Secţiuni » Articole
Articole autoriRNSJESSENTIALSStudiiOpiniiInterviuriPovestim cărţi
Opinii
PLATINUM+ PLATINUM Signature     

PLATINUM ACADEMIC
GOLD                       

VIDEO STANDARD
BASIC





Abordare asupra noțiunii de „infrastructuri critice”. Elemente esențiale pentru menținerea funcțiilor vitale ale societății, cu precădere impactul asupra structurilor financiar bancare din România
02.03.2020 | Ecaterina VRINCEANU

JURIDICE - In Law We Trust
Ecaterina Vrinceanu

Ecaterina Vrinceanu

Globalizarea societatii a adus cu sine o serie de noi concepte de vulnerabilitate ce influenteaza decisiv aspecte legate de securitatea nationala, siguranta oamenilor si informatiilor, a institutiilor nationale si internationale. In conditiile cresterii interdependentelor, securitatea cetatenilor, comunitatilor sociale, natiunilor si statelor este in stransa legatura cu o serie de sisteme de infrastructuri care asigura serviciile esentiale tuturor domeniilor vietii sociale. Functionarea lor in mod continuu este, astfel, o chestiune vitala pentru buna functionare a societatii.

O infrastructura sau o componenta este considerata critica in functie de pozitia strategica in sistemul general si, in special, in functie de interdependentele prin care este legata de alte componente sau infrastructuri. Directiva 2008/114/CE a Consiliului Europei, privind identificarea si desemnarea infrastructurilor critice europene si evaluarea necesitatii de imbunatatire a protectiei acestora, adoptata la 8 decembrie 2008, da urmatoarea definitie in art. 2, alin. a: „Infrastructurile critice se refera la acele obiective, retele, servicii, activitati fizice si mijloace informatice care sunt atat de vitale pentru natiuni, incat scoaterea lor din functiune sau distrugerea lor poate avea un impact serios asupra sanatatii, sigurantei, securitatii sau bunastarii economice a cetatenilor, sau asupra functionarii efective a actului de guvernare din statele membre”.

Amenintarea terorista, diversitatea si numarul mare al dezastrelor naturale, precum si accidentele tehnologice sunt surse care determina acordarea unei atentii deosebite protectiei infrastructurilor critice. Complexitatea si interdependenta acestor infrastructuri impun masuri de protectie atat la nivel international, cat si national. Preocuparile organismelor nationale, internationale, regionale si non-guvernamentale sunt concentrate in jurul dezvoltarii unor proceduri si metodologii pentru identificarea si protejarea infrastructurilor critice. Sistemele de infrastructuri critice pentru care se stabilesc masuri speciale de protectie, in cadrul UE sunt:
– Instalatiile si retelele de distributie din domeniul energetic (in special instalatiile de producere a electricitatii, de petrol si de gaze, instalatiile de stocaj si rafinariile, sistemele de transport si de distributie);
– Tehnologiile de comunicatii si informatii (telecomunicatiile, sistemele de radiodifuziune, programele, materialul informatic si retelele, inclusiv Internetul etc.);
– Institutiile care asigura sectorul financiar-bancar si pietele de valori si investitii;
– Platformele si institutiile sistemului de sanatate (spitale, instalatii de ingrijire a bolnavilor si bancile de sange, laboratoare si produse farmaceutice, servicii de urgenta, de cautare si de salvare);
– Mijloacele de productie si distributie pentru sectorul alimentar;
– Aprovizionarea cu apa (rezerve, stocaj, tratament si retele de distributie);
– Transportul feroviar, rutier, aerian, pe apa si instalatiile aferente utilizate (aeroporturi, porturi, instalatii intermodale, cai ferate, retele de tranzit de masa, sisteme de control trafic);
– Productia, stocajul si transportul produselor periculoase (materiale chimice, biologice, radiologice si nucleare);
– Administratia (armata, jandarmeria si politia, servicii de baza, instalatii, retele de informatii, active, locuri importante, monumente nationale).

