Protecțiadatelor

B(P)ig Brother: O provocare pentru fiecare român, european sau pirat!

European banking federation, o scrisoare

Procesarea datelor clienţilor în limitele legale este o prioritate pentru industria bancară europeană. Astfel, suntem încântaţi să includem mai jos amendamentele Federaţiei Bancare Europene (EBF)  aduse propunerii Comisiei Europene pentru Regulamentul privind protecţia indivizilor din perspectiva procesării datelor personale şi a liberei circulaţii a acestei date.

“Federaţia Bancară Europeană sprijină obiectivele revizuirii curente. Totuşi, propunerea Comisiei Europene are scopul de a clarifica nişte probleme largi şi complexe în cadrul cărora EBF a identificat preocupări ale băncilor europene în ce priveşte îndeplinirea obligaţiilor lor privind protecţia datelor.

Sperăm că amendamentele noastre vor fi luate în considerare în munca pe această piesă de legislaţie esenţială pentru industria bancară.

În timpul analizei propunerii Comisiei Europene, EBF s-a concentrat pe următoarele obiective, care considerăm că ar trebui atinse pentru ca rezultatul final să fie realizabil:

 

A. Notificări privind încălcarea securităţii datelor

· Introducerea unei obligaţii de a notifica scurgerile de date personale în 24 de ore pentru orice alte sectoare decât cele de telecomunicaţii pare exagerată Federaţiei Bancare Europene.

·În prezent, băncile îşi informează clienţii, de exemplu dacă un card personal a fost copiat (dacă informaţiile despre card şi codul PIN asociat au fost copiate pentru a fabrica un card fals). Este şi în interesul băncii să îşi protejeze clienţii împotriva fraudei şi să susţină un nivel foarte ridicat de securitate. Băncile pot fi trase la răspundere pentru daunele suferite de clienţii lor datorită deficienţelor în sistemele de securitate IT ale băncilor. Acestea testează şi actualizează sistemele şi soluţiile de securitate în mod constant pentru a se asigura că sistemul bancar este sigur şi bine protejat. Transferul de informaţie între computerul clientului şi sistemul bancar online este întotdeauna criptat. Clientul trebuie de asemenea să se asigure că computerul lui, codurile şi informaţiile personale sunt protejate pentru a preveni posibilităţile de fraudă. Pentru a evita scurgerile de date, EBF consideră că ar fi mai eficient să fie informaţi clienţii despre cum să îşi protejeze propriile computere, să nu dezvăluie detaliile conturilor lor bancare persoanelor necunoscute şi altele.

· Un sistem de notificări obligatorii în cazul scurgerilor de date ar putea duce la apariţia unor preocupări organizaţionale, din moment ce implementarea unui asemenea sistem de notificări ar putea încărca şi întârzia procesarea informaţiilor clienţilor.

· Ar trebui să fie acordată atenţie criteriilor care declanşează obligaţia de a notifica clienţii: cerinţele de notificare ar trebui să fie limitate la scurgeri serioase de date, care afectează mai mult decât un individ. Altfel, există riscul de a declanşa o avalanşă de notificări cu potenţialul de a induce în eroare şi de a alarma degeaba indivizii sau de a scădea sensibilitatea subiecţilor afectaţi (în caz că notificările sunt la ordinea zilei, ele sunt în mare parte ignorate de receptor, astfel încât notificările se devalorizează total).

· Ar trebui oferite scutiri de la cerinţele privind scurgerile de date acolo unde este folosită criptare sofisticată. Acest lucru va încuraja practica de a cripta datele personale, în principal înainte de transmiterea lor. Ar trebui să fie posibil, de asemenea, să se poată anula obligaţia de notificare dacă sunt luate măsuri de compensare adecvată a celor afectaţi, cum ar fi prin emiterea de carduri noi pentru a le înlocui pe cele ale căror detalii au fost compromise.

