Ar trebui să fim notificați de bănci înainte ca datele privind restanțele să fie trimise la Biroul de Credit

Orice persoană ale cărei date personale sunt prelucrate în X sau Y scop are dreptul să fie informată cu privire la prelucrările respective. La momentul la care datele sunt luate efectiv de la o persoană, trebuie să i se spună, conform GDPR, inclusiv scopul în care se prelucrează. Când semnăm un contract cu banca, ar trebui să ni se spună din start că, în anumite condiții, ce se cade să fie explicitate, o să putem fi raportați la Biroul de Credit.

De când cu GDPR-ul, astfel de informări privind prelucrarea de date le face aproape toată lumea. Însă în discuția cu Biroul de Credit se pune întrebarea dacă nu cumva e necesară o informare privind prelucrarea de date în sensul transmiterii datelor privind restanțele la Birou înainte ca acest lucru să se întâmple. Pentru că lucrul acesta se întâmpla înainte să intre în vigoare GDPR-ul, când exista o decizie a ANSPDCP care obliga băncile să notifice clienții cu măcar 15 zile înainte să le transmită datele la Biroul de Credit (nu să le ceară permisiunea, ci să îi anunțe). Pe încălcarea acestei obligații se obținea lejer ștergerea datelor de la Biroul de Credit.

"Datele negative, inclusiv cele rezultate din aplicarea comisioanelor sau din majorări ale ratei dobânzilor, se transmit către sistemele de evidență de tipul birourilor de credit numai după înștiințarea prealabilă, realizată de către participanți în scris, telefonic, prin SMS sau e-mail, a persoanei vizate cu privire la întârzierea la plată și transmiterea datelor, realizată cu cel puțin 15 zile calendaristice înainte de data transmiterii", prevedea Decizia ANSPDCP nr. 105/2007, abrogată din 24 mai anul acesta.

Problema e că termenul acesta de 15 zile nu se mai regăsește actualmente nicăieri în legislație. Temeiul prelucrării datelor prin Biroul de Credit este interesul legitim al băncilor și celorlalți participanți ai schemei în centrul căreia se regăsește acest Birou, iar argumentarea acestui temei și a prevalenței sale asupra interesului celor ale căror date sunt prelucrate sunt expuse de cei de la Biroul de Credit într-un document pe care-l puteți lectura aici.

De ce termenul de 15 zile ar trebui încă luat în considerare, măcar ca bună practică

Termenul de 15 zile pentru notificarea prealabilă ar trebui însă luat în considerare și în continuare, ca bună practică, spune Alin Popescu, avocat, specialist în protecția datelor personale. Informarea pe care banca o face atunci când bate palma cu clientul pe un contract de credit e una, pe când transmiterea unor date la Biroul de Credit privind restanțele unui client al băncii e un soi de prelucrare pentru care ar trebui să se facă o informare separată. Pentru că e o prelucrare de date cu consecințe destul de importante pentru consumator. Dar și pentru că în practică se fac adesea abuzuri în legătură cu raportările la Biroul de Credit.

"Din punctul nostru de vedere, ar trebui menținut un termen pentru notificare și acum. Înscrierile în Biroul de Credit pot avea consecințe foarte grave, oamenii pot pierde efectiv dreptul de a obține credite, implicit de a-și lua o casă sau o mașină (bunuri la care românii au, de regulă, acces în baza unui credit). Dacă ai credit score mic pentru că nu știi că ai fost notat în Birou, de exemplu, pierzi dreptul la un credit cu dobândă bună, un credit acordat de bănci. Poți ajunge ca, la nevoie, să apelezi doar la credit dat de o instituție financiară nebancară, în condiții foarte dezavantajoase. Pe scurt, un credit scump și de multe ori cu penalități imense. Să fii notat în Birou fără notificare prealabilă încalcă dreptul la informare, cel puțin. Practic, există un vid legislativ momentan, din păcate, pentru că acest termen de 15 zile nu se mai regăsește", spune Ruxandra Vișoiu, avocat R&R Partners.

Se pare că și cei de la Biroul de Credit și Asociația Română a Băncilor (ARB) sunt pentru păstrarea acestui termen de 15 zile pentru notificarea prealabilă transmiterii datelor la Birou. Cel puțin, așa spunea Ștefan Epure, directorul Biroului de Credit, pentru bancherul.ro, la finele lunii mai. Acesta spunea că băncile și Biroul de Credit sunt dispuse să-și asume în continuare această obligație, care ar urma să fie introdusă într-un cod de bune practici al ARB. Un astfel de cod a apărut chiar în noiembrie pe site-ul ARB, dar nu face nicio referire la vreo notificare prealabilă transmiterii datelor la Biroul de Credit.

E destul de posibil ca, în 2019, vechea decizie a ANSPDCP care conținea acest termen și alte drepturi pentru clienții băncilor în legătură cu prelucrările de date la Biroul de Credit "să renască" sub forma unei alte decizii, e de părere Alin Popescu.

Prevederi cu care clienții băncilor câștigau procesele cu băncile înainte de GDPR

Decizia ANSPDCP nr. 105/2007 prevedea nu doar termenul acesta de 15 zile de notificare, ci și alte chestiuni de care clienții băncilor se foloseau cu succes pentru a obține ștergerea de la Biroul de Credit. Chiar săptămâna aceasta, Autoritatea a făcut un soi de dare de seamă cu privire la amenzile aplicate în trecut băncilor/IFN-urilor și care au rămas definitive în instanță anul acesta. Din respectivul comunicat aflăm că nerespectarea termenului de 15 zile sau a chestiunilor expuse mai jos dădeau motiv de sancționare severă a celor care abuzau de sistemul raportărilor la Birou.

Potrivit deciziei abrogate a ANSPDCP, exista obligația de a obține consimțământul pentru prelucrarea datelor de la cei care semnau contractele de credit. În decizie scria că datele personale se pot transmite la Birou numai cu acordul scris al celui ce se împrumută, obținut de la data depunerii cererii de credit. În practică, mulți au semnat astfel de acte cu băncile, fără să știe măcar despre ce e vorba. Acum, așa cum spuneam mai sus, temeiul legal pentru prelucrarea datelor nu mai este consimțământul, ci interesul legitim al băncilor. Dar informarea trebuie făcută chiar și așa.

Apoi, mai prevedea decizia ANSPDPC, datele negative (privind restanțele) puteau fi transmise la Biroul de Credit după 30 de zile de la data scadenței și nici o zi mai devreme. Încălcarea acestui termen putea da dreptul la ștergerea datelor transmise prea devreme.

E cert că lucrurile de mai sus nu se mai pot obține la fel de ușor în era GDPR - cel puțin, nu în lipsa unei noi decizii a ANSPDPC care să reglementeze iar niște reguli și termene clare de respectat de către bănci. Rămâne de văzut dacă anul nou va aduce o asemenea decizie.