Cerințe impuse de Regulamentul general privind protecția datelor (GDPR) pentru platformele online de investiții
Ce reguli trebuie să respectați?
În primul rând, trebuie să implementați o politică de confidențialitate pe site-ul platformei prin care informați utilizatorii despre toate datele personale pe care le colectați (prelucrați) de la aceștia, despre temeiul legal al prelucrării și despre tot ce se întâmplă cu ele (categorii de date, scopul prelucrării, distribuirea cu terțe persoane, în ce scop se distribuie, etc.). Pentru informații despre conținutul politicii de confidențialitate facem trimitere la „Reguli pe care trebuie să le respecți dacă deții un site”.
Când este permisă legal prelucrarea datelor cu caracter personal ale utilizatorilor site-ului/platformei?
Orice activitate de prelucrare a datelor cu caracter personal ale unei persoane fizice trebuie să aibă un temei legal dintre cele enumerate la art. 6 din GDPR. Conform art. 6 din GDPR este legal să se prelucreze datele cu caracter personal când (am selectat temeiurile legale care pot fi incidente în cazul dvs.):
Temeiuri legale pentru prelucrarea datelor personale conform GDPR
1. Consimțământul utilizatorului (lit. a)
Persoana vizată ți-a dat consimțământul neechivoc pentru prelucrarea datelor (de exemplu, a consimțit în scris sau prin bifarea unei căsuțe)
2. Executarea sau încheierea unui contract (lit. b)
Prelucrarea este necesară pentru a executa sau pentru a încheia un contract la care persoana vizată este parte (de exemplu, între dvs. și utilizator se încheie un contract de prestări servicii de investiții prin intermediul platformei astfel cum veți prevedea în Termenii și condițiile site-ului, iar pentru încheierea și executarea contractului sunt necesare unele date personale).
3. Respectarea unei obligații legale (lit. c)
Prelucrarea este necesară pentru a respecta o obligație legală – în cazul dvs. poate fi vorba despre îndeplinirea obligațiilor legale impuse de Legislația în domeniul prevenirii și combaterii spălării banilor şi finanţării terorismului (AML în cele ce urmează) aplicabilă tuturor instituțiilor financiare (în cadrul acestei definiții se includ și societățile care prestează servicii de investiții, precum dvs. prin platforma online de investiții. Serviciile de investiții sunt de exemplu primirea și transmiterea de ordine privind unul sau mai multe instrumente financiare, executarea ordinelor în contul clienţilor, serviciile de consultanţă de investiţii, etc.).
4. Interesul public (lit. e)
Prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public (de exemplu, doar pentru informații colectate în scop AML și pentru stocarea acestora pe durată îndelungată se poate aplica acest temei legal întrucât conform Directivei sus menționate și a art. 22 alin. (4) din Legea de transpunere a acestei Directive în România „Prelucrarea datelor cu caracter personal în contextul alin. (1) este considerată ca fiind necesară în vederea ducerii la îndeplinire a unor măsuri de interes public, în conformitate cu prevederile Regulamentului (UE) 2016/679 privind protecţia persoanelor fizice”)
Observație: în principiu, datele pe care le colectați de la utilizatorii site-ului de prezentare nu pot fi justificate de temeiurile de la litera b), c) sau e), sus menționate pentru că utilizatorii site-ului de prezentare (care doar vizitează site-ul) nu beneficiază efectiv de serviciile platformei dvs. Cu privire la acești utilizatori nu aveți obligația de a colecta date din rațiuni de AML sau pentru a încheia un contract. Până când utilizatorii nu vor beneficia efectiv de serviciile platformei dvs. (creare cont, tranzacționare efectivă, etc.), de principiu nu sunt incidente temeiurile de la literele b), c) sau e), ci eventual cel de la lit. a).
Explicații pentru temeiuri legale enumerate mai sus
Datorită specificului activității dvs. (prestare servicii de investiții) aveți obligații legale de colectare a unor date personale ale utilizatorilor din rațiuni de AML, iar conform prevederilor în materie aveți obligația de a le stoca pe o perioadă de 5 ani.
Legislația în domeniul AML este aceeași la nivel UE în fiecare stat membru datorită Directivei UE nr. 2015/849 privind prevenirea utilizării sistemului financiar în scopul spălării banilor sau finanțării terorismului cum a fost completată și modificată. În România această Directivă se transpune în Legea nr. 129/2019.
