Obligația de informare în cazul datelor negative transmise Biroului de credit

Abstract

Abstract
According to art. 1 of Decision no. 105 from 15 December 2007 regarding the
processing of personal data performed in an evidence system of credit bureau type systems,
decision issued by the President of the Romanian National Supervisory Authority for
Personal Data Processing, personal data can be processed in credit bureau type filling
systems, for the purpose of evaluating the solvability, reducing the risk of crediting and
determining the level of debt, by respecting the legal provisions in the field of personal data
protection, the financial-banking rules, and also the said decision. For a better
understanding of this particular data processing and in particular the obligation to inform
the data subject on negative data transmission, we have chosen to present a recent judicial
decision which reversed the lower court’s ruling and decided, among others, that it is
necessary to inform the data subject before each reporting of the negative data to the Credit
Bureau, whether the negative data are accrued from the same arrears or result from a new
arrear.
Keywords: personal data, credit bureau, negative data, obligation to inform, National
Supervisory Authority for Personal Data Processing.

 

Reglementare

În principiu, orice prelucrare a datelor cu caracter personal trebuie să fie conformă cu principiile referitoare la calitatea datelor, enunțate la articolul 6 din Directiva 95/46/CE[1], și să respecte unul dintre criteriile privind legitimitatea prelucrării datelor, enumerate la articolul 7 din aceeași directivă. În plus, operatorul sau reprezentantul său are o obligație de informare, ale cărei condiții, prevăzute la articolele 10 și 11 din directivă, variază în funcție de aspectul dacă aceste date sunt sau nu sunt colectate de la persoana vizată, sub rezerva derogărilor admise în temeiul articolului 13 din această directivă[2].

Cum instituțiile financiare și de credit au interesul legitim de a adopta politici și proceduri eficiente de cunoaștere a clientelei, datele cu caracter personal ale debitorilor persoane fizice (împrumutați, codebitori, giranți) pot fi prelucrate în cadrul sistemelor de evidență de tipul birourilor de credit în scopul evaluării solvabilității, al reducerii riscului de creditare și al determinării gradului de îndatorare al acestora. Totuși, pentru a se evita producerea unor abuzuri în activitatea de înscriere a datelor personale în sistemele de evidență de tipul birourilor de credit, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a emis o decizie în acest sens[3].

Potrivit art. 2 lit. d) și art. 3 alin. (3) lit. b) din această decizie, datele negative reprezintă informațiile referitoare la întârzierile la plată a obligațiilor decurgând din relațiile de creditare a persoanelor fizice, datele cu caracter personal privind date negative ce pot fi prelucrate fiind: tipul de produs, termenul de acordare, data acordării, data scadenței, creditele acordate, sumele datorate, sumele restante, numărul de rate restante, data scadentă a restanței, numărul de zile de întârziere în rambursarea creditului, starea contului.

Transmiterea datelor negative, inclusiv cele rezultate din aplicarea comisioanelor sau din majorări ale ratei dobânzilor, către sistemele de evidență de tipul birourilor de credit poate avea loc numai după înștiințarea prealabilă a persoanei vizate realizată de către instituția financiară sau de credit. Spre deosebire de datele pozitive, respectiv informațiile referitoare la creditele acordate debitorilor persoane fizice, de natură a contribui la evaluarea gradului de îndatorare și a bonității acestora, situație în care înștiințarea este realizată la data încheierii contractului și numai în scris, în cazul datelor negative, potrivit art. 8 alin. (2) din Decizia ANSPDCP nr. 105/2007, înștiințarea se poate realiza atât în scris, cât și telefonic, prin SMS sau e-mail și cu cel puțin 15 zile calendaristice înainte de data transmiterii.

La data înștiințării, art. 9 alin. (1) din Decizia ANSPDCP nr. 105/2007 obligă instituțiile financiare și de credit să furnizeze persoanei vizate, în mod clar și exact, informațiile prevăzute la art. 12 alin. (1) din Legea nr. 677/2001[4], precum și cele prevăzute de art. 9 alin. (1) lit. a)-e) din Decizia ANSPDCP nr. 105/2007.