Schimbarile generate de tranzitia la un alt sistem social, adaptarea la mecanismele economiei de piata, aderarea Romaniei la structurile NATO si UE, au adus in prim plan necesitatea de a acorda o atentie sporita vulnerabilitatilor care apar ca urmare a transformarilor survenite in aceste procese, de-a lungul timpului. Astfel, in timp ce strategia de securitate nationala a Romaniei din 2001 se marginea sa defineasca termenul de’’vulnerabilitate’’ fara a oferi detalii continutului, Hotararea C.S.A.T. nr. 62/2006 privind Strategia de Securitate Nationala a Romaniei face o enumerare a acestora, mentionand si pericolele care pot fi generate de existenta unei infrastructuri slab dezvoltate si insuficient protejate. Specialistii in domeniu arata reale preocupari pentru acest domeniu si se incerca aprofundarea si definirea cat mai detaliata a elementelor implicate, relativ la conditiile specifice existente in tara noastra. In plan national, acest proiect s-a materializat prin adoptarea OUG 98/2010 privind identificarea, desemnarea si protectia infrastructurilor critice, ordonanta ce a fost modificata prin propunerea de Lege pentru modificarea si completarea Ordonantei de urgenta a Guvernului nr. 98/2010. In context national, infrastructura critica este definita in art. 3 lit. a ca fiind ’’infrastructura critica nationala, denumita in continuare ICN – un element, un sistem sau o componenta a acestuia, aflat pe teritoriul national, care este esential pentru mentinerea functiilor vitale ale societatii, a sanatatii, sigurantei, securitatii, bunastarii sociale ori economice a persoanelor si a carui perturbare sau distrugere ar avea un impact semnificativ la nivel national ca urmare a incapacitatii de a mentine respectivele functii’’. Campul de aplicabilitate national al notiunii analizate este stabilit in Legea de modificare la art. 2 alin. (1)’’ Dispozitiile prezentei ordonante de urgenta se aplica tuturor persoanelor juridice de drept public sau privat care desfasoara activitati si furnizeaza servicii esentiale de interes national in sectoarele si subsectoarele prevazute in anexa nr. 1.”

La nivelul intern al unei infrastructuri critice exista obligatii si drepturi- cat si la nivel extern- raportat la relatiile avute cu alte structuri particulare sau de stat, astfel ca, prin modificarea art. 4 din OUG 98/2010, alin.(1) ‚’’Coordonarea, la nivel national, a activitatilor privind identificarea, desemnarea si protectia ICN/ICE se realizeaza de catre prim-ministru, prin consilierul desemnat. In vederea indeplinirii responsabilitatilor stabilite prin prezenta ordonanta de urgenta, prim-ministrul emite decizii’’. Directiva Consiliului nr. 2008/114/EC indentifica ca parti principale ale cadrului organizatoric necesar planul de securitate al operatorului si ofiterul de legatura pentru securitate. Planul de securitate al operatorului include identificarea principalelor active, evaluarea riscurilor, precum si selectia si prioritizarea masurilor si procedurilor care trebuie instituite in toate infrastructurile critice, iar ofiterul de legatura pentru securitate are rolul de a imbunatati comunicarea si cooperarea cu autoritatile statului cu atributii in protectia infrastructurilor critice.

In cazul unor situatii de criza ce ameninta direct infrastructurile critice, ceea ce pentru operatorul privat reprezinta business continuity, pentru autoritatile statului este o situatie de responsabilitate sociala.

Responsabilitatea pentru organizarea si desfasurarea activitatilor necesare implementarii legislatiei specifice revine Ministerului Afacerilor Interne, prin Centrul National de Coordonare a Protectiei Infrastructurilor Critice, potrivit art. 4 alin.2 din Lege.

Controlul si coordonarea activitatilor privind identificarea, desemnarea si protectia infrastructurilor critice se aplica Serviciului Roman de Informatii, Serviciului de Informatii Externe si Serviciului de Telecomunicatii Speciale, numai in masura in care acestea nu contravin statutelor si legilor proprii de organizare si functionare, ori altor acte normative care le reglementeaza activitatea.

Autoritatile publice responsabile si proprietarii/operatorii/administratorii de ICN/ICE au accesul asigurat de catre M.A.I prin CNCPIC- ‚’’la informatii cu privire la cele mai bune practici si metode disponibile, faciliteaza participarea la actiunile coordonate de catre Comisia Europeana in materie de formare si de schimb de informatii privind noi evolutii tehnice in materie de PIC si organizeaza cooperarea intre autoritatile publice responsabile la nivel national, precum si colaborarea acestora si a proprietarilor/operatorilor/administratorilor de ICN/ICE cu institutiile similare din statele membre ale Uniunii Europene, cu Comisia Europeana, NATO si alte organizatii si organisme internationale cu activitati/atributii in domeniu’’, conform art. 6 alin. (1) din Lege.

Aspecte relevante din alte legislatii referitor la infrastructurile critice raportate la sectorul financiar-bancar.

Referitor la sectorul financiar bancar din Romania, la art. 22, la anexa nr. 1, pct. 1.1, se modifica, si anume: 1.1. Lista sectoarelor ICN, pozitia 11 din tabel, va fi ocupata de sectorul financiar bancar, 11.3 Banci.’’ Exemple ale infrastructurilor critice ale sistemului financiar: sedii ale bancilor; suporti de informatie; calculatoare; sisteme de protectie si de siguranta; retele de transport interbancar al banilor si de bancomate; depozite.