Conform reglementărilor, aceste date sunt prelucrate doar în scopul prevenirii spălării banilor şi a finanţării terorismului şi nu sunt prelucrate ulterior într-un mod incompatibil cu acest scop. Este interzisă prelucrarea acestor datele cu caracter personal în alte scopuri, cum ar fi cele comerciale.
În termeni generali, conform reglementărilor în materie de AML (art. 13 alin. 1 din Legea 129/2019 de transpunere a Directiva (UE) 849/2015):
- Înainte de a stabili o relație de afaceri (definită legal ca fiind relaţia profesională legată de activităţile prestate de dvs. şi despre care, la momentul stabilirii contactului, se consideră a fi de o anumită durată),
- La efectuarea tranzacţiilor ocazionale în valoare de cel puţin echivalentul în lei a 15.000 euro, sau care constituie un transfer de fonduri în valoare de cel puțin 1000 euro sau când există suspiciuni de spălare a banilor sau de finanţare a terorismului
- Dacă există îndoieli privind veridicitatea sau suficienţa informaţiilor de identificare deja deţinute despre client aveți obligaţia de a aplica măsuri standard de cunoaştere a clientelei care să permită identificarea utilizatorului platformei dvs. şi verificarea identităţii acestuia pe baza documentelor, datelor sau informaţiilor obţinute din surse sigure şi independente, evaluarea privind scopul şi natura relaţiei de afaceri şi, dacă este necesar, obţinerea de informaţii suplimentare despre acestea, realizarea monitorizării continue a relaţiei de afaceri, inclusiv prin examinarea tranzacţiilor încheiate pe toată durata relaţiei respective, pentru a vă asigura că tranzacţiile realizate sunt conforme cu informaţiile deţinute referitoare la client, la profilul activităţii şi la profilul riscului, inclusiv, după caz, la sursa fondurilor, precum şi că documentele, datele sau informaţiile deţinute sunt actualizate şi relevante.
Conform art. 22 alin. 1 pct. 1 din Regulamentului 19/2019 privind instituirea măsurilor de prevenire şi combatere a spălării banilor şi a finanţării terorismului prin intermediul sectoarelor financiare supravegheate de Autoritatea de Supraveghere Financiară, aceste date sus menționate pot fi cel puțin următoarele în cazul persoanelor fizice:
- numele
- prenumele
- pseudonimul, dacă este cazul
- data şi locul naşterii
- codul numeric personal, numărul
- seria documentului de identitate
- domiciliul stabil/reşedinţa (adresa completă – stradă, număr, bloc, scară, etaj, apartament, oraş, judeţ/sector, ţară)
- cetăţenia
- naţionalitatea
- ţara de origine
- ocupaţia şi, după caz
- numele angajatorului ori natura activităţii proprii
- numărul de telefon
- adresa de poştă electronică, dacă există
- funcţia publică deţinută, dacă este cazul
- scopul şi natura relaţiei de afaceri derulate cu dvs., sursa fondurilor ce urmează să fie utilizate în derularea relaţiei de afaceri, etc.
Din rațiuni de AML, aceste tipuri de date trebuie păstrate și stocate în format electronic pentru o perioadă de 5 ani de la data încetării relaţiei de afaceri cu clientul (se poate extinde pentru maxim 5 ani dacă se impune de autoritățile competente). La expirarea duratei, aveți obligația de a le șterge.
Fiecare dintre datele personale ale utilizatorilor colectate de dvs. trebuie să fie justificate de cel puțin una dintre condițiile sus menționate.
Trebuie desemnat un responsabil cu protecția datelor (DPO)?
Este obligatorie desemnarea unui DPO dacă în cazul dvs. este incident art. 37 alin. 1 lit. b) din GDPR.
Conform prevederilor legale menționate mai sus, este obligatoriu ca un operator de date să desemneze un DPO atunci când sunt îndeplinite 2 condiții a) activitățile principale ale operatorului sau ale persoanei împuternicite de operator necesită monitorizarea periodică și sistematică a persoanelor vizate b) pe o scară largă.
a) În ceea ce privește prima condiție, conform considerentului 97 din GDPR și art. 2.1.2 Ghidul privind responsabilul cu protecția datelor, activitățile principale ale unui operator se referă la „activitățile sale de bază, și nu la prelucrarea datelor cu caracter personal drept activități auxiliare”. „Activitățile principale” pot fi considerate drept operațiunile-cheie necesare pentru îndeplinirea obiectivelor operatorului sau ale persoanei împuternicite de către operator. Cu alte cuvinte, activități în care prelucrarea datelor este o parte esențială a activității operatorului.