Astfel, potrivit art. 12 alin. (1) din Legea nr. 677/2001, în cazul în care datele cu caracter personal sunt obținute direct de la persoana vizată, operatorul este obligat să furnizeze persoanei vizate cel puțin următoarele informații, cu excepția cazului în care această persoană posedă deja informațiile respective: a) identitatea operatorului și a reprezentantului acestuia, dacă este cazul; b) scopul în care se face prelucrarea datelor; c) informații suplimentare, precum: destinatarii sau categoriile de destinatari ai datelor; dacă furnizarea tuturor datelor cerute este obligatorie și consecințele refuzului de a le furniza; existența drepturilor prevăzute de prezenta lege pentru persoana vizată, în special a dreptului de acces, de intervenție asupra datelor și de opoziție, precum și condițiile în care pot fi exercitate; d) orice alte informații a căror furnizare este impusă prin dispoziție a autorității de supraveghere, ținând seama de specificul prelucrării.

De asemenea, potrivit art. 9 alin. (1) din Decizia ANSPDCP nr. 105/2007, persoana vizată va fi informată inclusiv cu privire la: a) datele cu caracter personal transmise; b) identitatea biroului sau birourilor de credit către care sunt transmise datele; c) categoriile de participanți la birourile de credit către care sunt transmise datele; d) perioada sau perioadele de stocare a datelor în cadrul sistemelor de evidență de tipul birourilor de credit; e) modalitățile concrete de exercitare a dreptului de acces, de intervenție și de opoziție, în relația cu participantul (instituția financiară sau de credit) și cu biroul/birourile de credit.

Informarea debitorilor persoane fizice este necesară atât sub aspectul informațiilor ce trebuie în mod obligatoriu furnizate acestora, cât mai ales pentru ca aceștia să-și poată exercita ulterior în mod efectiv celelalte drepturi: dreptul de acces la date, dreptul de intervenție asupra datelor, precum și dreptul de opoziție. Astfel, în situația raportării unor date inexacte persoana vizată are atât posibilitatea de a se adresa cu plângere autorității de supraveghere, cât și dreptul de a se poate adresa justiției pentru apărarea drepturilor garantate de Legea nr. 677/2001 și care le-au fost încălcate.

Remarcăm că, spre deosebire de art. 12 alin. (1) din Legea nr. 677/2001, art. 9 alin. (1) din Decizia ANSPDCP nr. 105/2007 nu distinge după cum persoană vizată posedă sau nu deja informațiile respective, astfel că în cazul datelor negative obligația de informare prealabilă există în toate situațiile când instituțiile financiare și de credit urmează a proceda la transmiterea de date negative către Biroul de Credit. De asemenea, în privința obligației de informare trebuie să subliniem că această obligație nu depinde de vreo solicitare venită din partea persoanei vizate, ci trebuie respectată în mod proactiv de operator, indiferent dacă persoana vizată se arată interesată sau nu de acele informații[5].

Pentru a ilustra obligația de informare în cazul datelor negative transmise Biroului de Credit am ales a prezenta conținutul unei sentințe a Tribunalului București (fond) și al deciziei corelative a Curții de Apel București (apel).
Situația de fapt

În speță[6], o instituție financiară nebancară a încheiat cu un client un contract de card de credit, eliberându-i-se acestuia din urmă un card. În urma achiziționării de către client a unui produs cu plata în rate, acesta a acumulat sume restante pentru cardul de credit. La data de 13 mai 2014 instituția financiară nebancară a transmis clientului un avertisment de plată (fără informarea cu privire la transmiterea datoriei către Biroul de Credit)[7] pentru suma de 5516,06 lei, raportarea la Biroul de Credit realizându-se la data de 10 iunie 2016 (suma restantă de 510 lei) iar la data de 8 ianuarie 2015 clientul a fost raportat la Biroul de Credit pentru suna de 17 lei, neexistând informarea prealabilă a acestuia cu privire la transmiterea informației către Biroul de Credit.