DIRECTIVA (UE) 2016/1148 A PARLAMENTULUI EUROPEAN SI A CONSILIULUI din 6 iulie 2016 privind masuri pentru un nivel comun ridicat de securitate a retelelor si a sistemelor informatice in Uniune.

Securitatea cibernetica in sistemul bancar. Tranzactiile noastre sunt in siguranta?

Economia digitala a fost impulsionata de sistemul bancar prin introducerea de noi modalitati de plata, care pana acum nu existau (POS, mobile banking, internet banking), ce au oferit solutii rapide si la indemana consumatorilor. Exista proiecte pentru o strategie digitala la nivel european astfel incat sa permita tuturor cetatenilor UE accesul la servicii la distanta (asigurari, plati). Cerintele clientilor sunt mereu in transformare, ei cerand servicii oricand si de oriunde, rapiditate, transparenta, comoditate, securitate si costuri reduse.

La nivelul sistemului bancar s-au facut investitii semnficative in sistemele de plati. In prezent, se lucreaza la o strategie in domeniul securitatii cibernetice a UE pentru „un spatiu cibernetic deschis, sigur si securizat„.

La nivelul Uniunii Europene s-a implementat Directiva privind securitatea retelelor si a sistemelor informatice (NIS), prin care se doreste atingerea unui nivel comun de securitate a retelelor si a sistemelor de informatii.

Reglementarea si supravegherea in sectoarele infrastructurilor bancare si ale pietelor financiare sunt armonizate in mare masura la nivelul Uniunii prin utilizarea legislatiei primare si a celei secundare ale Uniunii si a standardelor elaborate impreuna cu autoritatile europene de supraveghere.

O reglementare importanta ce se adreseaza strict domeniului bancar este Directiva revizuita privind serviciile de plati (UE) 2015/2366. O noutate a acestei directive face referire la accesul la sistemul de plati si a entitatilor din afara sistemului bancar. Comparativ cu directiva anterioara, ea priveste si platile in alta valuta altele decat cele ale tarilor Uniunii Europene, astfel ca se pot face plati atat din UE catre alte tari din afara Uniunii, dar si din alte tari catre UE.

In cadrul uniunii bancare, aplicarea si supravegherea acestor cerinte sunt asigurate de mecanismul unic de supraveghere. Pentru statele membre care nu fac parte din uniunea bancara, acestea sunt asigurate de autoritatile de reglementare relevante din domeniul bancar ale statelor membre. In alte domenii ale reglementarii sectorului financiar, sistemul european al supraveghetorilor financiari asigura si el un grad inalt de asemanare si convergenta in practicile de supraveghere. De asemenea, Autoritatea Europeana pentru Valori Mobiliare si Piete are un rol direct de supraveghere pentru anumite entitati, mai precis pentru agentii de rating de credit si registre centrale de tranzactii.

Banca Centrala Europeana (BCE) este prima banca care a lansat primul sistem de alertare in timp real pentru atacuri cibernetice semnificative care pot genera pierderi financiare. Sistemul SWIFT (Society for Worldwide Interbank Financial Telecommunication), la care sunt conectate peste 10.000 de entitati, banci si corporatii din toata lumea, a initiat un program care se numeste Customer Security Programme (CSP) pentru evaluarea gradului de securitate al intregului sistem al entitatii conectate la SWIFT. Utilizarea serviciilor acordate prin sistemul SWIFT presupune un transfer de date personale de pe teritoriul unui stat membru al Uniunii Europene (Romania) catre centrele operationale ale SWIFT din S.U.A. sau din Belgia. S.U.A. nu asigura acelasi nivel de protectie adecvat precum Statele Membre Uniunii Europene, insa prezinta garantiile necesare (Safe Harbor).

Centrul operational SWIFT din S.U.A. (centrul principal – detinatorul unei baze de date centralizate) se supune legislatiei americane, iar autoritatile din S.U.A. au dreptul de a solicita acces la datele personale stocate in centrul operational SWIFT, in scop specific si limitat, respectiv numai pentru prevenirea spalarii banilor si luptei impotriva finantarii actiunilor teroriste (date preluate din declaratiile oficiale ale Asociatiei Romane pentru Asigurarea Securitatii Informatiei). Datele continute in mesajele SWIFT aferente platilor valutare sunt numele (persoanei fizice sau juridice), adresa completa si numarul de cont atat pentru ordonator cat si pentru beneficiar. Conform reglementarilor din Romania, bancile au obligatia de a pastra mesajele aferente platilor valutare 3 ani de la data ordonarii.

