A fost publicata in Monitorul Oficial, Partea I nr. 891 din 27/12/2007
In temeiul prevederilor ARTICOLUL 3 alin. (5) si (6) din Legea nr. 102/2005 privind infiintarea, organizarea si functionarea Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal, cu modificarile si completarile ulterioare, si ale ARTICOLUL 6 alin. (2) lit. b) din Regulamentul de organizare si functionare a Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal, aprobat prin Hotararea Biroului Permanent al Senatului nr. 16/2005,
avand in vedere prevederile ARTICOLUL 5, 12 si 17 din Legea nr. 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date, cu modificarile si completarile ulterioare, in aplicarea dispozitiilor ARTICOLUL 8 si 10 din Legea nr. 677/2001, cu modificarile si completarile ulterioare,
luand in considerare riscurile pentru viata intima, familiala si privata a persoanelor fizice, prezentate de prelucrarea datelor cu caracter personal prin mijloace automatizate, de natura a evalua aspecte precum credibilitatea sau solvabilitatea, tinand seama ca operatiunile realizate asupra datelor cu caracter personal incluse in sistemele de evidenta de tipul birourilor de credit constituie prelucrare de date cu caracter personal supusa prevederilor Legii nr. 677/2001, cu modificarile si completarile ulterioare, care este susceptibila de a prezenta riscuri speciale pentru dreptul la viata intima, familiala si privata,
luand in considerare necesitatea asigurarii unei protectii eficiente a drepturilor persoanelor ale caror date cu caracter personal sunt supuse prelucrarii in cadrul sistemelor de evidenta de tipul birourilor de credit, datorita naturii datelor prelucrate si scopului prelucrarii acestor date, pentru evitarea producerii unor abuzuri in activitatea de inscriere a datelor personale in sistemele de evidenta de tipul birourilor de credit, care pot produce efecte asupra unui numar considerabil de cetateni,
avand in vedere interesul legitim al institutiilor financiare si de credit de a adopta politici si proceduri eficiente de cunoastere a clientelei si de prevenire a utilizarii sistemului financiar-bancar pentru desfasurarea unor activitati contrare legii,
vazand Referatul de aprobare nr. 5.332 din 13 octombrie 2006 privind propunerea emiterii unei decizii cu privire la prelucrarile de date cu caracter personal efectuate in sisteme de evidenta de tipul birourilor de credit,
presedintele Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal emite prezenta decizie.
ARTICOLUL 1.
Datele cu caracter personal pot fi prelucrate in cadrul unor sisteme de evidenta de tipul birourilor de credit, in scopul evaluarii solvabilitatii, al reducerii riscului la creditare si al determinarii gradului de indatorare a debitorilor persoane fizice, cu respectarea prevederilor legale din domeniul protectiei datelor personale, a reglementarilor din domeniul financiar-bancar, precum si a dispozitiilor prezentei decizii.
ARTICOLUL 2.
In intelesul prezentei decizii, urmatorii termeni se definesc astfel:
a) sisteme de evidenta de tipul birourilor de credit - orice baza de date organizata in sistem centralizat si gestionata de o entitate de drept privat, care cuprinde datele cu caracter personal comunicate in legatura cu activitatile desfasurate de institutiile financiare si de credit, autorizate potrivit legii, in scopul evaluarii solvabilitatii, al reducerii riscului la creditare si al determinarii gradului de indatorare a debitorilor persoane fizice; aceste baze de date pot fi consultate numai de catre entitatile participante la sistem;
b) birou de credit - entitatea de drept privat care gestioneaza sistemul de evidenta definit la lit. a); biroul de credit are calitatea de operator de date cu caracter personal in sensul Legii nr. 677/2001, cu modificarile si completarile ulterioare;
c) participant - orice entitate de drept privat care transmite catre un sistem de evidenta de tipul birourilor de credite datele cu caracter personal colectate in legatura cu solicitarea/acordarea unui credit, in baza unui contract incheiat cu biroul de credit, si care consulta pe baza de reciprocitate datele transmise de catre ceilalti participanti; participantii au calitatea de operator de date cu caracter personal in sensul Legii nr. 677/2001, cu modificarile si completarile ulterioare. Pot fi participanti la sistemele de evidenta de tipul birourilor de credit numai institutiile financiare si de credit definite potrivit Ordonantei de urgenta a Guvernului nr. 99/2006 privind institutiile de credit si adecvarea capitalului, aprobata cu modificari si completari prin Legea nr. 227/2007, si potrivit Ordonantei Guvernului nr. 28/2006 privind reglementarea unor masuri financiar-fiscale, aprobata cu modificari si completari prin Legea nr. 266/2006, precum si societati de asigurari pentru produsele de tip credit;
d) date negative - informatiile referitoare la intarzierile la plata a obligatiilor decurgand din relatiile de creditare a persoanelor fizice;
e) date pozitive - informatiile referitoare la creditele acordate debitorilor persoane fizice, de natura a contribui la evaluarea gradului de indatorare si a bonitatii acestora;
f) date referitoare la inadvertente - informatiile neconcordante, rezultate din documentele prezentate la data solicitarii creditului, din culpa solicitantului;
g) date referitoare la fraudulenti - informatiile privind savarsirea de infractiuni sau contraventii in domeniul financiar-bancar, in relatia directa cu un participant, constatate prin hotarari judecatoresti definitive sau irevocabile, dupa caz, ori prin acte administrative necontestate;
h) date sensibile - datele cu caracter personal reglementate de ARTICOLUL 7 din Legea nr. 677/2001, cu modificarile si completarile ulterioare.
