implementate de Regulament a realizat recent și Comisia Europeană în Comunicarea sa către Parlamentul European și Consiliu din 24 ianuarie 2018[3].

Articolul de față are ca punct de plecare doar două dintre elementele de noutate prevăzute în noul Regulament, și anume:

Evenimente programate
NOU! Despre bani în profesii juridice: avocați, executori, notari, consilieri juridici și alți profesioniști ai dreptului
13 septembrieUltimele evoluții jurisprudențiale privind prescripția răspunderii penale
14 septembrieJURIDICE.ro Premier Golf Day
16 septembrieAccidentul de muncă în toate formele de răspundere juridică
18 septembrieȘcoala Superioară de Cadre
19 septembrie 2024Impactul legii 243/2024 asupra creditorilor IFN/cesionari de creanțe
23 septembrieFraudarea creditorilor – eficacitatea mijloacelor actuale pentru combaterea ei
25 septembrieNoutățile Legii nr. 214/2024 – ce efecte poate avea semnătura electronică
26 septembrieJURIDICE by Night. Golden Season edition
30 septembrieAvocatura: onorariu orar vs. onorariu global
5 octombrieStart Curs INGENIO de pregătire pentru Barou, INM & Magistratură, Notariat și Licență
7 octombrieDacă UIT, 100.000 de lei amendă! (RO E-TRANSPORT)
14 octombrieImpactul sancțiunilor impuse de Consiliul Concurenței asupra pieței editoriale din România: între protecția concurenței și drepturile de autor
21 octombrieAbilitățile de negociere: un moft sau o necesitate?
31 octombrieJURIDICE by Night. Mystic Night. Halloween edition
11 noiembrieFraudarea fondurilor europene: infracțiune de 1 Euro? (Necesitatea stabilirii unui prag valoric minim pentru infracțiunea de fraudare a fondurilor europene)
18 noiembrieSocial Media. Răspunderea juridică în caz de Share și Repost care deranjează
23 noiembrieStart Curs Admitere INM/ Magistratură & Avocatură 2025
28 noiembrieJURIDICE by Night. Autumn Allure edition
2025The Congress / The biggest legal event

– Introducerea principiului responsabilității, în baza căruia organizațiile vor fi răspunzătoare și vor fi obligate să demonstreze că prelucrează datele personale conform principiilor enunțate în Regulament, inclusiv pe cel privind legalitatea, echitatea și transparența prelucrării față de persoana vizată;

Prin introducerea principiului responsabilității, Regulamentul renunță la sistemul notificării autorităților naționale de supraveghere, fapt care va obliga organizațiile să realizeze într-o primă etapă evaluări interne pentru a determina gradul de conformare cu legislația aplicabilă, și să implementeze mijloace tehnice și organizatorice corespunzătoare în situația în care realizează prelucrări de date personale.

Chiar dacă aparent principiul responsabilității acordă o mai mare flexibilitatea operatorilor de date personale și persoanelor împuternicite de operatori, în realitate aceștia vor fi obligați să adopte pe viitor o atitudine mult mai prudentă și o diligență suplimentară fata de prelucrarea datelor personale, nemaiavând posibilitatea de a invoca simpla formalitate a notificării către autoritatea de supraveghere.

O astfel de diligență și prudență sporite a operatorilor vor fi cu atât mai necesare cu cât Regulamentul introduce și un nou sistem de guvernanță și de sancțiuni aplicabile celor care încalcă legislația aplicabilă.

– Introducerea unui sistem de guvernanță care să asigure că regulile sunt aplicate în mod consistent și prompt la nivelul tuturor Statelor Membre, prin acordarea de puteri sporite autorităților de supraveghere, inclusiv prin posibilitatea de a aplica amenzi contravenționale operatorilor și persoanelor împuternicite de operatori, care pot ajunge la cuantumuri semnificative, inclusiv raportate la cifra de afaceri globală a operatorului în culpă, în funcție de gravitatea și persistența în timp a încălcării.

Plecând așadar de la responsabilizarea operatorilor de date personale în contextul noului sistem de guvernanță și sancționare aplicabil, ne propunem să analizăm în cele ce urmează riscurile inerente, precum și modalitățile de limitare a lor în contextul prelucrării datelor personale în cadrul transferurilor de portofolii. În mod particular, sunt abordate în cele ce urmează mecanismele aflate la îndemâna operatorilor de date personale pentru a se asigura că prelucrările de date personale efectuate cu ocazia transferurilor de portofolii se realizează cu respectarea principiului legalității și transparenței față de persoanele vizate, asigurând astfel diminuarea riscului unor eventuale sancțiuni în baza Regulamentului[4].

1. Legalitatea prelucrării datelor cu caracter personal în cadrul transferului de portofolii

Conform unui studiu de piață realizat în anul 2016[5], România se situa în topul pieței transferurilor portofoliilor de credite neperformante (NPL) din Europa Centrală și de Est în anii 2015 – 2016, înregistrând vânzări de NPL estimate la 2,5 miliarde EUR. Conform informațiilor publice recente[6], valoarea tranzacțiilor cu NPL în 2017 s-a situat sub nivelul celor din 2016, dar este probabil ca astfel de tranzacții să aibă loc și în anii următori, în condițiile în care media NPL, în ansamblul creditelor acordate de instituțiile financiare din România, este superioară celei europene.

Chiar dacă transferurile de portofolii NPL au fost în mod cert puternic mediatizate în ultimii ani, acestea nu reprezintă singura categorie de transferuri de portofolii în care, prin aceeași tranzacție, se realizează un transfer simultan al datelor personale aparținând unui număr semnificativ de persoane vizate.

Astfel, transferuri de portofolii și, implicit, de date personale sunt întâlnite și în alte sectoare de activitate, dintre care amintim doar câteva: domeniul asigurărilor și intermedierilor în asigurări, domeniul energiei electrice (unde au loc transferuri ale portofoliilor de clienți finali între diferiți furnizori, precum și între furnizorii de ultimă instanță), sectorul emitenților de tichete de masă, unde chiar dacă nu vorbim de transferuri de portofolii propriu-zise, au loc de asemenea transferuri de date personale privind salariații între angajatori și emitenți, precum și între aceștia și entități procesatoare și alte organizații specializate etc.

Așadar, atunci când are loc un transfer de portofolii care implică persoane fizice, transferul presupune și un transfer al datelor cu caracter personal ale clienților persoane fizice. În aceste situații, organizațiile care transferă datele personale ale persoanelor vizate realizează o prelucrare de date cu caracter personal, care, pentru a fi legală, va trebui să fie bazată pe cel puțin unul dintre temeiurile indicate la art. 6 (1) din Regulament.