Dupa cum a remarcat Banca Centrala Europeana in Avizul sau din 25 iulie 2014 (1), prezenta directiva nu afecteaza regimul de supraveghere, in temeiul dreptului Uniunii, de catre Eurosistem, a sistemelor de plata si de decontare. Ar fi adecvat ca autoritatile responsabile pentru aceasta supraveghere sa faca schimb de experienta in aspecte legate de securitatea retelelor si a sistemelor informatice cu autoritatile competente in temeiul prezentei directive. Aceeasi consideratie se aplica si membrilor Sistemului European al Bancilor Centrale care nu fac parte din zona euro, care exercita aceasta supraveghere a sistemelor de plata si de decontare pe baza actelor legislative si de reglementare nationale.

La nivelul comunitatii bancare din Romania, Asociatia Romana a Bancilor (ARB) a lansat si o platforma de educatie financiara, prin care consumatorii se pot documenta si pot afla cum sa previna cele mai intalnite atacuri cibernetice (Skimming, Fhising, etc.). Potrivit surselor Asociatiei Romane pentru Asigurarea Securitatii Informatiei, ’’institutiile bancare au luptat impotriva amenintarilor de tip malware avand drept tinta activitatile de online banking. Conform Symantec Internet Security Threat Report 2014, industria serviciilor financiare se situeaza pe locul cinci in clasamentul primelor 10 cele mai tintite industrii. Cum pot bancile sa intareasca securitatea online? Institutiile bancare trebuie sa actioneze proactiv si sa implementeza masuri ample de Securitate prin care sa se protejeze de atacuri informatice sofisticate’’.

Indiferent ca vorbim de aplicabilitatea in domenii punctuale sau de cresterea transparentei, simplificarea procedurilor birocratice si apropierea administratiei de cetateni, sub conceptul specific al e-guvernarii, au fost stabilite prioritare actiuni si masuri avute in vedere, atat in cadrul Agendei Europa Digitala 2020, cat si, in plan national, in cadrul Strategiei Nationale privind Agenda Digitala pentru Romania 2020. Obiectivul consta in accelerarea adoptarii tehnologiilor digitale (digitalizarea) economiei europene, respectiv romanesti. Platforma ARB pentru Agenda Digitala are la baza mai multe proiecte in derulare la nivelul comunitatii bancare din Romania, care privesc nivelul relatiilor inter-bancare si nivelul infrastructurilor de plati, astfel:
– Adoptarea standardelor SEPA pentru platile in lei – SEPA RON;
– Administrarea Schemelor Nationale de Plati la nivelul comunitatii bancare;
– Platforma electronica pentru publicarea si administrarea standardelor MyStandards;
– Transpunerea si aplicarea prevederilor noilor reglementari europene: Regulamentul Interchange Fee (MIF), Directiva revizuita a Serviciilor de Plati (PSD2), Regulamentul SEPA (260/2012), Directiva privind conturile bancare (92/2014), Directiva NIS privind securitatea sistemelor si retelelor, Recomandarile BCE/Cerintele EBA privind securitatea platilor prin Internet, etc.;
– Cooperarea la nivelul sistemului bancar pentru intarirea masurilor de securitate cibernetica;
– Dezvoltarea unui sistem pentru procesarea electronica a popririlor;
– Adoptarea unei Scheme de plati Instant si dezvoltarea unui sistem de plati Instant in lei.

Riscul operational reprezinta o parte esentiala a reglementarii si supravegherii prudentiale in sectoarele infrastructurilor bancare si ale pietei financiare. Acesta acopera toate operatiunile, inclusiv securitatea, integritatea si rezilienta retelelor si a sistemelor informatice.

Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal, in calitate de autoritate publica centrala autonoma cu competenta generala in domeniul protectiei datelor personale, reprezinta garantul respectarii drepturilor fundamentale la viata privata si la protectia datelor personale, statuate cu precadere de art. 7 si 8 din Carta Drepturilor Fundamentale a Uniunii Europene, de art. 16 din Tratatul privind Functionarea Uniunii Europene si de art. 8 din Conventia europeana pentru apararea drepturilor omului si libertatilor fundamentale.

Anul 2016, la nivel european, marcheaza un moment cheie in evolutia reglementarilor europene privind protectia datelor personale prin adoptarea de catre Parlamentul European si Consiliu, a Regulamentului privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si libera circulatie a acestor date (Regulamentul General privind Protectia Datelor – GDPR), de directa aplicabilitate in toate statele membre ale Uniunii Europene incepand cu data de 25 mai 2018, alaturi de adoptarea si a Directivei privind protectia datelor prelucrate in scopul prevenirii, detectarii, investigarii si punerii sub urmarire a infractiunilor si a altor activitati judiciare.

