Date personale prelucrate de casele de schimb valutar
Casele de schimb valutar prelucreaza numeroase date cu caracter personal, atat dintre cele obisnuite, cat si date cu caracter special ale clientilor, salariatilor proprii, ale partenerilor, ale personalului de control, in contextul desfasurarii activitatilor specifice, a incheierii contractelor individuale de munca, contractelor de prestari servicii, indeplinirii obligatiilor legale in materie etc.
O mare parte dintre datele cu caracter personal sunt prelucrate cu ocazia inregistrarii clientului si obligatiile rezultand din legislatia impotriva spalarii banilor; efectuarii tranzactiilor de schimb valutar; confirmarea efectuarii tranzactiei; emiterea facturilor pentru serviciile prestate (etape similare si in cazul in care se acceseaza servicii de transfer bani).
De asemenea, in cazul serviciilor furnizate online identificam inregistrarea/autentificarea clientilor persoanelor vizate, context in care, de asemenea, sunt prelucrate date cu caracter personal.
Recomandam intocmirea unei politici/proceduri care sa aiba drept scop informarea unitara a oricarei persoane fizice ale carei date cu caracter personal sunt prelucrate de catre casa de schimb valutar, precum si evidentierea categoriilor de persoane vizate carora se aplica, cum ar fi:
De asemenea, ar trebui, in calitate de operator de date cu caracter personal, sa va preocupati de actualizarea procedurii interne cu privire la derularea operatiunilor de schimb valutar, conform Regulamentului nr. 679/2016, a politicii de cookie-uri, a politicii de confidentialitate a prelucrarii datelor cu caracter personal, atunci cand este cazul.
Indicati intr-un mod cat mai clar scopurile prelucrarii datelor cu caracter personal, spre exemplu:
Indicati cu precizie temeiul/temeiurile legale in baza caruia prelucrati date cu caracter personal. Mentionam cu titlu exemplificativ:
Indicati entitatile catre care datele cu caracter personal pot fi dezvaluite, durata prelucrarii, precum si daca intentionati sa efectuati transferuri de date cu caracter personal; in caz afirmativ, mentionati scopurile acestora si statele unde se transfera datele.
Toate aceste chestiuni ar trebui sa vizeze fiecare categorie de persoane vizate in parte, si anume:
client persoana fizica si juridica (atunci cand este cazul);
parteneri contractuali (furnizori de bunuri/servicii);
angajati;
candidati care doresc sa ocupe posturi in cadrul casei de schimb valutar etc.
In situatia inregistrarii convorbirilor telefonice, persoana vizata trebuie sa fie informata privind inregistrarea convorbirii telefonice, spre exemplu, prin utilizarea unui mesaj pre-inregistrat, iar datele cu caracter personal colectate in aceasta maniera ar trebui de asemenea atent procedurata.
Referitor la monitorizarea video, utilizati datele cu caracter personal obtinute prin intermediul monitorizarii doar in scopul pentru care ati efectuat monitorizarea, cu exceptia cazului in care monitorizarea conduce la descoperirea unei activitati care nu ar putea, in mod rezonabil, sa fie ignorata.
Pastrati intr-un mod securizat datele personale pe care le colectati ca urmare a monitorizarii, spre exemplu, doar o persoana sau doua au acces la acestea. De asemenea, nu pastrati datele personale mai mult decat este necesar si nu pastrati mai multe informatii decat aveti nevoie; spre exemplu, instituiti masuri tehnice si organizatorice pentru stergerea datelor odata ce termenul legal care va obliga la pastrarea lor a expirat si nu exista niciun alt temei legal pentru prelucrarea lor in continuare.
Situatii de colectare a datelor cu caracter personal pe care trebuie sa le aveti in vedere la implementarea GDPR la nivelul societatii:
In situatia in care desfasurati activitatea de schimb valutar si/sau alte servicii prin intermediul unei platforme online, recomandam sa va asigurati ca beneficiati de:
Acestea sunt doar o parte dintre situatiile care ar trebui considerate. Fiecare companie are specificul sau de colectare si prelucrare a datelor cu caracter personal, in functie de structura organizatorica proprie, iar implementarea GDPR trebuie considerata pentru fiecare firma in parte si dezvoltata pentru fiecare tip de date colectate. Procedurile pot fi complexe, consumatoare de timp si care necesita know-how adecvat. Este motivul pentru care va recomandam sa apelati la un consultant specializat in implementarea GDPR.
O mare parte dintre datele cu caracter personal sunt prelucrate cu ocazia inregistrarii clientului si obligatiile rezultand din legislatia impotriva spalarii banilor; efectuarii tranzactiilor de schimb valutar; confirmarea efectuarii tranzactiei; emiterea facturilor pentru serviciile prestate (etape similare si in cazul in care se acceseaza servicii de transfer bani).