Dintre cele șase temeiuri ale prelucrării prevăzute la art. 6 (1) din Regulament, care reiau grosso modo temeiurile existente în baza directivei, analiza noastră se va limita la abordarea a trei dintre acestea, fiind unele dintre temeiurile cel mai susceptibile de a fi invocate în practică în cazul realizării unui transfer de portofolii, respectiv:

(i) Art. 6 (1) lit. (a) din Regulament – persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal, pentru unul sau mai multe scopuri specifice;

(ii) Art. 6 (1) lit. (c) din Regulament – prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului;

(iii) Art. 6 (1) lit. (f) din Regulament – prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal.

Vom analiza pentru început posibilitatea obiectivă a operatorilor de a obține consimțământul prealabil al persoanelor vizate în cazul transferurilor de portofolii, pentru a asigura legalitatea prelucrării datelor personale. Această sarcină se poate dovedi extrem de dificil, uneori imposibil de realizat în practică, având în vedere că prin transferurile de portofolii sunt transferate datele personale aparținând unui număr foarte mare de persoane vizate.

Ca alternativă la obținerea consimțământului persoanelor vizate, operatorii sunt tentați deseori să invoce temeiul prevăzut la art. 6 (1) lit. (f) din Regulament, respectiv, realizarea intereselor legitime urmărite de operator sau de o terță persoană (e.g. cesionarul portofoliului). Chiar dacă invocarea interesului legitim poate părea întemeiată la prima vedere în cazul transferurilor de portofolii, fiind de altfel utilizată frecvent în unele state UE[7], este discutabil dacă acest temei poate fi invocat în România în unele domenii, precum cel bancar-financiar, conform celor detaliate în Secțiunea 1.2. Totodată, interesul legitim nu va putea suplini lipsa consimțământului în România în cazul transferurilor de date cu funcție de identificare de aplicabilitate generală.

Plecând de la constatările noastre de mai jos din Secțiunea 1.1 cu privire la dificultatea de a obține consimțământul persoanelor vizate, precum și de la concluziile Secțiunii 1.2 privind piedicile legale în calea invocării interesului legitim al operatorului pentru a transfera date personale, propunem în Secțiunea 1.3, ca o altă posibilă alternativă, invocarea temeiului de la art. 6 lit. (c) din Regulament, respectiv, prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului.

1.1. Obținerea consimțământului persoanelor vizate pentru transferul datelor personale

Regulamentul definește consimțământul ca fiind orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, că datele cu caracter personal care o privesc să fie prelucrate.

Printre alte temeiuri legale, Regulamentul recunoaște legalitatea prelucrării datelor personale atunci când persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice.

Chiar dacă obținerea consimțământului poate părea la o primă vedere cea mai facilă cale pentru a asigura legalitatea prelucrării datelor personale, în practică însă, sarcina obținerii consimțământului tuturor persoanelor vizate poate deveni una deosebit de oneroasă, uneori chiar imposibil de realizat, fie din cauza naturii raporturilor dintre operator și persoana vizată (de exemplu raporturi de muncă, ierarhizate, unde libertatea consimțământului poate fi afectată), fie din cauza amplitudinii operațiunilor de prelucrare a datelor personale. Acesta din urmă este și cazul transferurilor de portofolii, care de cele mai multe ori presupune transferul a mii, zeci de mii sau chiar sute de mii de clienți persoane fizice, și implicit a datelor lor personale.

Având în vedere dificultatea obținerii consimțământului tuturor persoanelor vizate la momentul imediat premergător transferului de portofolii, operatorii recurg uneori la procedee cel puțin discutabile de obținere a acestuia la data încheierii contractelor sau pe parcursul executării lor. În acest sens, amintim unele practici existente în domeniul serviciilor bancar-financiare, dar și în cel al energiei, din România. Mai precis, unele instituții financiare sau instituții de credit aleg să solicite un consimțământ general pentru prelucrarea datelor personale din partea clienților persoanelor fizice, utilizând în principal două modalități: (a) fie prin includerea unor clauze de prelucrare a datelor personale în contractele de credit încheiate cu clienții, menite să echivaleze consimțământ al clienților la prelucrarea datelor lor personale, ca urmare a semnării contractului de credit de către client; (b) fie prin furnizarea în mod periodic, spre completare și semnare, a unor formulare de identificare și actualizare a datelor de identitate ale clienților, care conțin de regulă și o secțiune privind prelucrarea datelor personale (inclusiv prin transferul datelor personale către terțe părți), secțiune la care clientul aderă în mod automat când completează și semnează formularele respective.

Considerăm că este puțin probabil ca instituțiile de credit sau financiare să se poată prevala cu succes de consimțământul obținut de la clienții persoane fizice prin modalitățile sus amintite în contextul aplicării Regulamentului, în condițiile în care acesta implementează rigori sporite de transparentă și informare în beneficiul persoanelor vizate. În sprijinul acestui punct de vedere amintim prevederile art. 7 din Regulament, care precizează condițiile pe care trebuie să le îndeplinească consimțământul pentru a putea fi invocat de către operatori ca temei legal al prelucrării datelor personale.

Astfel, conform art. 7 (2), atunci când consimțământul persoanei vizate este dat în contextul unei declarații scrise care se referă și la alte aspecte, cererea privind consimțământul trebuie să fie prezentată într-o formă care o diferențiază în mod clar de celelalte aspecte, într-o formă inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu. Or, este improbabil ca un formular general de identificare și actualizare a datelor de identitate ale clienților sau un contract care conține, printre altele, și o secțiune privind prelucrarea datelor personale, să corespundă cerințelor de diferențiere, accesibilitate și claritate a solicitării consimțământului prevăzute la art. 7 (2) din Regulament. Apreciem că, pentru a respecta condițiile prevăzute de Regulament, solicitarea consimțământului va trebui realizată prin formulare distincte, dedicate exclusiv informării adecvate și obținerii consimțământului clienților pentru una sau mai multe operațiuni de prelucrare.

În sprijinul punctului nostru de vedere amintim și pct. (42) din Preambulul Regulamentului, care subliniază că “în contextul unei declarații scrise cu privire la un alt aspect, garanțiile ar trebui să asigure că persoana vizată este conștientă de faptul că și-a dat consimțământul și în ce măsură a făcut acest lucru. (…) ar trebui furnizată o declarație de consimțământ formulată în prealabil de către operator, într-o formă inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu (…).”

Regulamentul menționează, de altfel, încă din Preambul necesitatea ca solicitarea consimțământului să fie formulată sub forma unei declarații distincte, inteligibile și ușor accesibile persoanelor vizate, care să le permită să conștientizeze faptul că și-au dat consimțământul.

Pe lângă chestiunea caracterului informat al consimțământului, un alt aspect relevant îl constituie condiția libertății consimțământului. Regulamentul condiționează caracterul liber al consimțământului de o anumită granularitate a acestuia, respectiv posibilitatea de a fi acordat în mod separat sau refuzat, după caz, pentru operațiuni de prelucrare diferite. Astfel, conform punctului (43) din Preambulul Regulamentului „consimțământul este considerat a nu fi acordat în mod liber în cazul în care aceasta nu permite să se acorde consimțământul separat pentru diferitele operațiuni de prelucrare a datelor cu caracter personal, deși acest lucru este adecvat în cazul particular.”