Regulamentul General privind Protectia Datelor (General Data Protection Regulation ) isi produce efectele incepand cu data de 25 mai 2018 in Romania – din acest moment, sistemele informatice ale companiilor ce stocheaza date personale vor trebui sa permita un control foarte bun al identitatii utilizatorilor si al accesului la acestea, urmand principiul ‘Privacy by Design.

Documentul impune tuturor institutiilor si organizatiilor sa desemneze un responsabil cu Protectia Datelor cu Caracter Personal (DPO – Data Protection Officer – Ofiter Protectia Datelor) daca sunt intrunite anumite conditii.

Regulile stabilite de noul regulament sunt aplicabile tuturor operatorilor de date, indiferent de locul unde sunt stabiliti acestia, in masura in care serviciile acestora presupun prelucrarea datelor personale ale cetatenilor Uniunii Europene. In acelasi timp, prevederile vin in sprijinul operatorilor de date si imputernicitilor acestora, stabilind un set unic de reguli aplicabile pe teritoriul intregii Uniuni Europene. Astfel, sunt reduse in mod semnificativ si procedurile administrative pe care operatorii de date trebuie sa le urmeze, fiind oferita posibilitatea de a avea un ‘interlocutor’ unic la nivel european.

La nivel de sanctiuni, companiile care vor incalca GDPR ce a fost implementat si in Romania incepand din mai 2018, vor plati amenzi de 10 milioane de euro sau 2% din cifra de afaceri globala pentru incalcari privind protectia datelor, respectiv de 20 de milioane de euro sau 4% din cifra de afaceri globala pentru incalcari ale principiilor de baza privind prelucrarea datelor. Bresele in securitatea datelor cu caracter personal, inclusiv scurgerile de date, trebuie raportate in 72 de ore catre autoritatile responsabile cu protectia datelor.

– De ce in mediul banking din Romania se preiau datele personale si ce temei juridic sta la baza? Se preiau pentru executarea unui contract sau pentru rezilierea demersurilor precontractuale, cum ar fi emiterea unei oferte, procesarea unei solicitari de finantare sau a unei cereri de deschidere de cont, finantarea autovehiculelor in cadrul unor contracte de leasing sau de credit, prestarea de servicii de asigurare, furnizarea de produse de mobilitate, deschiderea si administrarea de conturi curente, de depozit sau de garantii, furnizarea de servicii de banca la distanta (de ex. internet banking sau de mobile banking), procesarea de servicii de incasari si plati. In acest caz, prelucrarea are la baza executarea contractului la care clientul este parte si /sau demersurile necesare in vederea incheierii contractului respectiv, la cererea clientului.

– Catre ce categorii de destinatari sunt transmise datele personale ale clientilor bancilor din Romania? Destinatarii sunt furnizorii de servicii ai bancii (sucursale, agentii bancare), care actioneaza in calitate de persoane imputernicite de operator-si strict in baza instructiunilor documentate primite de la banca. Lista cu furnizorii bancii se actualizeaza periodic, ori de cate ori intervin modificari in componenta sa. Daca este cazul, datele clientului pot fi transmise si catre urmatorii destinatari/ categorii de destinatari, pentru indeplinirea obligatiilor bancare legale, pentru realizarea intereselor legitime privind recuperarea creantelor sau exercitarea si apararea drepturilor si intereselor bancii, sau daca banca are consimtamantul clientului, dupa cum urmeaza:

i. Biroul de Credit S.A.De ce: Transmitere, prelucrare si consultare a informatiilor la Biroul de Credit, in vederea indeplinirii obligatiei legale a bancii de evaluare a capacitatii clientului de rambursare a creditului. In acelasi scop, datele cu caracter personal inregistrate in Sistemul Biroului de Credit sunt dezvaluite si catre celelalte companii care au calitatea de Participanti, la cerere.

ii. Ministerul Finantelor Publice, Agentia Nationala de Administrare Fiscala (ANAF)– De ce: Consultare si prelucrare informatii existente in evidentele ANAF, in baza consimtamantului clientului.

iii. Centrala Riscului de Credit – CRC (Banca Nationala A Romaniei)De ce: Pentru a primi orice informatii de risc bancar inregistrate pe numele clientului si in baza consimtamantului acestuia.

iv. Centrala Incidentelor de Plati – CIP (Banca Nationala A Romaniei)– De ce: Pentru a primi orice informatii de risc bancar inregistrate pe numele clientului in baza consimtamantului acestuia.

v. Beneficiarii platilor clientului, bancile beneficiarilor, Transfond, SWIFT De ce: Pentru executarea instructiunilor de plata si pentru indeplinirea obligatiilor legale privind compensarea automata a platilor comerciale interbancare.