De asemenea, prin notificarea privind măsurile luate în vederea recuperării debitelor restante din data de 15 aprilie 2014, instituția financiară nebancară a comunicat debitorului faptul că figurează cu o restanță de plată în valoare de 5386,92 lei și l-a informat cu privire la transmiterea datoriei către Biroul de Credit în cazul întârzierii la plată[8] iar la data de 12 mai 2014 debitorul a fost raportat la Biroul de Credit cu suma de 382 lei[9].
Sancționarea contravențională

Prin procesul-verbal de constatare și sancționare a contravenției nr. 4033, încheiat de ANSPDCP la data de 23.02.2015, instituția financiară nebancară a fost sancționată cu avertisment pentru săvârșirea faptei de prelucrare nelegală a datelor cu caracter personal, prevăzute de art. 32 din Legea nr. 677/2001, întrucât:

a) pe de o parte, la data de 10.06.2014 și 08.01.2015, a transmis către Biroul de Credit date negative, aferente cardului de credit folosit de un client, fără să facă dovada informării acestuia în prealabil cu 15 zile, conform art. 12 alin. (1) din Legea nr. 677/2001 și art. 8 alin. (2) din Decizia ANSPDCP nr. 105/2007;

b) pe de altă parte, la data de 12.05.2014, a transmis către Biroul de Credit date negative, aferente cardului de credit folosit de același client fără respectarea prevederilor art. 12 alin. (1) din Legea nr. 677/2001 și art. 9 alin. (1) din Decizia ANSPDCP nr. 105/2007.
Plângerea contravențională

Instanța de fond

Prin plângerea înregistrată pe rolul Tribunalului București, instituția financiară nebancară a solicitat, în contradictoriu cu ANSPDCP, anularea procesului-verbal de contravenție[10]. Tribunalul București a admis plângerea formulată de instituția financiară nebancară. Pentru a hotărî astfel, instanța de fond a reținut, în esență, următoarele[11]:

a) În ceea ce privește nerespectarea prevederilor art. 12 alin. (1) din Legea nr. 677/2001 și art. 8 alin. (2) din decizia nr. 105/2007, instituția financiară nebancară a interpretat în mod corect textul legal, în sensul în care informarea cu privire la transmiterea datelor negative la Biroul de Credit se va realiza prin raportare la prima restanță a clientului. Pentru această informare a clientului, astfel cum este prevăzută în decizia sus-menționată, se va lua în calcul, așadar, prima restanță a clientului. O interpretare contrară presupune ca obligația de informare a clientului cu privire la transmiterea datelor negative la Biroul de Credit să fie efectuată de fiecare dată, cu privire la orice sumă, fie că aceasta rezultă din aceeași restanță sau din una nouă.

b) Susținerile ANSPDCP cu privire la nerespectarea prevederilor art. 12 alin. (1) din Legea nr. 677/2001 și art. 9 alin. (1) din decizia nr. 105/2007, urmare a neinformării în «Notificarea privind măsurile luate în vederea recuperării debitelor restante» din 15.04.2014 a sumei cu care clientul va fi raportat, nu pot fi reținute, întrucât instituția financiară nebancară a precizat suma datorată, în valoarea de 5386,92 lei. ANSPDCP din eroare a reținut lipsa comunicării către client a sumei datorate. Mai mult, clientului, prin informările transmise, i se aduce la cunoștință cuantumul total (restanța majorată cu dobânzi penalizatoare, comisioane, conform contractului), însă la Biroul de Credit raportarea se face doar cu privire la suma restantă și existentă la data raportării, astfel cum reiese și din raportul de credit emis de Biroul de Credit la data de 16.02.2015.

Instanța de control judiciar

Împotriva sentinței pronunțată de Tribunalul București, ANSPDCP a formulat apel, criticând-o pentru nelegalitate și netemeinicie, a solicitat admiterea apelului și, în principal, modificarea în tot a sentinței apelate iar, în subsidiar, menținerea procesului-verbal de constatare/sancționare nr. 4033 din 23 februarie 2015 ca temeinic și legal.

Printre altele, instituția financiară nebancară a precizat prin întâmpinare și că: „Modalitatea în care debitorul a înțeles să execute contractul, dezinteresul manifestat cu privire la cuantumul ratei, scadență și plăți, în condițiile în care a fost în permanență notificat, atestă că aceasta nu a suferit nicio vătămare prin notarea datelor negative la Biroul de Credite, cu consecința inexistenței faptei contravenționale. Istoricul de plați al debitorului atestă că aceasta este rău-platnic, deoarece în raportul Biroului de Credit aceasta figurează și cu alte date negative înscrise de trei instituții bancare (aproximativ 180 de raportări) făcute de alți operatori. Rațiunea dispozițiilor legale este de a evita înregistrările eronate, în raport de un client diligent, care în mod constant a făcut plăți sau care din eroare uită să-și plătească debitul lunar (sic!)”[12].