În sensul celor de mai sus se pronunță și Propunerea de Orientări cu privire la Consimțământ elaborată de Grupul de lucru art. 29[8], care precizează că un serviciu poate presupune operațiuni multiple de prelucrare a datelor personale pentru scopuri diverse, iar în aceste situații persoana vizată trebuie să aibă libertatea de a-și acorda consimțământul pentru scopurile dorite și nu să fie obligată să ofere un singur consimțământ pentru toate procesele în grup. Propunerea de Orientări apreciază că nu există consimțământ liber acordat când operatorul prelucrează datele în mai multe scopuri și nu a solicitat consimțământ separat pentru fiecare dintre aceste scopuri.

Reiese din dispozițiile mai sus amintite că, atunci când este vorba de mai multe operațiuni de prelucrare a datelor personale, persoana vizată trebuie să aibă posibilitatea de a opta pentru consimțirea doar a anumitor prelucrări și refuzul consimțământului pentru altele, după caz. Or, apreciem că inserarea în formulare sau contracte a unei secțiuni generice privind prelucrarea datelor personale, menită să acopere orice fel de prelucrare ipotetică, susceptibilă de a fi realizată de operatorul de date personale într-un viitor mai mult sau mai puțin incert (de ex. un prezumtiv transfer de date personale care nu este nici măcar previzibil la data semnării formularelor sau contractelor de către clienți) nu respectă cerința caracterului liber al consimțământului, în conformitate cu prevederile Regulamentului și ale Orientărilor Grupului de lucru art. 29.

Totodată, strict cu privire la practica obținerii consimțământului prin inserarea unor clauze privind prelucrarea datelor personale în contractele încheiate cu clienții persoane fizice (e.g. contracte de credit), considerăm că nici în această situație nu se realizează condiția libertății consimțământului, în conformitate cu prevederile Regulamentului. Astfel, conform art. 7 (4) din Regulament atunci când se evaluează dacă consimțământul este dat în mod liber, se ține seama cât mai mult de faptul că, printre altele, executarea unui contract, inclusiv prestarea unui serviciu, este condiționată sau nu de consimțământul cu privire la prelucrarea datelor cu caracter personal care nu este necesară pentru executarea acestui contract.

Prevederile Regulamentului sunt completate de Propunerea de Orientări cu privire la Consimțământ elaborat de Grupul de lucru art. 29, care adaugă că atunci când consimțământul este înglobat ca o parte non-negociabilă a termenilor și condițiilor, se prezumă că nu a fost acordat în mod liber.

În lumina celor de mai sus, este un fapt de notorietate că în practică, clienții persoane fizice au o marjă de negociere foarte redusă cu privire la contractele încheiate cu instituțiile de credit sau alte instituții financiare, în cazul contractelor încheiate cu societățile de asigurare și intermediarii în asigurări, sau al celor cu furnizorii de energie, aceste contracte devenind uneori veritabile contracte de adeziune pe care clienții trebuie să le accepte în forma în care le sunt oferite spre semnare sau să refuze semnarea.

Așadar, în cazul în care o clauză din contract solicită clientului consimțământul pentru transferul datelor sale personale, în condițiile în care un astfel de transfer nu este luat în calcul în mod concret sau cel puțin previzibil la data încheierii contractului, credem că este incidentă situația menționată la art. 7 (4) mai sus, respectiv încheierea și executarea contractului sunt condiționate de consimțământul persoanei vizate cu privire la prelucrarea datelor personale, fără ca acest consimțământ să fie necesar în realitate pentru încheierea și executarea contractului. Este cert că prelucrarea de către operator a datelor personale a clienților săi este necesară pentru încheierea și executarea contractelor, însă executarea contractelor nu implică de la sine și transferul de portofolii. În condițiile în care această operațiune nu este planificată sau previzibilă la data încheierii contractului, nu poate fi considerată ca fiind inerentă executării contractului, ci se poate cel mult prefigura ca un scenariu incert la data încheierii contractului.

Prin urmare, în ipoteza solicitării de către operatori din partea clienților persoane fizice a unui consimțământ general, acordat printr-o formulă generică la data încheierii contractului, care să acopere inclusiv transferul datelor personale, consimțământul astfel exprimat de clienți nu poate fi considerat ca fiind liber exprimat din perspectiva Regulamentului.

În concluzie, credem că invocarea de către operatorii de date a obținerii consimțământului de la persoanele vizate pentru transferul portofoliilor de contracte, fie prin completarea și semnarea unor formulare de actualizare a datelor care conțin și secțiuni generale de prelucrare a datelor personale, fie prin inserarea unor clauze de prelucrare a datelor personale în contracte cu privire la care libertatea de alegere a consumatorilor este limitată, dacă nu inexistentă, nu respectă condițiile prevăzute de Regulament și reiterate în Propunerea de Orientări cu privire la Consimțământ elaborat de Grupul de lucru art. 29, respectiv: libertatea de manifestare a persoanei vizate cu privire la necesitatea existenței unei informări prealabile prin termeni clari și neechivoci a persoanei vizate, dreptul acesteia de a consimți doar cu privire la anumite prelucrări de date personale, necondiționarea exprimării consimțământului privind prelucrarea datelor personale de executarea unui contract, atunci când consimțământul nu este necesar pentru executarea acestuia.

În aceste situații în care nu este posibilă obținerea unui consimțământ informat și liber exprimat din partea persoanelor vizate, operatorii care realizează transferuri de portofolii au însă posibilitatea să invoce alte temeiuri pentru a asigura o prelucrare legală a datelor personale, unul dintre acestea fiind cel menționat la art. 6 (1) lit. (f) din Regulament, respectiv realizarea interesului legitim al operatorului sau al unei terțe părți.

1.2. Realizarea interesului legitim al operatorului pentru transferul datelor personale

Conform art. 6 (1) lit. (f) din Regulament, prelucrarea este legală, printre altele, dacă este necesară în scopul realizării intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal.

1.2.1. Efectuarea de către operatori a testului comparativ pentru a putea invoca interesul legitim

Așadar, conform Regulamentului, pentru a fi în măsură să invoce interesul legitim pentru prelucrarea datelor personale, trebuie ca operatorii să pună pentru început în balanță, pe de o parte interesul lor și pe de altă parte, interesele sau drepturile și libertățile fundamentale ale persoanelor vizate. În cazul în care ar constata că necesitatea protejării datelor cu caracter personal prevalează asupra intereselor lor legitime, operatorii ar trebui să se bazeze pe un alt temei prevăzut în Regulament pentru prelucrarea datelor personale.

