Irina Alexe, Daniel-Mihail Şandru, Particularitățile aplicării măsurilor corective în domeniul protecției datelor, operatorilor din sectorul financiar / The peculiarities of applying corrective measures in the field of data protection, to operators in the financial sector, Revista română de drept european (RRDE), nr. 1/2020, p. 39-55
researchgate ppt, academia.edu ppt
Daniel-Mihail Sandru – relevant activities in the field of personal data protection
Dr. Irina Alexe, Lista lucrărilor științifice în domeniul GDPR
link to dataprotection – bibliografii, surse, reviset, metodologia cercetarii
Lucrare prezentata la o conferinta
ABSTRACT
The processing of personal data in the field of financial services implies the understanding of an entire ecosystem. From the relationship between the European Central Bank and the national / central banks and then the relationship between those and commercial banks, until the creation of risk protection instruments, including by outlining customers the General Data Protection Regulation and the Regulation 2018/1725, respectively. All these are aiming at contributing to the smooth operation and security of data. Due to the fact that both the banking system and the insurance field are considered elements of the essential infrastructure, being essential service operators, the provisions of the NIS Directive are applicable, which leads to a greater focus on the computer and physical security of data. The Romanian national data protection authority has applied corrective measures and even sanctions to the operators in the reference fields analysed here, banking and insurance, these probably having not only the mathematical effect of the payment of fines or the implementation of procedures or the obligation to follow some demands as well as image impact, the news being taken over by both the business media and general online publications. The courts are still at the beginning and important decisions are still awaited, perhaps even at the level of the Court of Justice of the European Union.
The corrective measures ordered so far by the Romanian data protection authority are analysed both with regard to the measures for the implementation of the General Data Protection Regulation and with regard to the reasoning structure in case of fines applied. The rights of the data subjects violated by the actions or inactions of the operators did not cause massive data leaks, but rather violations in the relationship between operator and data subject, lack of consent, violation of the right to information, data transfer and data processing in conditions that exceed the legal framework.
Keywords: financial services; banks; insurance; national data protection authority; General Data Protection Regulation; corrective measures; fines
REZUMAT
Prelucrarea datelor cu caracter personal în domeniul serviciilor financiare presupune înțelegerea unui întreg ecosistem. De la raportul dintre Banca Centrală Europeană și băncile centrale / naționale și apoi raportul dintre acestea și băncile comerciale, până la crearea de instrumente de protecție împotriva riscurilor, inclusiv prin profilarea clienților Regulamentul general privind protecția datelor și, respectiv, Regulamentului 2018/1725. Toate acestea sunt prezente pentru a contribui la buna funcționare și la securitatea datelor. Urmare a faptului că atât sistemul bancar, cât și domeniul asigurărilor sunt considerate elemente ale infrastructurii esențiale, fiind operatori de servicii esențiale, le sunt aplicabile dispozițiile Directivei NIS, ceea ce conduce la o mai mare atenție pe latura securității informatice și fizice a datelor. Autoritatea națională de protecția datelor din România a aplicat măsuri corective și chiar sancțiuni operatorilor din domeniile de referință analizate aici, bancar și asigurări, acestea având probabil nu doar efectul matematic al plății unor amenzi sau al implementării unor proceduri ori a obligației de a da curs unor cereri, cât și un impact de imagine, știrile fiind preluate de atât în mass media de afaceri, cât și în publicațiile online generale. Instanțele judecătorești sunt încă la început și se așteaptă încă hotărâri importante, poate chiar la nivelul Curții de Justiție a Uniunii Europene.
Măsurile corective dispuse până în acest moment de autoritatea de protecția datelor din România sunt analizate atât în privința măsurilor de punere în aplicare a Regulamentului general privind protecția datelor, cât și în privința structurii raționamentului în situația amenzilor aplicate. Drepturile persoanelor vizate încălcate prin acțiunile sau inacțiunile operatorilor nu au determinat scurgeri masive de date, ci mai degrabă încălcări în raportul operator – persoană vizată, lipsa consimțământului, încălcarea dreptului la informare, transferul de date și prelucrarea datelor în condiții care exced cadrul legal.
Cuvinte cheie: servicii financiare; bănci; asigurări; autoritate națională de protecția datelor; Regulamentul general privind protecția datelor; măsuri corective; amenzi