vi. Banca Nationala a Romaniei, Oficiul National de Prevenire si Combatere a Spalarii Banilor– De ce: Pentru indeplinirea obligatiilor legale de raportare, de prevenire si combatere a spalarii banilor etc.

vii. Arhiva Electronica de Garantii Reale Mobiliare – De ce: In vederea inregistrarii drepturilor si intereselor bancii legale privind garantiile constituite in favoarea sa.

viii. Societati de asigurare– De ce: Pentru emiterea politelor de asigurare.

ix. Grup bancar, in Romania si UE – De ce: Obligatii de raportare, audit intern si/ sau pentru aprobarea unor facilitati de finantare.

x. Executori judecatoresti, instante judecatoresti, politie, parchet, etc – De ce: In caz de nevoie pentru apararea si exercitarea oricaror drepturi si interese legale.

– Pe ce perioada banca stocheaza datele cu caracter personal?

Datele clientului bancii se pastreaza doar pe durata si in masura in care este necesar pentru realizarea scopurilor mentionate mai sus sau daca exista o obligatie legala in acest sens. Pentru prelucrarile de date care necesita consimtamantul clientului, datele vor fi prelucrate si pastrate pana la data retragerii consimtamantului. In cazul in care clientul a depus o cerere de finantare pentru incheierea unui contract de leasing sau o cerere de credit, dar din diverse motive contractul solicitat nu s-a incheiat, datele vor fi sterse din bazele de date dupa o perioada de 30 de zile de la data inregistrarii rezolutiei finale privind cererea respectiva.

Daca banca a incheiat un contract cu clientul (de leasing, de credit, de asigurare, de cont curent si/ sau produse atasate etc.), atunci banca respecta obligatiile legale de pastrare a datelor si documentatiei relevante, dupa cum urmeaza:

i. pentru indeplinirea obligatiilor legale de documentare si de pastrare conform legislatiei pentru prevenirea si combaterea spalarii banilor si finantarii terorismului, banca pastreaza datele pentru o perioada de 5 (cinci) ani de la incetarea relatiilor contractuale.

ii. datele personale ale clientilor bancii care se regasesc in orice documente justificative care stau la baza inregistrarilor in contabilitatea financiara se pastreaza in arhivele grupului bancar timp de 10 ani de la data inchiderii exercitiului financiar in care au fost intocmite documentele justificative, conform prevederilor Legii Contabilitatii nr.82/1991 actualizata la 1 ianuarie 2018.

iii. in cazul politelor de asigurare si a dosarelor de dauna, datele sunt pastrate impreuna cu evidentele tehnice si evidentele contabile aferente, timp de 10 ani de la data de la data expirarii politei, respectiv finalizarii dosarului de dauna, conform obligatiilor legale de arhivare ale asiguratorilor.

iv. in cadrul apararii si exercitarii drepturilor si intereselor legale ale bancii, datele necesare realizarii acestui scop vor fi pastrate conform termenelor generale de prescriptie.

In cazul datelor prelucrate in Sistemul Biroului de Credit, datele personale sunt stocate si dezvaluite participantilor timp de 4 ani de la data actualizarii, cu exceptia situatiei in care participantul a renuntat la cererea de credit sau nu i s-a acordat creditul, caz in care datele personale sunt stocate si dezvaluite participantilor pentru o perioada de 6 luni.

– Drepturile clientilor bancii

i. Dreptul la informare: dreptul de a primi informatii privind operatiunile de prelucrare efectuate de catre banca asupra datelor personale. Respectarea acestui drept se realizeaza prin informare catre client;

ii. Dreptul de acces: dreptul de a obtine din partea bancii o confirmare daca se prelucreaza sau nu date cu caracter personal care privesc clientul si, in caz afirmativ, acces la datele respective si la furnizarea de informatii specifice privind prelucrarea lor;

iii. Dreptul la rectificare: dreptul de a obtine din partea bancii, fara intarzieri nejustificate, rectificarea datelor inexacte care il privesc sau completarea datelor cu caracter personal care sunt incomplete;

iv. Dreptul la stergerea datelor: dreptul de a obtine, fara intarzieri nejustificate, stergerea datelor cu caracter personal care il privesc pe client, in masura in care sunt indeplinite urmatoarele conditii prevazute de GDPR: (i) datele cu caracter personal nu mai sunt necesare pentru indeplinirea scopurilor pentru care au fost colectate sau prelucrate de catre banca; (ii)clientul isi retrage consimtamantul acordat pentru prelucrarile de date bazate pe consimtamant; (iii) clientul se opune prelucrarilor de date personale efectuate de banca. Clientul se poate opune doar prelucrarilor care au ca temei legal realizarea intereselor bancare legitime, pentru care banca nu are interese si motive legitime care sa prevaleze in ceea ce priveste prelucrarea; (iv) datele au fost prelucrate ilegal de catre banca; (v) datele trebuie sterse pentru respectarea unei obligatii legale care ii revine bancii;