În acest sens, punctul (69) din Preambulul Regulamentului precizează că îi revine operatorului sarcina de a demonstra că interesele sale legitime și imperioase prevalează asupra intereselor sau a drepturilor și libertăților fundamentale ale persoanei vizate, și totodată, sarcina de a realiza o documentare a interesului legitim, care să-i permită să demonstreze prevalența acestuia asupra drepturilor și libertăților fundamentale ale persoanei vizate.

În Orientările furnizate de Grupul de lucru art. 29 cu privire la noțiunea de interese legitime ale operatorului, în baza vechii Directive a Datelor Personale[9], sunt evidențiați factorii care trebuie luați în considerare pentru a realiza în mod corespunzător testul comparativ și a se asigura că interesele și drepturile fundamentale ale persoanelor vizate sunt avute în vedere în mod corespunzător, inclusiv următorii: a) natura și sursa interesului legitim și faptul dacă prelucrarea datelor este necesară pentru exercitarea unui drept fundamental, este în alt mod în interesul public sau beneficiază de recunoaștere în comunitatea în cauză; b) impactul asupra persoanei vizate și așteptările rezonabile ale acesteia cu privire la ce se va întâmpla cu datele sale, precum și natura datelor și modul în care acestea sunt prelucrate; c) garanțiile suplimentare care ar putea limita impactul nejustificat asupra persoanei vizate, cum ar fi minimizarea datelor, tehnologiile menite să sporească protecția vieții private, creșterea transparenței, dreptul general și necondiționat de excludere voluntară și portabilitatea datelor.

Cu titlu de exemplu, punctul (47) din Preambulul Regulamentului precizează că interesul legitim ar operatorului ar putea exista atunci când există o relație relevantă și adecvată între persoana vizată și operator, cum ar fi cazul în care persoana vizată este un client al operatorului. Conform aceluiași punct din Preambul, când este invocat interesul legitim al operatorului ca temei legal al prelucrării, este necesară realizarea unei evaluări prealabile, care să stabilească inclusiv dacă o persoană vizată poate preconiza în mod rezonabil, în momentul și în contextul colectării datelor cu caracter personal, posibilitatea prelucrării în acest scop. Astfel, interesele și drepturile fundamentale ale persoanei vizate ar putea prevala în special în raport cu interesul operatorului de date atunci când datele cu caracter personal sunt prelucrate în circumstanțe în care persoanele vizate nu preconizează în mod rezonabil o prelucrare ulterioară.

Considerăm că astfel de situații, în care datele cu caracter personal sunt prelucrate în circumstanțe în care persoanele vizate nu preconizează în mod rezonabil o prelucrare ulterioară, pot fi incidente și în cazul transferurilor de portofolii, efectuarea acestora neputând fi preconizată în mod rezonabil, de persoanele vizate la data încheierii contractului în condițiile în care transferurile intervin de regulă pe parcursul executării contractelor, din rațiuni care nu sunt întotdeauna prevăzute la data încheierii lor.

Cele de mai sus nu neagă însă posibilitatea de a invoca, în principiu, interesul legitim al operatorului sau al unei terțe părți pentru transferul datelor personale ale clienților persoane fizice, inclusiv în scenariul unui transfer de portofolii, dacă efectuarea în prealabil a unui test comparativ și documentat indică prevalența intereselor legitime ale operatorului sau ale terței persoane asupra interesului persoanelor vizate de a se asigura protecția drepturilor și libertăților lor fundamentale.

Mai mult, Regulamentul instituie o prezumție de interes legitim cu privire la transferurile de date personale efectuate între întreprinderi din același grup. Conform punctului (48) din Preambul, Regulamentul consideră că operatorii care fac parte dintr-un grup de întreprinderi sau instituții afiliate unui organism central pot avea un interes legitim de a transmite date cu caracter personal în cadrul grupului de întreprinderi în scopuri administrative interne, inclusiv în scopul prelucrării datelor cu caracter personal ale clienților sau angajaților și cu condiția respectării principiilor generale ale transferului de date cu caracter personal, în cadrul unui grup de întreprinderi, către o întreprindere situată într-o țară terță.

Regulamentul oferă totodată și câteva instrumente și mijloace de acțiune aflate la îndemână operatorilor care intenționează să invoce pe viitor interesul legitim pentru prelucrări de date personale, care să le faciliteze sarcina invocării acestei condiții pentru prelucrarea datelor. Astfel, este recomandabil ca organizațiile să acorde pe viitor o atenție sporită în special prevederilor art. 40 (2) din Regulament, conform cărora, asociațiile și alte organisme care reprezintă categorii de operatori sau de persoane împuternicite de operatori pot pregăti coduri de conduită sau le pot modifica sau extinde pe cele existente, în scopul de a specifica modul de aplicare a Regulamentului, inclusiv în ceea ce privește interesele legitime urmărite de operatori în contexte specifice.

În completare, art. (3) din Regulament subliniază faptul că aderarea la coduri de conduită aprobate sau la un mecanism de certificare aprobat conform Regulamentului poate fi utilizată ca element care să demonstreze respectarea de către operatori a obligațiilor privind prelucrarea datelor personale (aceasta putând fi aplicabilă, credem noi, inclusiv în cazul transferului de date personale – s.n.).

Așadar, pentru a facilita sarcina operatorilor în situațiile în care invocă interesul legitim ca temei legal al prelucrării datelor personale (de exemplu, minimizarea pierderilor înregistrate ca urmare a dificultăților de recuperare a creditelor neperformante acordate și curățarea bilanțurilor contabile prin anularea / reducerea provizioanelor), un sprijin suplimentar l-ar constitui elaborarea unor coduri de conduită sau actualizarea celor existente, astfel încât acestea să prevadă interesul legitim al operatorilor în cazul unor transferuri de portofolii și evident aderarea la astfel de coduri de conduită.

În scopul elaborării sau actualizării unor astfel de coduri, asociațiile și organizațiile care grupează operatori economici în diverse sectoare de activitate (de ex. domeniul financiar-bancar, asigurări-reasigurări, energie etc.) pot să se implice în mod activ în aceste demersuri, inclusiv prin organizarea de grupuri de lucru, colaborarea cu autorităților de supraveghere, solicitarea de puncte de vedere din partea acestora în scopul elaborării codurilor etc.

Independent de concluziile de mai sus, există totuși anumite cazuri particulare în care este îndoielnică posibilitatea invocării interesului legitim ca temei legal pentru realizarea transferurilor de portofolii, aceasta fiind situația particulară a transferurilor de portofolii realizate de instituțiile de credit sau cele financiare nebancare, pentru argumentele menționate în secțiunea 1.2.2.