În cazul plaformelor de investiții este îndeplinită această condiție, căci nu s-ar putea atinge scopul activității (prestare servicii de investiții) fără a procesa datele personale ale utilizatorilor.
În ce privește noțiunea de monitorizare periodică și sistematică a persoanelor vizate, aceasta nu este definită de GDPR, însă conceptul de „monitorizare a comportamentului persoanelor vizate” este menționat în considerentul 24 și include, în mod clar, toate formele de urmărire și creare de profiluri pe internet, inclusiv în scopul publicității comportamentale.
Conform interpretării de către GL29, cuvântul „periodică” ar avea una sau mai multe dintre următoarele semnificații: în regim permanent sau la anumite intervale, pentru o anumită perioadă, în mod recurent sau repetat, la ore fixe, în mod constant sau periodic.
Conform interpretării de către GL29, cuvântul „sistematică” ar avea una sau mai multe dintre următoarele semnificații: care se realizează conform unui sistem, în mod predeterminat, organizat sau metodic, care are loc în cadrul unui plan general de colectare a datelor.
b) În ceea ce privește a doua condiție, „pe scară largă”, esențial este ca prelucrarea să vizeze un număr semnificativ de persoane, pe o arie geografică extinsă.
Acest DPO trebuie să aibă ceva certificări?
DPO trebuie să aibă un certificat pentru a putea fi desemnat cu această funcție, însă nivelul de expertiză necesar nu este strict definit de GDPR.
În România, funcția DPO este inclusă în clasificarea ocupațiilor, cod 242231 prin Decizia nr. 74/19.03.2018 a Autorității Naționale pentru Calificări. Conform acestei decizii nivelul de studii pentru DPO este învățământ superior cu diplomă de licență, cu condiții speciale – vechime în muncă minim 1 an, curs de specializare cu certificat.
Cum puteți desemna un DPO?
Articolul 37 alin. (6) din GDPR prevede că DPO a) poate fi membru al personalului operatorului sau persoana autorizată de operator sau b) își poate îndeplini atribuțiile în baza unui contract de servicii.
Dacă doriți să alegeți un membru al personalului dvs. există 2 posibilități:
a. DPO își îndeplinește sarcinile în baza unui contract de muncă, în următoarele 2 condiții: DPO este numit dintre angajați sau DPO este un nou angajat.
În cazul în care DPO este numit dintre angajați este necesară modificarea contractului individual de muncă, dacă primește noi atribuții pe lângă cele existente, sau dacă este angajat cu normă întreagă în funcția de DPO.
În cazul în care optați pentru recrutarea unui DPO care va face parte din angajații dumneavoastră, este necesară încheierea unui contract individual de muncă, pe perioadă determinată sau nedeterminată, în funcție de cerințele dumneavoastră.
b. În al doilea rând, funcția de DPO poate fi îndeplinită și în baza unui contract de servicii încheiat cu o persoană fizică sau o altă societate.
Aveți obligația de a păstra o evidență a activităților de prelucrare desfășurate sub responsabilitatea dvs. care se pun la dispoziția autorităților de supraveghere la cerere, în măsura în care sunteți o societate cu mai mult de 250 de angajați sau în măsura în care prelucrare nu este ocazională (în cazul dvs. prelucrarea nu este ocazională ci periodică datorită specificului activității).
Conform GDPR, art. 30 (1) Fiecare operator și, după caz, reprezentantul acestuia păstrează o evidență a activităților de prelucrare desfășurate sub responsabilitatea lor. Respectiva evidență cuprinde toate următoarele informații:
(a) numele și datele de contact ale operatorului și, după caz, ale operatorului asociat, ale reprezentantului operatorului și ale responsabilului cu protecția datelor;
(b) scopurile prelucrării;
(c) o descriere a categoriilor de persoane vizate și a categoriilor de date cu caracter personal;
(d) categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv destinatarii din țări terțe sau organizații internaționale;
(e) dacă este cazul, transferurile de date cu caracter personal către o țară terță sau o organizație internațională, inclusiv identificarea țării terțe sau a organizației internaționale respective și, în cazul transferurilor menționate la articolul 49 alineatul (1) al doilea paragraf, documentația care dovedește existența unor garanții adecvate;
(f) acolo unde este posibil, termenele-limită preconizate pentru ștergerea diferitelor categorii de date;
(g) acolo unde este posibil, o descriere generală a măsurilor tehnice și organizatorice de securitate menționate la articolul 32 alineatul (1).
Evidențele menționate la alineatele (1) și (2) se formulează în scris, inclusiv în format electronic.