De asemenea, in cazul serviciilor furnizate online identificam inregistrarea/autentificarea clientilor persoanelor vizate, context in care, de asemenea, sunt prelucrate date cu caracter personal.
Recomandam intocmirea unei politici/proceduri care sa aiba drept scop informarea unitara a oricarei persoane fizice ale carei date cu caracter personal sunt prelucrate de catre casa de schimb valutar, precum si evidentierea categoriilor de persoane vizate carora se aplica, cum ar fi:
- clientul (chiar si dupa incetarea relatiei contractuale), potentiali clienti, persoane cu care casa de schimb valutar deruleaza tranzactii ocazionale, reprezentantii legali sau conventionali ai clientului, imputernicitii, beneficiarii reali etc.;
- persoanele de contact, reprezentantii legali sau conventionali, colaboratorii, angajatii si/sau persoanele fizice desemnate de catre un Client (chiar si dupa incetarea relatiei contractuale) al casei de schimb valutar, imputernicitii etc.;
- persoanele de contact, reprezentantii legali sau conventionali, colaboratorii, angajatii si/sau persoanele fizice desemnate de catre un partener contractual al casei de schimb valutar;
- angajatii casei de schimb valutar;
- Candidatii care doresc sa ocupe posturi in cadrul casei de schimb valutar;
- vizitatorii website-urilor caselor de schimb valutar.
De asemenea, ar trebui, in calitate de operator de date cu caracter personal, sa va preocupati de actualizarea procedurii interne cu privire la derularea operatiunilor de schimb valutar, conform Regulamentului nr. 679/2016, a politicii de cookie-uri, a politicii de confidentialitate a prelucrarii datelor cu caracter personal, atunci cand este cazul.
Indicati intr-un mod cat mai clar scopurile prelucrarii datelor cu caracter personal, spre exemplu:
- executarea si imbunatatirea serviciilor de schimb valutar prin intermediul aplicatiilor informatice, conform cerintelor legale aplicabile;
- cunoasterea clientelei in vederea prevenirii spalarii banilor si combaterii finantarii terorismului;
- prevenirea fraudelor si garantarea secretului profesional prin verificarea autenticitatii actului de identitate prezentat;
- raportarea tranzactiilor;
- realizarea de audituri si investigatii interne;
- gestiunea administrativ-financiara;
- gestionarea conflictelor de interese;
- gestionarea controalelor efectuate de autoritati;
- indeplinirea obligatiilor de supraveghere asupra casei de schimb valutar;
- asigurarea securitatii in incintele casei de schimb valutar;
- pastrarea, depozitarea (premergatoare arhivarii) si arhivarea documentelor;
- implementarea masurilor de securitate a datelor cu caracter personal etc.
Indicati cu precizie temeiul/temeiurile legale in baza caruia prelucrati date cu caracter personal. Mentionam cu titlu exemplificativ:
- interes legitim (imbunatatirea produselor si serviciilor casei de schimb valutar furnizate, prin optimizarea fluxurilor si a reglementarilor interne, segmentarea clientilor, proiectarea, dezvoltarea. Testarea si utilizarea sistemelor informatice si a serviciilor IT);
- indeplinirea unei obligatii legale sau
- incheierea, executarea si derularea contractului (derularea si gestionarea relatiei contractuale cu Clientul, in vederea furnizarii produselor si serviciilor de schimb valutar (inclusiv serviciilor online); derularea in bune conditii a tranzactiilor de schimb valutar etc.);
- consimtamant (marketing direct, prin comunicarea de informatii si/sau oferte personalizate cu privire la produse, servicii si activitati ale casei de schimb valutar si/sau ale partenerilor acesteia, precum si efectuarea unor eventuale studii de marketing cu privire la produsele, serviciile si activitatile actuale si/sau viitoare ale casei de schimb valutar si/sau ale partenerilor acesteia; generarea de oferte si comunicari personalizate prin utilizarea unor tehnici informatice care implica un proces decizional automatizat (inclusiv crearea de profiluri), consimtamant obtinut de la angajati in scopul testarii functionalitatilor noi ale produselor si serviciilor, inainte ca acestea sa fie facute disponibile pe piata etc.).
Indicati entitatile catre care datele cu caracter personal pot fi dezvaluite, durata prelucrarii, precum si daca intentionati sa efectuati transferuri de date cu caracter personal; in caz afirmativ, mentionati scopurile acestora si statele unde se transfera datele.
Toate aceste chestiuni ar trebui sa vizeze fiecare categorie de persoane vizate in parte, si anume:
client persoana fizica si juridica (atunci cand este cazul);
parteneri contractuali (furnizori de bunuri/servicii);
angajati;
candidati care doresc sa ocupe posturi in cadrul casei de schimb valutar etc.