* O parte a acestui material a fost prezentată în cadrul Conferinței Europene a Serviciilor Financiare (European Conference on Financial Services – ECFS 2017), organizată în perioada 19-20 octombrie 2017 la Brașov, la inițiativa Institutului de Studii Financiare, a Universității „Petru Maior” și a Societății Române de Cercetare pentru Afaceri Publice și Private din Târgu-Mureș.

[1] Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date, publicată în Jurnalul Oficial al Uniunii Europene L 281/31, Ediție specială, cap. 13/vol. 17. Directiva a fost transpusă prin Legea nr. 677 din 21 noiembrie 2001.

[2] A se vedea CJUE, hotărârea din 1 octombrie 2015, cauza C‑201/14 – Bara și alții, ECLI:EU:C:2015:638, publicată în Repertoriul electronic (Repertoriul general), punctul 30-31.

[3] Decizia nr. 105 din 15 decembrie 2007 cu privire la prelucrările de date cu caracter personal efectuate în sisteme de evidență de tipul birourilor de credit, publicată în M. Of. nr. 891 din data de 27 decembrie 2007.

[4] Legea nr. 677 din 21 noiembrie 2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date, publicată în M. Of. nr. 790 din data de 12 decembrie 2001.

[5] A se vedea European Union Agency for Fundamental Rights, Handbook on European data protection law, Luxembourg: Publications Office of the European Union, 2014, p. 96.

[6] Situația de fapt a fost reconstituită pe baza informațiilor conținute în sentința nr. 7699 din 6 noiembrie 2015 și sentința nr. 5959 din 24 septembrie 2016 a Tribunalul București, precum și în decizia nr. 53 din 26 mai 2016 și decizia nr. 18 din 6 februarie 2017 a Curții de Apel București.

[7] Anterior, de exemplu la data de 10 martie 2014, instituție financiară nebancară transmisese clientului atât o înștiințare privind întârzierea la plată, cât și informarea cu privire la transmiterea datoriei către Biroul de Credit în cazul întârzierii la plată.

[8] A se vedea Curtea de Apel București, secția a VIII-a contencios administrativ și fiscal, decizia nr. 53 din 26 mai 2016 [dosarul nr. 10297/3/2015] (nepublicată).

[9] A se vedea Curtea de Apel București, secția a VIII-a contencios administrativ și fiscal, decizia nr. 18 din 6 februarie 2017 [dosarul nr. 10297/3/2015], disponibilă pe http://www.rolii.ro [consultată la data de 2.06.2017].

[10] Inițial, prin sentința nr. 7699 din 6 noiembrie 2015 (nepublicată), Tribunalul București a respins ca neîntemeiată cererea instituției financiare nebancare, însă, în urma apelului declarat de aceasta din urmă, Curtea de Apel București, prin decizia nr. 53 din 26 mai 2016 (nepublicată), a anulat sentința civilă nr. 7699 din 6 noiembrie 2015 ca nemotivată și a trimis cauza spre rejudecare aceleiași instanțe.

[11] A se vedea Tribunalul București, secția a II-a contencios administrativ și fiscal, sentința nr. 5959 din 24 septembrie 2016, ECLI:RO:TBBUC:2016:007.005959 (nepublicată).

[12] A se vedea Curtea de Apel București, secția a VIII-a contencios administrativ și fiscal, decizia nr. 18 din 6 februarie 2017, disponibilă pe http://www.rolii.ro [consultată la data de 2.06.2017].

În replică, ANSPDCP a arătat că obligația de informare nu poate fi analizată prin raportare la calitatea de rău-platnic a debitorului sau de client diligent, distincție pe care nici Legea nr. 677/2001, nici Decizia nr. 105/2007 nu o stabilește, atunci când reglementează dreptul la informare a persoanei vizate. Astfel, „Decizia nr. 105/2007 nu prevede drept cazuri de excepție de la obligația de informare această situație, întrucât nu vizează buna sau reaua credință a debitorului, ci urmărește să asigure, în acord cu Legea nr. 677/2001, corecta și legala prelucrare a datelor, mai ales a celor negative, pentru a preveni abuzurile instituțiilor de creditare în contextul prelucrării datelor, iar nu în ceea ce privește respectarea clauzelor contractuale, care este de competența altor autorități”.

