Pentru a activa în conformitate cu legea, companiile din domeniul Fintech trebuie să cunoască ce presupune Protecția Datelor cu Caracter Personal, inclusiv colectarea și procesarea corectă a datelor respective. Pentru a oferi mai multe informații legate de colectarea și prelucrarea de date, Fintech Moldova alături de partenerii săi Bivol Soțchi & Partners continuă seria de evenimente dedicate dezvoltării sectorului fintech. Cel de-al patrulea webinar s-a axat pe Protecția Datelor cu Caracter Personal și a fost realizat cu susținerea partenerilor externi de dezvoltare USAID și Suediei, în cadrul proiectului Tekwill.
Atingerea obiectivelor fiecărei organizații este strâns legată de prelucrarea datelor cu caracter personal. Totodată, prelucrarea acestor date este obiectul reglementărilor naționale sau internaționale specifice, iar cei care prelucrează aceste date sunt operatorii.
Operatori ai datelor cu caracter personal sunt persoanele fizice sau juridice, autorități publice, agenții sau alte tipuri de organisme care, singuri sau împreună cu alții, determină scopurile și mijloacele de prelucrare a datelor cu caracter personal. În același timp, în calitate de operatori pot fi și anumite persoane împuternicite care reprezintă entități care prelucrează aceste date în numele operatorului. Conform GDPR-ului, potrivit Legii cu privire la Protecția Datelor cu Caracter Personal, asemenea activități nu sunt interzice, ele sunt reglementate, dar urmează să respecte câteva condiții. Persoana împuternicită este caracterizată la fel ca o persoană fizică sau juridică sau alt organism care prelucrează datele cu caracter personal din numele operatorului.
Inna Soțchi, partener, Bivol Soțchi & Partners: „De multe ori, clienții mei au întâmpinat situații interesante la categoria persoanelor împuternicite de către diferite entități să devină operatori de date cu caracter personal. Acestea sunt instituții care intră în posesia datelor cu caracter personal ale angajaților sau alte tipuri de persoane și prelucrează datele respective. De exemplu, unele companii descentralizează unele servicii, precum ar fi serviciul HR, serviciile de contabilitate sau serviciile de marketing. În astfel de situații, este recomandabil ca obligațiile dintre operatori și terți să fie materializate printr-o relație contractuală, cu semnarea unui contract în sine.”
Prelucrarea justificată a datelor cu caracter personal
Contractul cu persoanele împuternicite de operatori trebuie să conțină clauze privind securitatea datelor personale, perioadele de stocare a datelor, cerințele tehnice și organizaționale. Este important ca operatorul să reglementeze în politica sa sau în regulamentul care descrie sistemul în care sunt prelucrate aceste date și transmise către terți, mijloacele de livrare a acestor date personale către persoana împuternicită, dar și modalitatea prin care aceste date ajung înapoi la operatorul de bază. Recomandabilă este transmiterea fizică a datelor, în temeiul actelor de predare-primire, cu evidență riguroasă sau prin mijloace electronice, cu condiția criptării, mai ales în cazul datelor cu caracter special.
Orice prelucrare a datelor cu caracter personal este justificată dacă scopul este legal, fiind identificat de către operator.
Inna Soțchi, partener, Bivol Soțchi & Partners: „Pentru a înțelege dacă sistemele pe care le deținem sau informațiile pe care le prelucrează operatorul se încadrează în limitele prevăzute de lege, fiecare operator trebuie să identifice, în primul rând, ce sisteme deține. În cazul companiilor cu angajați, sunt două sisteme : de evidență contabilă și de resurse umane. Dacă compania respectivă prestează anumite servicii către terți, apare și sistemul clienților care beneficiază de anumite servicii, dar și alte tipuri de sisteme pe care companiile în mod normal le dețin.”
În prezent, potrivit legislației RM, sistemele care se referă la datele cu caracter personal, urmează să fie notificate la Centrul Național pentru Protecția Datele cu Caracter Personal. Urmează a fi aprobate anumite modificări ale legislației, în mod special ce țin de obligația notificării sistemelor. Prin urmare, notificarea s-ar putea să nu fie obligatorie, însă nu scutește operatorul de îndeplinirea obligațiilor pe care le are. Este vorba despre aprobarea unei politici de securitate, verificarea tuturor sistemelor, aprobarea unui regulament pentru fiecare sistem, deținerea contractuală a clauzelor de confidențialitate privind respectarea drepturilor subiecților datelor cu caracter personal etc.
Ștefan Nistor, coordonator Fintech Moldova: „O activitate bună între companii, dar și dezvoltarea echilibrată a startup-urilor începe de la cunoașterea legislației în vigoare. Protecția Datelor cu Caracter Personal este o directivă foarte importantă, care nu trebuie ignorată, din contra, există un șir de criterii specifice pe care orice companie trebuie să le respecte și să le urmeze. În acest context, Fintech Moldova este acea legătură care tinde să susțină și să sprijine acești actori în calea lor de dezvoltare.”
Evenimentele pe diferite tematici de compliance și regulatory framework stabilite pentru sectorul financiar din Moldova se vor desfășura în penultima zi de joi a lunii, până în luna octombrie inclusiv și sunt realizate de Fintech Moldova, cu susținerea partenerilor externi de dezvoltare USAID și ambasada Suediei, în cadrul proiectului TEKWILL.