· Un cadru în cazul în care notificarea este făcută în timp cât mai oportun ar atinge scopul de a ne asigura că autorităţile de reglementare şi clienţii sunt informaţi fără a împovăra inutil autorităţile de reglementare sau a alarma victimele scurgerilor de date. În plus, în special pentru sectorul bancar, notificarea clienţilor de fiecare dată ar putea permite anumite tipuri de fraudă.

B. Consimţământ

· Consimţământul dat de clienţi în mod tacit ar trebui să fie permis. Cuvântul “explicit” ar trebui să fie şters, deoarece considerăm că anumite condiţii (cum ar fi definirea anumitor perioade de retragere) ar trebui să fie setate pentru a constitui un cadru pentru a permite utilizarea consimţământului tacit, din moment ce deja acesta este folosit în anumite jurisdicţii (de exemplu în Spania şi Austria).

· O situaţie tipică de consimţământ în cadrul industriei bancare este transferul de date către agenţiile de împrumut bancar. În cadrul Regulamentului, acest consimţământ nu poate fi considerat ca dat în mod liber, din moment ce aproape toate băncile le impun clienților să semneze acordul cu agențiile de credit. Totuşi, este în interesul pieţei financiare, a variatelor instituţii şi a clienţilor (prevenirea îndatorărilor excesive, insolvenţă) să existe un sistem informaţional de credite funcţional.

· Deseori clienţii sunt percepuţi a fi într-o situaţie de dezechilibru relativ la companiile care procesează date personale. Va fi dificil de stabilit ce poate însemna “dezechilibru semnificativ”.

C. Dreptul la portabilitatea datelor – Articolul 18

· Principiul portabilităţii pare a fi proiectat pentru noua societate şi industrie tehnologizată / informatizată. În consecinţă, EBF ar dori să se limiteze domeniul de aplicare al Articolului 18 la stocarea datelor în baze de date online. Extinderea unui asemenea drept sectorului financiar pare nepotrivită, considerând natura datelor păstrate în serverele băncilor, sensibilitatea acestora şi varietatea lor. În cazul în care domeniul de aplicare al acestui articol nu va fi limitat, ne îngrijorează faptul că dreptul la portabilitatea datelor va creşte riscul de divulgare a datelor cu caracter personal unor terţe părţi.

· EBF ar vrea de asemenea să accentueze faptul că exercitarea acestui drept ar putea să oblige organizaţiile să divulge informații cu privire la secrete comerciale sau informații cu privire la alți clienți. Sectorul bancar trebuie să se conformeze cu cerințele de păstrare a datelor care decurg din dreptul comercial și fiscal. Ar trebui luată în considerare obligaţia de a păstra statutul de secret bancar.

· Dacă luăm exemplul unui client cu un credit imobiliar, datele deţinute de bancă despre acest client, inclusiv solvabilitatea sa financiară de credit reprezintă în acelaşi timp proprietatea intelectuală a diverselor instituţii financiare, care este protejată şi de dreptul constituţional.

· Acest principiu poate duce la un dezechilibru total între reclamant și pârât în cazul unui litigiu civil, din moment ce subiectul datelor (clientul) poate fi în poziţia de a extrage toate datele din cadrul companiei afectate sau măcar de a extrage informaţii care ar trebui să fie furnizate în conformitate cu regulile de procedură civilă.

D. Crearea de profile – Articolul 20

· Crearea de profile este o procedură obişnuită utilizată în domeniul combaterii spălării banilor, pentru a identifica tranzacţii financiare neobişnuite care nu corespund în profilul financiar al clientului. Acest lucru este cerut de legile combaterii spălării banilor şi este şi în interesul diverselor instituţii financiare să nu fie utilizate în cadrul acţiunilor criminale. Este astfel bazat pe o balanţă de interese.

· Este important de subliniat că ar putea fi o supraîncărcare cu date pentru clienţi dacă aceste informaţii ar trebui oferite în avansul unui contract de cont curent, spre exemplu.

· În plus, cum nu toate cerinţele privind protecţia împotriva spălării banilor derivă din legea în sine, ci din circularele transmise de autorităţile de supraveghere. Considerăm că este imperativ să se rezolve relația dintre proiectul de regulament și directiva privind combaterea spălării banilor, implementările locale și circularele deduse.