Prin decizia nr. 53 din 26 mai 2016, Curtea de Apel București a admis apelul declarat de ANSPDCP și a schimbat sentința apelată, în sensul că a respins plângerea contravențională formulată împotriva procesului-verbal de constatare și sancționare a contravenției ca nefondată. Curtea de Apel a constat că apelul este întemeiat pentru următoarele considerente:

a) În primul rând, Curtea a constatat că instanța de fond a interpretat în mod greșit dispozițiile art. 12 alin. (1) din Legea nr. 677/2001 coroborate cu cele ale art. 8 alin. (2) din Decizia nr. 105/2007. Astfel, instanța de fond a validat susținerea instituției financiare nebancare, conform căreia informarea cu privire la transmiterea datelor negative la Biroul de Credit trebuie realizată doar în momentul raportării primei restanțe a clientului, iar nu de fiecare dată, respectiv cu privire la orice sumă, fie că aceasta rezultă din aceeași restanță sau reprezintă o restanță nouă.

În acord cu susținerile ANSPDCP, Curtea a constatat că acest raționament al instanței de fond este greșit, fiind dat cu interpretarea și aplicarea greșită a dispozițiilor Deciziei nr. 105/2007. Mai exact Curtea a constatat că dispozițiile art. 8 alin. (2) din Decizia nr. 105/2007 nu disting în funcție de prima restanță sau cele ulterioare, ci impun obligația înștiințării prealabile a clientului ori de câte ori datele negative se transmit către sistemele de evidență de tipul birourilor de credit, în acest context, devenind aplicabilă regula de interpretare ubi lex non distinguit, nec nos distinguere debemus (unde legiuitorul nu distinge, nici interpretul legii nu trebuie să facă distincție). Mai mult, cum corect a învederat ANSPDCP, dispozițiile art. 8 alin. (2) trebuie interpretate ținând seama de scopul emiterii Deciziei nr. 105/2007, indicat în preambul, respectiv „pentru evitarea producerii unor abuzuri în activitatea de înscriere a datelor personale în sistemele de evidență de tipul birourilor de credit, care pot produce efecte asupra unui număr considerabil de cetățeni”.

Sub acest ultim aspect, Curtea a reținut că, după transmiterea datelor negative la Biroul de Credit, acestea rămân stocate pe un termen de 4 ani și sunt disponibile atât Biroului de credit (care realizează o analiză individuală de tip scoring pe baza acestor informații), cât și tuturor celorlalți participanți (instituții financiare și de credit), care, la rândul lor, preiau informația și o pot folosi în dezavantajul persoanei vizate, cu ocazia analizării gradului de risc și solvabilității. Prin lipsa informării, persoana fizică nu are control asupra modului de prelucrare a datelor sale și poate afla mult mai târziu că a fost raportată la Biroul de Credit.

Curtea a apreciat că, în acest context, nu este determinant în cauză a se stabili dacă persoană fizică vizată de raportarea datelor negative este de bună sau de rea-credință, o astfel de distincție nefiind făcută nici de prevederile Legii nr. 677/2001, nici de cele ale Deciziei nr. 105/2007. Dispozițiile legale prevăd o singură excepție, și anume situația în care persoana posedă deja informațiile respective, astfel că nu pot fi adăugate la lege, pe cale de interpretare sau aplicare, alte excepții. Situația din speță nu intră sub incidența excepției prevăzute de art. 12 alin. (1) din Legea nr. 677/2001, întrucât debitorul nu cunoaște toate informațiile prevăzute la lit. a)-d), în mod special cele de la lit. d) (orice alte informații a căror furnizare este impusă prin dispoziție a autorității de supraveghere, ținând seama de specificul prelucrării), astfel cum au fost detaliate prin Decizia nr. 105/2007, astfel că o notificare generală, în sensul că se vor transmite către Biroul de Credit informații cu privire la întârzierile de plată înregistrate, nu respectă exigențele legale.