v. Dreptul la restrictionarea prelucrarilor: dreptul de a obtine restrictionarea prelucrarilor ulterioare in oricare din urmatoarele situatii prevazute de GDPR: (i) clientul contesta exactitatea datelor pe care banca le preia. Prelucrarea va fi restrictionata pentru o perioada care ii va permite bancii sa verifice exactitatea datelor contestate; (ii) Prelucrarea datelor de catre banca este ilegala, iar clientul nu doreste stergerea datelor, ci doar solicitata restrictionarea utilizarii lor de catre banca; (iii) banca nu mai are nevoie de date, dar clientul le solicita pentru constatarea, exercitarea sau apararea unui drept in instanta; (iv) clientul se opune prelucrarii. In aceasta situatie, prelucrarea va fi restrictionata pentru intervalul de timp in care se verifica daca drepturile bancii legitime prevaleaza asupra drepturilor clientului. In cazul in care clientul a obtinut restrictionarea prelucrarii, acesta va fi informat ulterior de catre banca inainte de ridicarea restrictiei de prelucrare.

vi. Dreptul la portabilitatea datelor: dreptul de a primi datele cu caracter personal care il privesc si pe care le-a furnizat direct bancii, intr-un format structurat, utilizat in mod curent si care poate fi citit automat, precum si de a transmite aceste date altui operator, cand mijloacele tehnice permit acest lucru. Clientul poate exercita acest drept doar atunci cand prelucrarea se bazeaza pe consimtamantul lui sau cand prelucrarea se efectueaza prin mijloace automate.

vii. Dreptul la opozitie: dreptul de a va opune, din motive legate de situatia particulara in care se afla, prelucrarii efectuate de catre banca avand ca temei juridic realizarea intereselor bancare legitime.

In cazul in care clientul se va opune unor astfel de prelucrari, banca nu va mai prelucra datele cu caracter personal, cu exceptia cazului in care va putea demonstra ca are motive legitime si imperioase care justifica prelucrarea si care prevaleaza asupra intereselor, drepturilor si libertatilor clientului sau ca scopul este constatarea, exercitarea sau apararea unui drept al bancii in instanta.

viii. Dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automata, inclusiv creearea de profiluri (orice prelucrare automata care utilizeaza datele personale pentru a evalua anumite aspecte personale ale clientului, cum ar fi comportamentul de plata, situatia financiara, comportamentul in trafic etc.), care produce efecte juridice care il privesc sau care ii afecteaza in mod similar intr-o masura semnificativa.

In privinta exercitarii drepturilor de mai sus in relatia cu Biroul de Credit, clientul isi poate exercita aceste drepturi astfel: (i) dreptul de acces la date, printr-o solicitare scrisa, semnata, transmisa prin posta la Biroul de Credit, sau prin accesarea in mod securizat a site-ului Biroului de Credit (www.birouldecredit.ro), sau prin contactarea directa a Participantului bancii (in calitate de creditor sau potential creditor), prin modalitatile mentionate mai sus. De asemenea, clientul are dreptul de a obtine, la cerere, la momentul comunicarii deciziei de creditare, a unei copii a Raportului de Credit emis de Biroul de Credit, care a fost utilizat de catre banca in analiza cererii de finantare; (ii) dreptul de rectificare a datelor, dreptul de stergere a datelor, dreptul la restrictionarea datelor, dreptul de a se opune prelucrarii pot fi exercitate prin accesarea in mod securizat a site-ului Biroului de Credit (www.birouldecredit.ro), sau prin contactarea directa a Participantului bancar(in calitate de creditor sau potential creditor), prin modalitatile mentionate mai sus.

De asemenea, clientul are dreptul de a depune o plangere la Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal. Nu in ultimul rand, pentru orice intrebari privind informatiile cuprinse in prezenta Informare, clientul se poate adresa Responsabilului cu Protectia Datelor desemnat de banca, la adresa de e-mail.

Cateva corelari intre securitatea infrastructurilor critice din sistemul de operare banking si corespondentul lor in Codul Penal (Ncp).