Totodată, invocarea interesului legitim nu va fi în măsură să suplinească lipsa consimțământului persoanelor vizate în cazul transferurilor de portofolii care presupun și transferul datelor personale cu funcție de identificare de aplicabilitate generală (de ex. codul numeric personal, seria și numărul cărții de identitate sau a pașaportului), conform celor detaliate în secțiunea 1.2.3.

1.2.2. Invocarea interesului legitim în cazul transferurilor de portofolii realizate de instituțiile de credit și instituțiile financiare nebancare

Referitor la posibilitatea invocării interesului legitim în cazul transferurilor de portofolii de către instituțiile de credit și cele financiare nebancare (IFN), un aspect problematic îl reprezintă faptul că, atât instituțiile de credit, cât și IFN din România sunt ținute de obligația de a respecta secretul profesional.

Astfel, conform legislației bancare care reglementează secretul profesional, instituțiile de credit sunt obligate să păstreze confidențialitatea asupra oricărui fapt, dată sau informație, aflate la dispoziția lor, care privesc persoana, proprietatea, activitatea, afacerea, relațiile personale sau de afaceri ale clienților ori informații referitoare la conturile clienților[10].

Dispoziții similare celor de mai sus se regăsesc și în dispozițiile legii IFN cu privire la obligația de păstrare a secretului profesional, conform cărora IFN sunt obligate să păstreze confidențialitatea asupra tuturor informațiilor aflate la dispoziția lor, care privesc persoana, patrimoniul, activitatea, relațiile personale sau de afaceri ale clienților[11].

Este adevărat că, atât legislația bancară, cât și cea privind IFN prevăd anumite excepții de la obligația secretului profesional, permițând de exemplu, ca informații de natura secretului bancar / profesional să poată fi furnizate în măsura în care instituția de credit, respectiv, instituția financiară nebancară justifică un interes legitim[12].

Așadar, ca regulă generală, legislația națională obligă instituțiile de credit și IFN să respecte secretul profesional cu privire la datele clienților, permițându-le totuși să deroge de la aceasta în cazul în care justifica un interes legitim. Un astfel de interes legitim ar putea fi invocat, de exemplu, în cazul transferurilor de credite neperformante către o terță parte, atât instituțiile de credit, cât și IFN urmărind prin aceste transferuri să-și minimizeze pierderile decurgând din contractele încheiate cu debitori rău-platnici, permițându-le astfel să-și „curețe” bilanțurile prin anularea / reducerea provizioanelor aferente acestor credite.

În contradicție însă cu prevederile din legislația bancar-financiară, amintim prevederile pct. (50) (ultima teză) din Preambulul Regulamentului, care pot fi interpretate ca reprezentând o interdicție absolută de a invoca interesul legitim pentru a transmite date cu caracter personal sau de a prelucra ulterior date cu caracter personal în cazul în care prelucrarea nu este compatibilă cu o obligație legală, profesională sau cu o altă obligație de păstrare a secretului (versiunea în limba română a Regulamentului utilizează termenul „confidențialitate” în loc de „secret”, utilizare care rezultă, credem noi, dintr-o traducere nefericită a versiunii în limba engleză a Regulamentului, care utilizează termenul „secrecy”, acesta având un sens mai restrâns, trimițând înspre sfera obligațiilor specifice de păstrare a secretului profesional și nu a celor general aplicabile în contracte cu privire la confidențialitate – s.n.)[13].

Astfel, chiar dacă legislația română în domeniul instituțiilor de credit și IFN pare să instituie o excepție cu caracter general, care ar permite acestora să deroge de la obligația de păstrare a secretului profesional atunci când au un interes legitim, pct. (50) din Regulament menționat mai sus poate fi interpretat în sensul instituirii unei interdicții absolute în ceea ce privește invocarea interesului legitim pentru transmiterea datelor cu caracter personal de către entitățile care sunt ținute de obligația de secret profesional.

Dacă o astfel de interpretare va prevala în aplicarea Regulamentului, luând în considerare preeminența dreptului comunitar asupra celui național, precum și principiul efectului direct aplicabil în cazul Regulamentului, ar rezulta că în situațiile în care există o obligație de secret profesional, ar fi inadmisibilă invocarea interesului legitim pentru a justifica transferul datelor cu caracter personal de către instituții de credit sau IFN.

Desigur, fiind vorba de o prevedere din Preambulul Regulamentului, și nu de un articol din textul propriu-zis, cu forță obligatorie, al Regulamentului, această prevedere poate da naștere unor lungi dezbateri și interpretări, cu finalitate incertă.

Până la tranșarea acestei chestiuni, având în vedere cuantumul ridicat al sancțiunilor pe care le pot aplica autoritățile de supraveghere competente conform Regulamentului, este recomandabil ca anterior oricărui transfer de portofolii NPL bazat pe invocarea temeiului interesului legitim, instituțiile de credit și IFN implicate într-un astfel de transfer să obțină puncte de vedere oficiale cu privire la posibilitatea invocării interesului legitim în contextul existenței obligației de păstrare a secretului profesional.

1.2.3. Chestiunea interesului legitim în cazul transferului datelor personale cu funcție de identificare de aplicabilitate generală

Alături de aspectele analizate mai sus cu privire la invocarea interesului legitim în contextul obligației de păstrare a secretului profesional, un alt aspect problematic intervine în situațiile în care are loc un transfer de date cu caracter personal având o funcție de identificare de aplicabilitate generală (CNP, seria și numărul actului de identitate, numărul pașaportului, al permisului de conducere, numărul de asigurare socială sau de sănătate etc.).

Conform art. 8 din Legea nr. 677/2001 și art. 2 din Decizia nr. 132/2011 a Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), prelucrarea codului numeric personal sau a altor date cu caracter personal având o funcție de identificare de aplicabilitate generală poate fi efectuată exclusiv în următoarele situații:

a) persoana vizată și-a dat în mod expres consimțământul (în scris); sau

b) prelucrarea este prevăzută în mod expres de o dispoziție legală; sau

c) s-a obținut avizul ANSPDCP și sunt oferite garanții adecvate pentru respectarea drepturilor persoanelor vizate.

Legea nr. 677/2001 urmează să fie abrogată începând cu 25 mai 2018, dată de la care nu va mai putea fi invocată ca temei legal pentru procesarea datelor cu caracter personal având o funcție de identificare de aplicabilitate generală. Este foarte probabil însă ca ANSPDCP, își va menține și după aplicarea Regulamentului, punctul de vedere exprimat în Decizia nr. 132/2011, pe care are posibilitatea să-l confirme și să-l actualizeze prin emiterea unei noi decizii în temeiul Regulamentului. Aceasta, cu atât mai mult cu cât, Regulamentul consolidează protecția datelor personale și autorizează totodată, prin art. 87, ca statele membre să detalieze în continuare condițiile specifice de prelucrare a unui număr de identificare național sau a oricărui alt identificator cu aplicabilitate generală, cum este cazul CNP.