In situatia inregistrarii convorbirilor telefonice, persoana vizata trebuie sa fie informata privind inregistrarea convorbirii telefonice, spre exemplu, prin utilizarea unui mesaj pre-inregistrat, iar datele cu caracter personal colectate in aceasta maniera ar trebui de asemenea atent procedurata.
Referitor la monitorizarea video, utilizati datele cu caracter personal obtinute prin intermediul monitorizarii doar in scopul pentru care ati efectuat monitorizarea, cu exceptia cazului in care monitorizarea conduce la descoperirea unei activitati care nu ar putea, in mod rezonabil, sa fie ignorata.
Pastrati intr-un mod securizat datele personale pe care le colectati ca urmare a monitorizarii, spre exemplu, doar o persoana sau doua au acces la acestea. De asemenea, nu pastrati datele personale mai mult decat este necesar si nu pastrati mai multe informatii decat aveti nevoie; spre exemplu, instituiti masuri tehnice si organizatorice pentru stergerea datelor odata ce termenul legal care va obliga la pastrarea lor a expirat si nu exista niciun alt temei legal pentru prelucrarea lor in continuare.
Situatii de colectare a datelor cu caracter personal pe care trebuie sa le aveti in vedere la implementarea GDPR la nivelul societatii:
- Proceduri pentru colectarea si prelucrarea sigura a datelor cu caracter personal (nume, prenume, CNP, serie si numar CI, loc nastere, date de contact etc.).
- Considerarea tuturor companiilor externe/autoritati sau institutii publice care au acces la informatiile cu caracter personal pe care le detineti, tipul de date cu caracter personal colectate si scopul in care vor fi prelucrate (firme de recrutare, clinici medicale, firme de training, firma de paza, firma de contabilitate, companii de evaluare a personalului etc.).
- Implementarea de proceduri speciale pentru siguranta datelor sensibile/speciale.
- n cazul in care sunt utilizate programe software online, trebuie considerat daca gazduirea serverelor este pe teritoriul UE. In cazul in care o terta parte din afara teritoriului european are acces la datele cu caracter personal trebuie implementate proceduri conforme principiilor si cerintelor GDPR.
- De asemenea, trebuie sa aveti in vedere redactarea unor proceduri pentru colectarea, prelucrarea si transferul de informatii personale intre teritoriul comunitar si in afara acestuia cand exista schimburi de date intre filiale/ sucursale.
- Persoana vizata trebuie sa se bucure de drepturile pe care GDPR i le confera (dreptul de a fi uitat, portabilitatea datelor, restrictionarea prelucrarii, privacy by default etc.).
In situatia in care desfasurati activitatea de schimb valutar si/sau alte servicii prin intermediul unei platforme online, recomandam sa va asigurati ca beneficiati de:
- Actualizari periodice (zilnice/saptamanale/lunare) ale programului-server si ale programului-client; diverse imbunatatiri si optimizari
- Copii de siguranta, realizate automat
- Siguranta datelor (indiferent de ce se intampla pe statiile de lucru din agentii)
- Suport tehnic oferit profesional
- Toate operatiile si costurile legate de servere si de cloud, trafic, stocare, procesare
- Mentenanta automatizata a sistemului etc.
Acestea sunt doar o parte dintre situatiile care ar trebui considerate. Fiecare companie are specificul sau de colectare si prelucrare a datelor cu caracter personal, in functie de structura organizatorica proprie, iar implementarea GDPR trebuie considerata pentru fiecare firma in parte si dezvoltata pentru fiecare tip de date colectate. Procedurile pot fi complexe, consumatoare de timp si care necesita know-how adecvat. Este motivul pentru care va recomandam sa apelati la un consultant specializat in implementarea GDPR.
Newsletter PortalProtectiaDatelor.ro
Ramai la curent cu toate solutiile propuse de specialisti.
Aboneaza-te ACUM la Newsletterul PortalProtectiaDatelor.ro si primesti cadou Raportul special "Munca la domiciliu - Aspecte practice privind GDPR"!
Articole similare din categoria Analize si solutii GDPR
28Feb2024
Monitorizarea angajatilor la locul de munca: Camerele de supraveghere ascunse sunt INTERZISE!
de Colectivul de Specialisti Rentrop&Straton
28 Feb 2024
28Feb2024
Siguranta datelor clientilor, din perspectiva GDPR
de Colectivul de Specialisti Rentrop&Straton
28 Feb 2024
31Ian2024
Fotografierea angajatilor nu incalca GDPR. Stocarea pozelor in baza de date a firmei, DA!
de Colectivul de Specialisti Rentrop&Straton
31 Ian 2024
26Oct2023
Stergerea datelor fostilor angajati si exceptii de la aplicarea dreptului de a fi uitat
de Colectivul de Specialisti Rentrop&Straton
26 Oct 2023
Un produs marca