Cybercrime (criminalitatea informatica) cuprinde infractiunile comise prin intermediul sistemelor informatice (infractiunile informatice propriu-zise), iar in sens larg include, pe langa infractiunile informatice propriu-zise [art. 249 C. pen. (frauda informatica), art. 360-365 C. pen. (accesul ilegal la un sistem informatic, interceptarea ilegala a unei transmisii informatice, alterarea integritatii datelor informatice, perturbarea functionarii unui sistem informatic, trasferul neutorizat de date informatice si operatiunile ilegale cu dispozitive sau programe informatice), art. 325 C. pen. (falsul informatic) si art. 374 alin. (2) C. pen. (pornografia infantila prin sisteme informatice)], si infractiunile prin mijloace de plata electronica [art. 250 (operatiuni financiare efectuate in mod fraudulos), art. 251 C. pen. (acceptarea operatiunilor financiare efectuate in mod fraudulos) art. 311 alin. (2) C. pen. (falsificarea unui instrument de plata electronica) si art. 313 C. pen. (punerea in circulatie a unui instrument de plata electronica]. In fapt, este posibil ca si alte infractiuni sa fie comise in asociere cu sistemele informatice sau cu mijloacele de plata electronica. Spre exemplu, infractiunea de inselaciune poate fi comisa prin intermediul postei electronice, a retelelor de socializare sau a altor facilitati oferite de sistemele informatice. De asemenea, infractiunea de evaziune fiscala si infractiunea de spalare de bani se pot comite prin intermediul unor sisteme informatice sau a unor instrumente de plata electronica.

Anterior intrarii in vigoare a Codului penal din 2014 (1 februarie 2014), infractiunile din domeniul informatic erau prevazute in doua acte normative, respectiv in Legea nr. 161/2003 (criminalitatea informatica propriu-zisa) si in Legea nr. 365/2002 (infractiunile privind instrumentele de plata electronica). Aceste acte normative au fost inspirate din Convetia privind criminalitatea informatica. In anul 2001, sub egida Consiliului Europei, a fost adoptata la Budapesta, Conventia privind criminalitatea informatica (Convention on Cybercrime). Aceasta a fost semnata atat de state europene, cat si de alte state precum SUA si Japonia. Obiectivul acestui tratat international a constat in stabilirea unor criterii pe care statele parti trebuiau sa le implementeze in cadrul juridic intern in vederea combaterii fenomenului criminalitatii informatice.


1. Ordonanta de urgenta nr. 98/2010 privind identificarea, desemnarea si protectia infrastructurilor critice.
2. Directiva 2008/114/CE/08-dec-2008 privind identificarea si desemnarea infrastructurilor critice europene si evaluarea necesitatii de imbunatatire a protectiei acestora.
3. Hotararea nr. 276 din 3 mai 2018 pentru modificarea si completarea Hotararii Guvernului nr. 1.198/2012 privind desemnarea infrastructurilor critice nationale.
4. Directiva UE 2106/1148 a Parlamentului European ai a Consiliului din 6 iulie 2016 privind masuri pentru un nivel comun ridicat de securitate a retelelor si a sistemelor informatice in Uniune.
5. Legea pentru modificarea si completarea Ordonantei de urgenta a Guvernului nr. 98/2010 privind identificarea, desemnarea si protectia infrastructurilor critice.
6. Directiva Europeana 2016/1148.
7. Directiva revizuita privind serviciile de plati (UE) 2015/2366.
8. Directiva privind securitatea retelelor si a sistemelor informatice (NIS).
9. Aviz din data de 25 iulie 2014 al Bancii Centrale Europene.
10. Charta Drepturilor fundamentale a Uniunii Europene.
11. Conventia Europeana pentru apararea drepturilor omului si libertatilor fundamentale.
12. Codul Penal 2014.
13. Legea nr. 161/2003 privind criminalitatea informatica/
14. Legea nr. 365/2002 a infractiunilor privind instrumentele de plata electronica.
15. Conventia privind criminalitatea informatica, Budapesta 2001, ratificata de Romania prin Legea nr. 64/2004.


Av. Ecaterina Vrinceanu
Baroul Bucuresti


Aflaţi mai mult despre , , , , , ,

Puteţi publica şi dumneavoastră pe JURIDICE.ro. Publicăm chiar şi opinii cu care nu suntem de acord. JURIDICE.ro este o platformă de exprimare. Publicarea nu semnifică asumarea de către noi a mesajului. Pentru a publica vă rugăm să citiţi Condiţiile de publicare, Politica privind protecţia datelor cu caracter personal şi să ne scrieţi la adresa redactie@juridice.ro!







JURIDICE utilizează şi recomandă SmartBill JURIDICE gratuit pentru studenţi

Securitatea electronică este importantă pentru avocaţi [Mesaj de conştientizare susţinut de FORTINET]




Lasă un răspuns

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

Important: Descurajăm publicarea de comentarii defăimatoare. Vor fi validate doar comentariile care respectă Politica JURIDICE.ro şi Condiţiile de publicare.