ARTICOLUL 3.
(1) Prelucrarile efectuate in sisteme de evidenta de tipul birourilor de credit pot avea ca obiect numai datele cu caracter personal care sunt relevante si neexcesive in raport cu scopurile mentionate la ARTICOLUL 1 si numai in legatura cu activitatea de creditare.
(2) Prelucrarile de date cu caracter personal efectuate in sisteme de evidenta de tipul birourilor de credit nu se pot efectua asupra datelor sensibile si a datelor reglementate de ARTICOLUL 10 din Legea nr. 677/2001, cu modificarile si completarile ulterioare, cu exceptia datelor privind fraudulentii, in intelesul prezentei decizii.
(3) Datele cu caracter personal care pot fi prelucrate in cadrul unor sisteme de evidenta de tipul birourilor de credit sunt urmatoarele:
a) date de identificare a persoanei fizice: numele, prenumele, initiala tatalui/mamei, adresa de domiciliu/resedinta, numarul de telefon fix/mobil, codul numeric personal;
b) date negative: tipul de produs, termenul de acordare, data acordarii, data scadentei, creditele acordate, sumele datorate, sumele restante, numarul de rate restante, data scadenta a restantei, numarul de zile de intarziere in rambursarea creditului, starea contului;
c) date pozitive: tipul de produs, termenul de acordare, data acordarii, data scadentei, sumele acordate, sumele datorate, starea contului, data inchiderii contului, valuta creditului, frecventa platilor, suma platita, rata lunara, denumirea si adresa angajatorului;
d) date referitoare la fraudulenti: fapta comisa, numarul si data hotararii judecatoresti/actului administrativ, denumirea emitentului;
e) date referitoare la inadvertente.
(4) Persoanele fizice ale caror date cu caracter personal pot fi prelucrate in sisteme de evidenta de tipul birourilor de credit sunt imprumutatii, codebitorii si girantii.
ARTICOLUL 4.
(1) Birourile de credit colecteaza date cu caracter personal exclusiv de la participanti.
(2) Participantii au obligatia de a transmite date exacte si corecte catre sistemele de evidenta de tipul birourilor de credit.
(3) Birourile de credit sunt obligate sa efectueze demersuri in vederea remedierii deficientelor constatate in legatura cu caracterul inexact sau incomplet al informatiilor.
(4) Datele inregistrate in sisteme de evidenta de tipul birourilor de credit pot fi actualizate, modificate, completate sau sterse fie direct de catre participantul care a transmis datele, fie de catre biroul de credit, la cererea sau in acord cu participantul.
(5) Operatiunile prevazute la alin. (4) pot avea loc inclusiv ca urmare a exercitarii de catre persoana vizata a drepturilor prevazute de Legea nr. 677/2001, cu modificarile si completarile ulterioare, in baza unei solicitari a Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal sau in temeiul unei hotarari judecatoresti.
(6) Este interzis accesul sau furnizarea datelor inregistrate in sisteme de evidenta de tipul birourilor de credit catre terti, cu exceptia autoritatilor si institutiilor publice, in cazurile si cu respectarea conditiilor prevazute de lege.
ARTICOLUL 5.
(1) Datele negative se transmit catre sistemele de evidenta de tipul birourilor de credit dupa 30 de zile de la data scadentei.
(2) Datele pozitive se transmit dupa data incheierii contractului dintre participant si persoana fizica.
(3) Datele referitoare la inadvertente se transmit dupa stabilirea culpei solicitantului care a furnizat informatii neconcordante, de catre compartimentele competente ale participantilor, cu respectarea dispozitiilor ARTICOLUL 8 alin. (4) din prezenta decizie.
(4) Datele referitoare la fraudulenti se transmit dupa luarea la cunostinta despre ramanerea definitiva sau, dupa caz, irevocabila a hotararii judecatoresti ori dupa data la care a devenit executoriu un act administrativ necontestat, prin care s-a stabilit vinovatia persoanei fizice aflate in relatie cu un participant, cu respectarea dispozitiilor ARTICOLUL 8 alin. (4) din prezenta decizie.
ARTICOLUL 6.
(1) Datele cu caracter personal ale solicitantilor de credit care au renuntat la cererea de credit sau a caror cerere a fost respinsa sunt stocate in sistemele de evidenta de tipul birourilor de credit si dezvaluite participantilor pentru cel mult 6 luni de la data transmiterii datelor catre biroul de credit.