E. Fraudă – în special articolele 6, 9, 20 şi Legalitatea procesării datelor – articolul 6 (1)

· EBF sugerează adăugarea cazurilor particulare de procesare legală a datelor. EBF consider că detectarea şi prevenirea fraudei în cadrul creditelor de consum este de importanţă majoră, nu doar pentru instituţiile financiare, ci şi pentru protejarea clienţilor de furturile de identitate. Astfel, prevenirea şi detectarea fraudeor ar trebui să fie considerate explicit un scop legitim al procesării datelor.

· Băncile au dreptul de a prelucra datele de fraudă în scopul prevenirii fraudelor și pentru a reduce la minimum riscurile legate de acordarea de credite. Procesarea acestui tip de date sensibile este momentan posibilă când autorităţile de protecţie ca datelor emit permisiuni  pe motivele referitoare la un interes public important. EBF se întreabă dacă restricţiile din cadrul articolului 9 al regulamentului propus vor permite în menţinerea în continuare a unor astfel de baze de date pe viitor.

· EBF consideră că articolul 6 (1) (c) ar trebui ar trebui să fie extins pentru a include ordine, şi recomandări ale organizațiilor competente, dar şi cerinţele autorităţilor de supraveghere. Într-o lume online şi o economie globală, standardele internaţionale ale organismelor de supraveghere ar trebui să fie recunoscute ca atare.

Vă mulţumim anticipat pentru atenţia acordată. În caz că aveți nevoie de informații suplimentare sau o explicație mai detaliată a observațiilor noastre, vom fi bucuroşi să vi le oferim, dar şi să ne întâlnim cu Dumneavoastră.”

Stiai ca...

...aproape 60% dintre suedezi ar prefera sa nu trebuiasca sa impartaseasca atat de multa informatie privata ca sa aiba acces la serviciile gratuite oferite pe internet. Conform Eurobarometrului atitudinilor cetatenilor europeni cu privire la confidentialitate din anul 2011 suedezii sunt mult mai vigilenti cu organizatiile externe si informatiile lor personale decat alte tari europene.

...una dintre cele mai semnificative derivari de la legile europene de protectie a datelor se numeste ''interes legitim'' - acesta permite colectarea si procesarea datelor fara ca persoanele in cauza sa isi fi dat consintamantul sau fara ca acestea sa fie constiente cu privire la folosinta datelor lor personale. In Irlanda, interesul legitim permite operatorilor de internet si detinatorilor de copyright sa  interzica consumatorilor providerului accesul la internet . Fara dreptate si fara control democratic!

...toti cetateni UE au dreptul sa stie ca datele lor sunt folosite inca din anul 1995? In realitate, pana si cercetatorii  au fost nevoiti sa afle pe cai secrete cum aceasta colectare de date are loc. Asta inseamna ca cunostintele noastre despre faptul ca suntem influentati in mod subtil de catre profilele de consumatori ce ni se aloca sunt foarte scazute in comparatie cu nivelul la care ar trebui sa fie, la care suntem indreptatiti.

Guvernul Romaniei a propus in noul proiect de lege de punere în aplicare a Codului de Procedură Penală trimis la Senat niste modificari ale procedurii de acces la datele de trafic stocate in conformitate cu noua lege Big Brother 82/2012Mai multe detalii pe site-ul ApTI:

Pe scurt, două noi importante propuneri: 1. această solicitare poate fi făcută doar cu autorizarea prealabilă a judecătorului de drepturi şi libertăţi. Diferenţa, faţă de actualele prevederi, constă în aceea că autorizarea judecătorului este acum necesară pentru toate organele de urmărire penală, şi nu doar pentru organele de cercetare ale poliţiei judiciare. 2. datele pot fi solicitate doar atunci când există o suspiciune rezonabilă cu privire la săvârşirea unei infracţiuni şi există temeiuri pentru a se crede că datele solicitate constituie probe. (Bogdan Manolea)