În concluzie, apreciem că și după aplicarea Regulamentului, operatorii de date personale nu vor putea să invoce interesul legitim, ci doar cele trei cazuri indicate mai sus ca temei legal al prelucrării CNP sau a altor date cu caracter personal având o funcție de identificare de aplicabilitate generală, inclusiv în cazul unui transfer de portofolii.

Așadar, în cazul în care transferurile de portofolii vor implica și transferuri de date cu caracter personal având o funcție de identificare de aplicabilitate generală, ceea ce are loc aproape inevitabil în practică, având în vedere că astfel de date sunt incluse în contractele încheiate cu persoane fizice, operatorii de date personale vor trebuie să își întemeieze prelucrarea pe cel puțin unul dintre cele trei temeiuri de mai sus. Având în vedere dificultatea obținerii consimțământului persoanelor vizate, pentru argumentele detaliate la Secțiunea 1.1, operatorii vor putea invoca celelalte două temeiuri legale pentru transferul unor astfel de date personale cu funcție de identificare de aplicabilitate generală, și anume: existența unei prevederi legale sau, respectiv, emiterea unui aviz de către ANSPDCP.

În ceea ce privește obținerea unui aviz din partea ANSPDCP, aceasta ridică două categorii de dificultăți. Pe de o parte, procedura de solicitare și emitere a avizului de către ANSPDCP poate îngreuna și complica în mod nedorit finalizarea unei tranzacții de transfer de portofolii, în cazul în care autoritatea întârzie neprevăzut emiterea avizului sau dacă pune condiții dificile pentru emiterea lui, cum ar fi implementarea anumitor garanții pentru protecția drepturilor și intereselor fundamentale ale persoanelor vizate care s-ar dovedi a fi excesiv de oneroase pentru operatorii implicați. Totodată, solicitarea unui aviz din partea ANSPDCP poate periclita caracterul confidențial al unei tranzacții, anterior încheierii ei.

Pe de altă parte, avizul ANSPDCP poate să constituie un temei legitim de prelucrare a datelor personale doar în ceea ce privește datele cu caracter personal având o funcție de identificare de aplicabilitate generală, cum este CNP. În schimb, prin transferurile de portofolii pot fi transferate o categorie mai largă de date personale, care nu se limitează strict la cele având o funcție de identificare de aplicabilitate generală și pentru care este necesară, fie obținerea consimțământului persoanelor vizate, fie incidența unui alt temei legal de prelucrare prevăzut la art. 6 (1) din Regulament, printre care nu este inclus și avizul ANSPDCP.

În aceste condiții, operatorii au la dispoziție recursul la cel de-al treilea temei legal prevăzut de lege și Decizia ANSPDCP nr. 132/2011 pentru transferul datelor cu caracter personal având o funcție de identificare de aplicabilitate generală, și anume prevederea prelucrării într-o dispoziție legală. Acest temei are avantajul de a putea fi invocat indiferent de natura datelor personale transmise, fie ele cu funcție de identificare de aplicabilitate generală sau de altă natură, și prin urmare poate reprezenta o soluție de ultim recurs aplicabilă tuturor datelor personale transferate de operatorii care realizează transferuri de portofolii, așa cum analizăm în Secțiunea 1.3.

1.3 Invocarea existenței unei obligații legale pentru transferul datelor personale

Conform art. 6 (1) lit. (c) din Regulament, printre temeiurile legale în baza cărora se pot prelucra datele personale se regăsește și cel conform căruia, prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului.

Acest temei legitim este recunoscut de lege și ANSPDCP inclusiv în cazul prelucrării CNP sau a altor date cu caracter personal având o funcție de identificare de aplicabilitate generală, fiind prin urmare susceptibil să constituie o bază a legitimității prelucrării datelor personale în ansamblul lor transmise în cadrul unui transfer de portofoliu.

Din experiența noastră, legislația primară aplicabilă în diverse domenii conține rareori prevederi care să oblige operatorii datelor personale să transfere datele personale către terțe părți în cadrul unor tranzacții între entități juridice de drept privat. Un astfel de caz îl constituie Legea nr. 67/2006 privind protecția drepturilor salariaților în cazul transferului întreprinderii, care prevede că drepturile și obligațiile cedentului, care decurg din contractele individuale de muncă și din contractul colectiv de muncă aplicabil, existente la data transferului, sunt transferate integral cesionarului. În acest caz, se poate considera că prelucrarea datelor personale ale salariaților este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului și prin urmare este legitimă, inclusiv pentru transferul datelor personale având funcție de identificare de aplicabilitate generală.

Chiar dacă prevederile din legislația primară care obligă operatorii să transfere date personale sunt mai rar întâlnite, aceasta nu ar trebui să reprezinte un impediment pentru inserarea unor astfel de dispoziții în legislație pe viitor. În acest scop, asociațiile și organizațiile profesionale din diverse sectoare de activitate, precum și ANSPDCP, au posibilitatea de a interveni în spațiul public și a evidenția utilitatea unor astfel de obligații legale pentru facilitarea prelucrării datelor personale, asigurarea unui flux normal al datelor și evitarea birocratizarea excesivă a anumitor procese economice.

Cu atât mai mult sunt recomandabile propunerile privind includerea unor astfel de obligații sau prevederi legale în legislația secundară, în contextul în care asociațiile și organizațiile profesionale, precum și ANSPDCP, sunt deseori invitate să participe la grupuri de lucru sau să comunice observații și puncte de vedere cu privire la elaborarea unor acte normative având ca scop implementarea legislației primare. În lumina celor de mai sus subliniem faptul că Regulamentul nu condiționează existența obligației legale de prevederea acesteia în legislația primară. Conform punctului (41) din Preambulul Regulamentului, trimiterile la un temei juridic sau la o măsură legislativă nu necesită neapărat un act legislativ adoptat de către un parlament, prevedere care confirmă implicit că astfel de obligații legale pot fi incluse și în acte normative cu forță juridică inferioară legilor și ordonanțelor.

Astfel, este recomandabil, ca atât ANSPDCP, cât și asociațiile profesionale din diferite ramuri de activitate (de ex. servicii financiare, energie, asigurări, asociații ale patronatelor și sindicatelor etc.) să acorde o atenție sporită în lunile și anii următori procedurii de elaborare a legislației secundare din diverse domenii de activitate (ordine, norme, regulamente etc.) și să ia parte la etapele dezbaterilor publice parcurse în procedura de elaborare a acestora, inclusiv prin propuneri de includere a unor articole care să autorizeze transferul datelor personale în anumite situații particulare.

Pentru a sublinia utilitatea unor astfel de prevederi în legislație, enumerăm în cele ce urmează, cu titlu exemplificativ, câteva cazuri concrete în care legislația secundară conține dispoziții sau obligații legale aplicabile operatorilor de date personale, pe care aceștia le pot invoca ca temei legal al prelucrării datelor în contextul unor operațiuni prin care sunt transferate portofolii sau produc efecte similare transferurilor de portofolii din perspectiva Regulamentului.

