ANSPDCP, autoritatea română de protecţia datelor, a publicat Decizia nr. 161/2018, prin care a aprobat procedura de efectuare a investigaţiilor. Textul integral al procedurii este disponibil aici.
Echipa PrivacyOne a analizat procedura şi vă prezintă principalele elemente de avut în vedere într-un Legal Alert dedicat integral acestei teme, diponibil online aici.
Prezentarea conţine:
Măsurile pe care le poate dispune ANSPDCP
Motivele pentru care pot fi declanşate investigaţii
Când, unde şi cum se desfăşoară investigaţiile
Drepturile şi obligaţiile pe care le are personalul ANSPDCP
Drepturile şi obligaţiile operatorilor de date
Modurile în care pot fi contestat e măsurile dispuse
Alte aspecte importante legate de Procedura de investigaţii
Pe 5 noiembrie 2018 Asociaţia Română a Băncilor a publicat noul său Cod de Conduită, care se referă şi la aspecte de protecţia datelor http://www.arb.ro/codul-de-conduita/.
Codul stabileşte confidenţialitatea datelor furnizate de clienţi şi obligaţia angajaţilor băncii să protejeze aceste date. Însă, formularea legată de dezvăluirea acestor date personale către entităţi din grupul băncii (secţiunea 2.5 din Cod) poate crea confuzii:
„În vederea oferirii unor servicii de cea mai înaltă calitate, aceste date vor fi accesibile doar angajaților, inclusiv ai societăților din grupul băncilor, sau persoanelor împuternicite de bancă sau entităților autorizate în acest sens prin lege, printr-o hotărâre judecătorească sau de către client”.
Conform GDPR, o astfel de dezvăluire de date personale către alte entităţi din grupul instituţiei de credit trebuie să se bazeze pe unul din temeiurile din art. 6 GDPR (ex. consimţământ, executarea contractului, obligaţie legală).
Presupunând că oferirea unor „servicii de cea mai înaltă calitate” ar fi un interes legitim, este necesară analiza proportionalităţii faţă de atingerea adusă drepturilor şi intereselor persoanelor, iar interesul pur economic nu trece acest test (a se vedea Hotărârea CJUE Google Spain, par. 97).
În final, acest Cod de Conduită nu este unul aprobat în aplicarea art. 40 GDPR şi din acest motiv nu poate fi utilizat de bănci ca element prin care să se demonstreze îndeplinirea cerințelor de securitate a prelucrării datelor personale (art. 32(3) GDPR) sau pe care să se bazeze în realizarea unei evualări de impact asupra protecţiei datelor. (art. 35(8) GDPR).