În altă ordine de idei, Curtea a subliniat că, dat fiind specificul obligațiilor rezultate din contractele de credit, pot fi generate întârzieri la plată în fiecare lună și, în consecință, pot apărea fluctuații/modificări în privința datelor negative despre un debitor pe întreaga perioadă de derulare a contractului de credit (spre exemplu, sumele datorate, sumele restante, numărul de rate restante, numărul de zile de întârziere, comisioanele și majorările ratei dobânzilor), despre care persoana vizată nu are cunoștință, în măsura în care nu este informată prin notificarea prealabilă.

Prin urmare, contrar susținerilor instituției financiare nebancare, care în mod greșit au fost validate de către instanța de fond, din coroborarea art. 12 alin. (1) din Legea nr. 677/2001 cu art. 8 alin. (2) din Decizia nr. 105/2007 rezultă că se impune informarea persoanei fizice înainte de fiecare raportare a datelor negative la Biroul de Credit, indiferent dacă acestea sunt acumulate din aceeași restanță sau rezultă dintr-o restanță nouă. Or, în cauză, ANSPDCP a constatat corect, în cuprinsul procesului-verbal de contravenție contestat, că instituția financiară nebancară, la data de 10.06.2014 și 08.01.2015, a transmis către Biroul de Credit date negative, aferente cardului de credit folosit de client, respectiv sumele restante de 510 lei și 17 lei, fără să facă dovada prin înscrisurile de la dosar a notificării debitorului în prealabil cu 15 zile, conform dispozițiilor legale precitate.

Prin întâmpinare, instituția financiară nebancară a susținut că informațiile și actualizările transmise la Biroul de credite la data de 10.06.2014 și 08.01.2015 erau în fapt date pozitive, deoarece atestă plăți parțiale făcute de debitor, cu consecința diminuării cuantumului debitului rămas de plată, iar datele pozitive pot fi prelucrate fără notificare prealabilă a clientului. Curtea a constatat însă că, potrivit art. 2 lit. d) din Decizia nr. 105/2007, datele negative reprezintă „informațiile referitoare la întârzierile la plată a obligațiilor decurgând din relațiile de creditare a persoanelor fizice”, iar, conform art. 2 lit. e) din aceeași decizie, datele pozitive sunt „informațiile referitoare la creditele acordate debitorilor persoane fizice, de natură a contribui la evaluarea gradului de îndatorare și a bonității acestora”. În prezența acestor definiții legale, Curtea a constatat că raportările la Biroul de Credit din data de 10.06.2014 (suma restantă de 510 lei), respectiv 08.01.2015 (suma restantă de 17 lei) cuprind în mod evident date negative, și anume întârzieri la plată a obligației decurgând din contractul de card credit încheiat între părți, iar nu date pozitive, cum greșit a susținut instituția financiară nebancară.

b) În al doilea rând, Curtea a statuat că instanța de fond a constatat în mod greșit că instituția financiară nebancară a respectat prevederile art. 12 alin. (1) din Legea nr. 677/2001 coroborate cu cele ale art. 9 alin. (1) din Decizia nr. 105/2007. În concret, instanța de fond a constatat că, în cuprinsul notificării din 15.04.2014, a fost indicat cuantumul sumei cu care clientul va fi raportat la Biroul de Credit, respectiv 5386,92 lei, împrejurare față de care a apreciat că instituția financiară nebancară nu se face vinovată de încălcarea dispozițiilor art. 9 din Decizia nr. 105/2007.

Curtea a reținut că, potrivit art. 9 alin. (1) din Decizia nr. 105/2007, „participanții sunt obligați să furnizeze persoanei vizate la data înștiințării prealabile prevăzute la art. 8, în mod clar și exact, informațiile prevăzute la art. 12 alin. (1) din Legea nr. 677/2001 (…)”. Pornind de la aceste dispoziții legale, Curtea a constatat că, prin notificarea din 15.04.2014 privind măsurile luate în vederea recuperării debitelor restante, instituția financiară nebancară a comunicat debitorului faptul că, la data de 15.04.2014, figurează cu o restanță de plată în valoare de 5386,92 lei. Prin urmare, ceea ce s-a notificat debitorului este valoarea restanței, iar nu a sumei cu care va fi raportat la Biroul de Credit. Împrejurarea că cele două sume nu sunt identice a rezultat din faptul că, la data de 12.05.2014, debitorul a fost raportat la Biroul de Credit cu suma de 382 lei, astfel cum rezultă din raportul de credit emis de Biroul de Credit la data de 17.02.2017, iar nu cu suma de 5386,92 lei, menționată în cuprinsul notificării din data de 15.04.2014.