– Regulamentul de furnizare a energiei electrice la clienții finali[14] prevede obligația operatorilor de rețea de a realiza și administra centralizat o bază de date cu informații referitoare la locurile de consum racordate la rețeaua electrică din zona de licență proprie, care includ, printre altele: datele de identificare ale locului de consum și ale clientului final, atât ale proprietarului, cât și, dacă este cazul, ale utilizatorului: chiriaș, concesionar etc.; istoricul de consum stabilit conform Codului de măsurare, cel puțin pe ultimele 12 luni calendaristice; profilul de consum aplicabil, dacă este cazul.

Totodată, operatorul de rețea este obligat să asigure accesul clienților finali și furnizorilor acestora la informațiile din baza de date realizată de acesta mai sus conform normelor procedurale aprobate de Autoritatea Națională de Reglementare în domeniul Energiei.

– Procedura privind schimbarea furnizorului de energie electrică de către clientul final[15] prevede obligația noului furnizor de a comunica operatorului de rețea datele necesare încheierii contractului de rețea, inclusiv: denumirea clientului final; adresa locului / locurilor de consum; codul unic de identificare a punctului / punctelor de măsurare înscris / înscrise pe factura de energie electrică etc.

– Regulamentul de selecție concurențială în vederea desemnării furnizorilor de ultimă instanță (FUI)[16] precizează că transferul de date cu caracter personal se face în condițiile prevăzute de legislația privind protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date.

În mod evident, o prevedere generică de tipul celei de mai sus nu va fi de mare ajutor FUI implicați în transferul datelor cu caracter personal ale clienților, deoarece aceasta nu instituie vreo obligație legală în sarcina furnizorului care transferă datele, ci se limitează la a face o referire la legislația aplicabilă în domeniul datelor personale.

În completarea prevederii de mai sus, vine însă o altă dispoziție din acest regulament, care obligă vechiul FUI obligat de a transmite către noul FUI obligat și spre știința operatorului de rețea și ANRE lista locurilor de consum aferente clienților transferați din portofoliu, inclusiv: denumirea clientului final, adresa locului de consum, datele de contact, codul de identificare a locului de consum, codul de identificare a punctului de măsurare, consumul mediu lunar.

În plus, conform regulamentului sus-menționat, FUI opționali au obligația de a transmite FUI obligat și spre știința operatorului de rețea și ANRE lista locurilor de consum aferente clienților transferați din portofoliu.

Există așadar în Regulamentul de selecție concurențială în vederea desemnării FUI dispoziții care pot fi considerate ca reprezentând o obligație legală în sarcina furnizorilor de a transmite unele date cu caracter personal.

Totodată, având în vedere adoptarea recentă a acestui regulament, se impune, credem noi, pentru coerența legislativă și asigurarea fluxului liber de date între furnizori, amendarea Condițiilor generale pentru furnizarea energiei electrice la clienții finali ai furnizorilor de ultimă instanță[17], în special a prevederii care obligă FUI notifice în prealabil clientul și să obțină acordul acestuia anterior utilizării datelor personale ale clientului în scop de marketing sau anterior cedării acestora către terți. O astfel de prevedere ar trebui să conțină anumite situații de excepție de la obligația obținerii acordului prealabil al clientului, cum ar fi de exemplu și cazul transferului clienților între FUI.

– Legislația secundară în domeniul tichetelor de masă[18] conține unele obligații legale în sarcina operatorilor de date personale și a împuterniciților acestora, obligații care permit transferul datelor personale între angajatori și emitenții tichetelor de masă, precum și între acesta și entitățile procesatoare ale tichetelor de masă.

Astfel, conform normelor de aplicare a legii, contractul pentru achiziționarea tichetelor de masă, încheiat între angajator și unitățile emitente, trebuie să prevadă, printre altele și obligația angajatorilor de a colecta de la salariații lor și de a transfera către unitățile emitente toate datele personale și informațiile referitoare la salariați care sunt necesare pentru emiterea, utilizarea, procesarea și decontarea tranzacțiilor cu tichete de masă.

Totodată, normele acordă entităților procesatoare sau organizațiilor specializate utilizate de emitenți pentru a realiza tranzacțiile cu tichete de masă dreptul să primească și să utilizeze anumite date personale, inclusiv codul numeric personal al salariaților. În mod corelativ, normele obligă unitățile emitente să furnizeze aceste informații la solicitarea entităților procesatoare sau a organizațiilor specializate sus-menționate în scopul îndeplinirii obligațiilor contractuale care rezultă din contractele specifice sectorului de tichete de masă.

În lipsa prevederilor legale sus menționate, prelucrarea și transferul datelor personale ale salariaților către unitățile emitente de tichete de masă și mai departe, către entitățile procesatoare sau organizațiile specializate ar risca să fie serios îngreunată, în special în cazul transferurilor realizate către state terțe care nu oferă un nivel de protecție adecvat, sau în cazul transferului CNP al salariaților, pentru care   s-ar impune obținerea consimțământului acestora în lipsa obligațiilor legale existente.

Concluzii

Am încercat să arătăm în cele de mai sus că aplicarea Regulamentului nu va schimba în mod fundamental condițiile de legalitate privind prelucrarea datelor personale în cadrul transferurilor de portofolii sau al unor operațiuni cu efecte similare acestora din perspectiva datelor personale.

Operatorii vor avea posibilitatea și în noul cadru legislativ ca, atunci când obținerea consimțământului persoanei vizate este deosebit de oneroasă sau imposibil de obținut în mod practic, să invoce temeiul interesului legitim, al operatorului sau al unei terțe părți sau, respectiv, existența unor obligații legale în sarcina acestora.

În condițiile consolidării regimului de protecție a datelor personale, Regulamentul introduce sancțiuni mult mai severe față de cele din prezent în cazul încălcării obligațiilor de prelucrare a datelor personale. Pentru a evita incertitudinea și riscurile inerente care rezultă din aceasta în cazul invocării interesului legitim pentru prelucrarea datelor personale, este recomandabil, ca atât operatorii de date personale, cât și ANSPDCP, să-și aloce timp și resurse pentru a participa în mod eficace la redactarea și actualizarea codurilor de conduită în domeniul datelor personale, în scopul precizării circumstanțelor în care se prezumă că operatorii sau terțele părți au interese legitime pentru prelucrarea datelor personale.

De asemenea, o implicare a asociațiilor și organizațiilor profesionale din diverse sectoare economice, cât și a ANSPDCP în etapele dezbaterii publice, prin furnizarea de observații și propuneri cu privire la proiectele de acte normative din domeniul legislației secundare, pot avea un rol important în includerea unor obligații legale specifice în actele de reglementare, care să servească pe viitor ca temei legal al prelucrării datelor personale, inclusiv în cazul transferurilor de portofolii.


