Pe 5 noiembrie 2018 Asociaţia Română a Băncilor a publicat noul său Cod de Conduită, care se referă şi la aspecte de protecţia datelor http://www.arb.ro/codul-de-conduita/.
Codul stabileşte confidenţialitatea datelor furnizate de clienţi şi obligaţia angajaţilor băncii să protejeze aceste date. Însă, formularea legată de dezvăluirea acestor date personale către entităţi din grupul băncii (secţiunea 2.5 din Cod) poate crea confuzii:
„În vederea oferirii unor servicii de cea mai înaltă calitate, aceste date vor fi accesibile doar angajaților, inclusiv ai societăților din grupul băncilor, sau persoanelor împuternicite de bancă sau entităților autorizate în acest sens prin lege, printr-o hotărâre judecătorească sau de către client”.
Conform GDPR, o astfel de dezvăluire de date personale către alte entităţi din grupul instituţiei de credit trebuie să se bazeze pe unul din temeiurile din art. 6 GDPR (ex. consimţământ, executarea contractului, obligaţie legală).
Presupunând că oferirea unor „servicii de cea mai înaltă calitate” ar fi un interes legitim, este necesară analiza proportionalităţii faţă de atingerea adusă drepturilor şi intereselor persoanelor, iar interesul pur economic nu trece acest test (a se vedea Hotărârea CJUE Google Spain, par. 97).
- În niciun caz dezvăluirea nu se poate face pur şi simplu pentru oferirea de alte servicii de către entităţi din grupul băncii.
Mai amintim că băncile, ca operatori de date personale, au obligaţia conform GDPR să informeze persoanele vizate despre destinatarii datelor personale. În cazul în care aceşti destinatari sunt alţi operatori (şi nu împuterniciţi ai băncii), dezvăluirea trebuie să includă chiar denumirea entităţilor respective, iar nu doar categorii.
În final, acest Cod de Conduită nu este unul aprobat în aplicarea art. 40 GDPR şi din acest motiv nu poate fi utilizat de bănci ca element prin care să se demonstreze îndeplinirea cerințelor de securitate a prelucrării datelor personale (art. 32(3) GDPR) sau pe care să se bazeze în realizarea unei evualări de impact asupra protecţiei datelor. (art. 35(8) GDPR).