În aceste condiții, Curtea a apreciat că este evident că raționamentul instanței de fond este greșit, instituția financiară nebancară încălcând prevederile art. 12 alin. (1) din Legea nr. 677/2001 coroborate cu cele ale art. 9 alin. (1) și art. 8 alin. (2) din Decizia nr. 105/2007, astfel cum corect a constatat ANSPDCP.
Obligația de informare în cazul datelor negative transmise Biroului de credit în lumina Regulamentului (UE) 2016/679

Considerentul 39 al Regulamentului general privind protecția datelor[13] ce va se aplică de la data de 25 mai 2018 prevede că orice prelucrare de date cu caracter personal ar trebui să fie legală și echitabilă. Astfel, ar trebui să fie transparent pentru debitorii persoane fizice în ce măsură datele cu caracter personal sunt sau vor fi prelucrate. Principiul transparenței se referă în special la informarea persoanelor vizate privind identitatea operatorului și scopurile prelucrării, precum și la oferirea de informații suplimentare, pentru a asigura o prelucrare echitabilă și transparentă în ceea ce privește persoanele fizice vizate și dreptul acestora de a li se confirma și comunica datele cu caracter personal care le privesc și care sunt prelucrate.

Potrivit considerentului 71 din Regulamentul (UE) 2016/679 persoana vizată ar trebui să aibă dreptul de a nu face obiectul unei decizii, care poate include o măsură, care evaluează aspecte personale referitoare la persoana vizată, care se bazează exclusiv pe prelucrarea automată și care produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă, cum ar fi refuzul automat al unei cereri de credit online.

Cu toate acestea, Regulamentul (UE) 2016/679 precizează în continuare că luarea de decizii pe baza unei astfel de prelucrări, inclusiv crearea de profiluri a debitorilor persoane fizice, ar trebui permisă în cazul în care este autorizată în mod expres în dreptul Uniunii sau în dreptul intern care se aplică operatorului, inclusiv în scopul monitorizării și prevenirii fraudei și a evaziunii fiscale, desfășurate în conformitate cu reglementările, standardele și recomandările instituțiilor Uniunii sau ale organismelor naționale de supraveghere, și în scopul asigurării securității și fiabilității unui serviciu oferit de operator sau în cazul în care este necesară pentru încheierea sau executarea unui contract între persoana vizată și un operator sau în cazul în care persoana vizată și-a dat în mod explicit consimțământul[14]. În orice caz, o astfel de prelucrare ar trebui să facă obiectul unor garanții corespunzătoare, care ar trebui să includă o informare specifică a persoanei vizate.

Prin urmare, în cazul obligației de informare privind transmiterea de date negative către Biroul de Credit, considerăm că și după 25 mai 2018 vor continua a fi incidente dispozițiile Deciziei ANSPDCP nr. 105 din 15 decembrie 2007 cu privire la prelucrările de date cu caracter personal efectuate în sisteme de evidență de tipul birourilor de credit, cu diferența că locul actualului alin. (1) al art. 12 din Legea nr. 677/2001 va fi luat de art. 13 din Regulamentul (UE) 2016/679 care privește Informațiile ce se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată.


[13] Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), publicat în Jurnalul Oficial al Uniunii Europene, L 119 din 4 mai 2016.

[14] Potrivit art. 8 alin. (1) din Deciziei ANSPDCP nr. 105 din 15 decembrie 2007, Datele cu caracter personal ale solicitanților de credit se transmit către sistemele de evidență de tipul birourilor de credit numai cu acordul scris al persoanei vizate, obținut de participanți la data depunerii cererii de credit.

DOWNLOAD FULL ARTICLE

Obligația de informare în cazul datelor negative transmise Biroului de credit was last modified: aprilie 2nd, 2018 by Silviu-Dorin Șchiopu

Numai utilizatorii autentificați pot scrie comentarii