[1] Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor).
[2] Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date.
[3] Pentru mai multe detalii, vezi Comunicarea Comisiei către Parlamentul European și Consiliu COM (2018) 43. Final din 24.01.2018 – Protecție sporită, noi oportunități – Orientările Comisiei privind aplicarea directă a Regulamentului general privind protecția datelor de la 25 mai 2018.
[4] Articolul de față nu își propune să analizeze condițiile specifice aplicabile transferurilor de date către state terțe, reglementat la Cap. 5 din Regulament.
[5] Potrivit studiului Deloitte Deleveraging Europe 2015-2016, disponibil la https://www2.deloitte.com/content/dam/Deloitte/at/Documents/ finance/deleveraging-europe-2015-2016.pdf
[6] Pentru detalii, vezi http://www.zf.ro/bănci-și-asigurări/deloitte-2018-putem-vedea-vânzări-npl-uri-valoare-nominală-1-1-5-mld-euro-anul-trecut-prețul-portofoliilor-npl-uri-crescut-semn-puține-portofolii-piața-e-vorba-pachete-ușor-bune-16958431.
[7] Pentru detalii vezi studiul Deloitte Deleveraging Europe 2015-2016 sus-menționat, precum și articolul Transferul portofoliilor de credite neperformante – maximizezi interesele financiare sau protejezi datele clienților?, disponibil la: http://www.avocatura.com/stire/ 7328/transferul-portofoliilor-de-credite-neperformante-maximizezi-interesele-financia.html.
[8] Vezi pag. 11 din Proiectul de Orientări cu privire la Consimțământ, WP 259, adoptat la 28 noiembrie 2017, aflat în prezente în dezbatere publică și disponibil la http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083.
[9] Pentru detalii, vezi Avizul nr. 06/2014 al Grupului de lucru art. 29 privind noțiunea de interese legitime ale operatorului de date prevăzută la articolului 7 din Directiva 95/46/CE.
[10] Vezi art. 111 (1) din Ordonanța de Urgenta a Guvernului nr. 99/2006 privind instituțiile de credit și adecvarea capitalului, cu modificările ulterioare.
[11] Vezi art. 9 (1) din Legea nr. 93/2009 privind instituțiile financiare nebancare, cu modificările ulterioare.
[12] Vezi art. 113 (2) (b) din OUG nr. 99/2006, respectiv, art. 13 (b) din Legea nr. 93/2009.
[13] Versiunea în limba engleză a pct. 50, ultima teză din Preambulul Regulamentului: “However, such transmission in the legitimate interest of the controller or further processing of personal data should be prohibited if the processing is not compatible with a legal, professional or other binding obligation of secrecy.
[14] Vezi art. 105 și art. 106 din Regulamentului de furnizare a energiei electrice la clienții finali, aprobat prin Ordinul ANRE nr. 64/2014.
[15] Vezi art. 8 (1) din Procedura privind schimbarea furnizorului de energie electrică de către clientul final, aprobată prin Ordinul ANRE nr. 105/2014.
[16] Vezi art. 58 si art. 28 (2), (3) si art. 35 (3) din Regulamentul de selecție concurențială în vederea desemnării furnizorilor de ultimă instanță și pentru modificarea unor reglementări din sectorul energiei electrice aprobat prin Ordinul ANRE nr. 26/2018.
[17] Vezi pct. pct. 6.4 (22) din Condițiile generale pentru furnizarea energiei electrice la clienții finali ai furnizorilor de ultimă instanță, aprobate prin Ordinul ANRE nr. 88 din 10 iunie 2015.
[18] Vezi art. 3 (1) și art. 26 (1) și (2) din Normele de aplicare a Legii nr. 142/1998 privind acordarea tichetelor de masă, aprobate prin Hotărârea Guvernului nr. 23/2015.


Avocat Iulian Iosif, Managing Partner – PRO LEGAL | Iosif și Asociații SCA
Avocat asociat Vlad CordeaPRO LEGAL | Iosif & Asociații SCA

Citeşte mai mult despre , , , , , , ! Pentru condiţiile de publicare pe JURIDICE.ro detalii aici.
Urmăriţi JURIDICE.ro şi pe LinkedIn LinkedIn JURIDICE.ro WhatsApp WhatsApp Channel JURIDICE Threads Threads JURIDICE Google News Google News JURIDICE

(P) JURIDICE.ro foloseşte şi recomandă SmartBill.

 
Homepage J JURIDICE   Cariere   Evenimente   Dezbateri   Profesionişti   Lawyers Week   Video
 
Energie
Fiscalitate
Fuziuni & Achiziţii
Gambling
Health & Pharma
Infrastructură
Insolvenţă
Malpraxis medical
Media & publicitate
Mediere
Piaţa de capital
Procedură civilă
Procedură penală
Proprietate intelectuală
Protecţia animalelor
Protecţia consumatorilor
Protecţia mediului
Sustenabilitate
Recuperare creanţe
Sustenabilitate
Telecom
Transporturi
Drept maritim
Parteneri ⁞ 
Specialişti
Materii / Arii de practică
Business ⁞ 
Litigation ⁞ 
Protective
Achiziţii publice
Afaceri transfrontaliere
Arbitraj
Asigurări
Banking
Concurenţă
Construcţii
Contencios administrativ
Contravenţii
Corporate
Cyberlaw
Cybersecurity
Data protection
Drept civil
Drept comercial
Drept constituţional
Drept penal
Dreptul penal al afacerilor
Dreptul familiei
Dreptul muncii
Dreptul securităţii sociale
Dreptul Uniunii Europene
Dreptul sportului
Drepturile omului
Articole
Essentials
Interviuri
Opinii
Revista de note şi studii juridice ISSN
Note de studiu
Studii
Autori ⁞ 
Publicare articole
Jurisprudenţă
Curtea Europeană a Drepturilor Omului
Curtea de Justiţie a Uniunii Europene
Curtea Constituţională a României
Înalta Curte de Casaţie şi Justiţie
Dezlegarea unor chestiuni de drept
Recurs în interesul legii
Jurisprudenţă curentă ÎCCJ
Curţi de apel
Tribunale
Judecătorii
Legislaţie
Proiecte legislative
Monitorul Oficial al României
Jurnalul Oficial al Uniunii Europene
Flux noutăţi
Selected
Top Legal
Avocaţi
Consilieri juridici
Executori
Notari
Sistemul judiciar
Studenţi
RSS ⁞ 
Publicare comunicate
Proiecte speciale
Cărţi
Condoleanţe
Covid-19 Legal React
Creepy cases
Life
Poezii
Povestim cărţi
Poveşti juridice
Războiul din Ucraina
Revista revistelor juridice
Wisdom stories

J   Servicii   Membership   Comunicare   Documentare   Legal Talent Search   Partnership   Servicii tehnice