GDPR: Ne putem opune transferului datelor personale de la creditorii noștri la recuperatorii de creanțe?

Riscul să ne trezim cu un recuperator de creanțe pe cap, atunci când avem datorii la o bancă ori o instituție financiară nebancară (IFN), este foarte mare. Nu are rost să analizăm de ce - urile acestui lucru, abuzurile sau practicile cel puțin supărătoare ale unor recuperatori.

Dar putem să ne uităm la faptul că între creditorul nostru inițial și firma de recuperări creanțe are loc un transfer de date personale, date fără de care recuperatorul nu ar avea cum să-și facă treaba. În ce măsură am putea să considerăm că e nevoie de acordul nostru pentru acest transfer? Discutabil.

Am să pornesc discuția de la două situații întâlnite într-o culegere de cazuri practice privind interesul legitim în prelucrarea datelor, realizată de NYMITY.com și disponibilă aici.

În 2014, un cetățean bulgar s-a plâns autorității naționale de protecția datelor că banca la care avea un card de credit i-a transmis, fără permisiunea lui expresă, datele personale unei firme de recuperări creanțe (acesta avea restanțe semnificative la banca respectivă). Bulgarul voia, probabil, demontarea demersurilor recuperatorului, pe motiv că nu obținuse legal datele sale de la banca respectivă.

Totuși, contestația sa a fost lipsită de succes. Chiar dacă, la vremea aceea, Regulamentul general de protecția datelor (GDPR) nu exista, reglementările aplicate de autoritatea bulgară în cazul de mai sus se regăsesc cu fidelitate în GDPR, deci, discuția rămâne de actualitate.

Demersul bulgarului a fost respins pe următorul considerent: banca, operator de date cu caracter personal, avea nu doar un interes legitim în a-și recupera datoria destul de mare de la clientul său, chestiune pe care nu o putea face altfel decât prin recuperatorul de creanțe, dar în contractul dintre bancă și client era chiar prevăzut dreptul celei dintâi de a transmite datele personale ale clientului său altcuiva.

Al doilea caz, tot în Bulgaria, a vizat un operator de servicii de telefonie mobilă care a transmis recuperatorului de creanțe datele unei cliente cu mari restanțe. Întocmai ca în cazul de mai sus, clienta a considerat că era necesar acordul său expres pentru transmiterea datelor. Și aici, autoritatea a găsit că exista o clauză în contractul cu respectiva companie, care stipula tocmai chestiunea transmiterii datelor unui recuperator. Așadar, operatorul de telefonie mobilă avea două temeiuri pentru transmiterea datelor clientei: executarea unui contract și interesul legitim în recuperarea creanței restante.

Contractul și informarea obligatorie

Mai mult ca sigur, vom găsi în contractele cu băncile, IFN-urile, operatorii de telefonie mobilă, furnizorii de servicii ș.a.m.d. clauze care stipulează transferul datelor noastre personale către anumite entități terțe, cum sunt recuperatorii de creanțe. E probabil că nu le-am reperat până acum, la semnarea contractelor respective, ori că nu le-am acordat atenție, în mod deosebit. Dar ele există.

Dacă o astfel de clauză este prevăzută în contractul nostru -- și sunt puține șanse să putem renunța la ea, pentru că toate contractele de acest fel vin într-un format prestabilit, iar singura opțiune pe care o avem, în realitate, este să nu semnăm deloc -- nu ne putem opune unui astfel de transfer de date. Operatorul de date personale, adică cel cu care am semnat respectivul contract și care ne-a împrumutat sau ne-a oferit un serviciu, are deja un temei ca să prelucreze datele respective prin transferul lor către o altă entitate.

Temeiul pentru prelucrarea datelor de către creditorul sau furnizorul nostru de servicii este chiar contractul pe care îl avem cu acesta. În spiritul GDPR-ului însă, ar fi normal ca operatorul să ne informeze cu privire la modurile în care ne prelucrează datele, subliniază Alin Popescu, avocat specializat în implementarea GDPR. Dreptul de informare este recunoscut de GDPR tuturor celor cărora le sunt prelucrate datele personale.

"Persoanele vizate trebuie informate întotdeauna. Există puține excepții de la această regulă. În situația în care datele personale sunt colectate direct de la persoana vizată, atunci informarea trebuie făcută chiar la momentul la care datele respective sunt colectate", spune Alin Popescu. Într-un material recent, dedicat în întregime obligației de informare a persoanelor vizate, Alin vorbește despre ce ar trebui să conțină neapărat o atare notă de informare, iar un element important din cuprinsul ei este și destinatarul, în cazul transmiterii datelor altcuiva.

Interesul legitim al creditorului

În fine, interesul legitim al creditorului care vrea să-și recupereze banii este un alt temei pe care îl avem în vedere în discuțiile referitoare la recuperatorii de creanțe și cum ajung datele noastre la ei. Totuși, n-ar putea creditorul însuși să recupereze banii, fără să se folosească de terți, deci, fără ca datele noastre personale să fie transferate? În teorie, poate, dar ar fi mai puțin avantajos pentru creditor.

"Interesele legitime ale unui operator, inclusiv cele ale unui operator căruia îi pot fi divulgate datele cu caracter personal sau ale unei terțe părți, pot constitui un temei juridic pentru prelucrare, cu condiția să nu prevaleze interesele sau drepturile și libertățile fundamentale ale persoanei vizate, luând în considerare așteptările rezonabile ale persoanelor vizate bazate pe relația acestora cu operatorul. Acest interes legitim ar putea exista, de exemplu, atunci când există o relație relevantă și adecvată între persoana vizată și operator, cum ar fi cazul în care persoana vizată este un client al operatorului sau se află în serviciul acestuia", scrie în preambulul GDPR.

Notă: Există mai multe temeiuri prevăzute în GDPR pentru prelucrarea datelor personale. Interesul legitim și executarea unui contract sunt doar două dintre ele.