(2) Datele negative sunt stocate in sistemele de evidenta de tipul birourilor de credit si dezvaluite participantilor pentru perioada necesara realizarii scopurilor prevazute la ARTICOLUL 1, dar nu mai mult de 4 ani de la data achitarii ultimei rate restante sau de la data ultimei actualizari transmise, in cazul neachitarii restantelor pana la data respectiva.
(3) Datele pozitive sunt stocate in sistemele de evidenta de tipul birourilor de credit si dezvaluite participantilor pentru perioada necesara realizarii scopurilor prevazute la ARTICOLUL 1, dar nu mai mult de 4 ani de la data ultimei actualizari transmise.
(4) Datele referitoare la inadvertente si datele referitoare la fraudulenti sunt stocate in sistemele de evidenta de tipul birourilor de credit si dezvaluite participantilor pentru perioada necesara realizarii scopurilor prevazute la ARTICOLUL 1, dar nu mai mult de 4 ani de la data transmiterii in aceste sisteme.
ARTICOLUL 7.
La expirarea termenelor prevazute la ARTICOLUL 6, datele cu caracter personal se sterg din sistemele de evidenta de tipul birourilor de credit sau sunt transformate, dupa caz, in date anonime si prelucrate in scopuri statistice.
ARTICOLUL 8.
(1) Datele cu caracter personal ale solicitantilor de credit se transmit catre sistemele de
evidenta de tipul birourilor de credit numai cu acordul scris al persoanei vizate, obtinut de participanti la data depunerii cererii de credit.
(2) Datele negative, inclusiv cele rezultate din aplicarea comisioanelor sau din majorari ale ratei dobanzilor, se transmit catre sistemele de evidenta de tipul birourilor de credit numai dupa instiintarea prealabila, realizata de catre participanti in scris, telefonic, prin SMS sau e-mail, a persoanei vizate cu privire la intarzierea la plata si transmiterea datelor, realizata cu cel putin 15 zile calendaristice inainte de data transmiterii.
(3) Datele pozitive se transmit catre sistemele de evidenta de tipul birourilor de credit numai dupa instiintarea prealabila, in scris, a persoanei vizate, realizata de catre participanti la data incheierii contractului.
(4) Datele referitoare la inadvertente si la fraudulenti se transmit catre sistemele de evidenta de tipul birourilor de credit numai dupa instiintarea prealabila a persoanei vizate, in scris, telefonic, prin SMS sau e-mail, realizata de catre participanti, inainte de data transmiterii.
ARTICOLUL 9.
(1) Participantii sunt obligati sa furnizeze persoanei vizate la data instiintarii prealabile prevazute la ARTICOLUL 8, in mod clar si exact, informatiile prevazute la ARTICOLUL 12 alin. (1) din Legea nr. 677/2001,
cu modificarile si completarile ulterioare, inclusiv cele cu privire la:
a) datele cu caracter personal transmise;
b) identitatea biroului sau birourilor de credit catre care sunt transmise datele;
c) categoriile de participanti la birourile de credit catre care sunt transmise datele;
d) perioada sau perioadele de stocare a datelor in cadrul sistemelor de evidenta de tipul birourilor de credit;
e) modalitatile concrete de exercitare a dreptului de acces, de interventie si de opozitie, in relatia cu participantul si cu biroul/birourile de credit.
(2) Participantii si birourile de credit sunt obligati sa ia masuri corespunzatoare pentru a asigura respectarea drepturilor de acces, de interventie si de a nu fi supus unei decizii automate individuale, prevazute la ARTICOLUL 13, 14 si 17 din Legea nr. 677/2001, cu modificarile si completarile ulterioare.
(3) Pentru motive intemeiate si legitime, legate de situatii particulare justificate, persoanele fizice se pot opune ca datele lor cu caracter personal sa fie transmise sau prelucrate ulterior in sistemele de evidenta de tipul birourilor de credit.
ARTICOLUL 10.
Participantii si birourile de credit sunt obligati sa adopte masurile de securitate tehnice si organizatorice necesare pentru protejarea datelor cu caracter personal in conditiile ARTICOLUL 19 si 20 din Legea nr. 677/2001, cu modificarile si completarile ulterioare. Pot avea acces la datele cu caracter personal stocate in sistemele de evidenta de tipul birourilor de credit numai persoanele autorizate.
ARTICOLUL 11.
Prevederile prezentei decizii nu se aplica prelucrarilor de date efectuate de operatorii de date cu caracter personal din alte domenii de activitate, avand ca scop tinerea evidentei rau-platnicilor si evaluarea solvabilitatii propriilor clienti persoane fizice, cu respectarea prevederilor legale din domeniul protectiei datelor personale.
ARTICOLUL 12.
Incalcarea dispozitiilor prezentei decizii poate atrage raspunderea contraventionala, potrivit Legii nr. 677/2001, cu modificarile si completarile ulterioare.
ARTICOLUL 13.
Prezenta decizie intra in vigoare in termen de 60 de zile de la data publicarii in Monitorul
Oficial al Romaniei, Partea I.
Presedintele Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal,
Georgeta Basarabescu
Bucuresti, 15 decembrie 2007.