Schimbul valutar online

In situatia in care tranzactiile de schimb valutar se efectueaza prin intermediul unei platforme online, accesarea serviciului necesita inregistrarea utilizatorului prin crearea unui cont si, ulterior, logarea acestuia, prin datele unice introduse de utilizator in timpul inregistrarii pe platforma informatica.

Entitatile care pun la dispozitie servicii de schimb valutar online pot colecta atat date cu caracter personal obisnuite, cat si speciale: nume, prenume, adresa, adresa de
e-mail, numar de telefon, cont bancar, cetatenie, locul nasterii, parola contului utilizat pe platforma online, adresa IP si regiunea/locul conexiunii, cod numeric personal, seria si numarul actului de identitate etc.

Important! Casele de schimb valutar online sunt autorizate sa efectueze schimburi de bani inclusiv cu persoane juridice case de schimb valutar (spre exemplu, o casa de schimb valutar se inregistreaza pe o platforma online a unei unitati bancare, pe baza unui abonament lunar, avand acces la tranzactionari online).

In esenta, inregistrarea pe o astfel de platforma online, indiferent ca discutam despre schimb valutar sau transfer de bani, reprezinta un demers realizat de catre client- persoana vizata in vederea initierii relatiei contractuale pentru obtinerea de produse si servicii pentru schimbul valutar/transferul de bani online, finalizat la data incheierii contractului, respectiv, la momentul completarii formularului aferent in mod corect si complet.
Conform GDPR, trebuie sa va asigurati de urmatoarele aspecte principale:

De asemenea, ar trebui sa procedati la:

1. Verificarea paginilor de legalitati ale website-ului si sa le aduceti la o noua forma, astfel incat sa dispuneti de: o pagina de Termeni si conditii; o pagina legata de Protectia datelor cu caracter personal; o pagina legata de Politica utilizarii cookies (optional).

Pentru mai multa transparenta, recomandam sa numiti pagina direct Protectia datelor cu caracter personal sau Politica de protectie a datelor cu caracter personal.
De asemenea, tot privind transparenta, este bine sa retineti ca GDPR mentioneaza clar ca aceste pagini trebuie sa contina informatii simplu de inteles, formulate pentru

utilizatorul obisnuit. Cu alte cuvinte, ar trebui sa dispara paginile de termeni si conditii generate semi-automat, in jargon legal, pe care aproape nimeni nu le parcurgea cu atentie.
In aceste pagini, si mai ales in pagina legata de protectia datelor personale, trebuie sa descrieti pe scurt procesul prin care asigurati confidentialitatea datelor colectate, precum si orice alta informatie relevanta.

De exemplu, tot aici trebuie sa mentionati alte entitati carora le acordati acces la datele colectate, si de ce acest lucru este necesar.

2. Solicitati tertilor cu care colaborati sa va puna la dispozitie o documentatie de protectie a datelor cu caracter personal

Toti acesti terti cu care colaborati, precum si serviciul IT care protejeaza serverul pe care stocati datele (anti-virusul, certificatul SSL cumparat) trebuie sa aiba proceduri clare de protectie a datelor personale.

In colaborarea dumneavoastra cu acestia, trebuie sa va asigurati ca aveti un contract de furnizare de servicii si ca in acest contract se face o referire clara la politica lor de protectie a datelor in conformitate cu noile reguli GDPR.
Daca este vorba despre un serviciu temporar, poate fi suficienta si o factura in loc de contract, insa tot este necesar sa va asigurati ca politica lor de protectie a datelor este documentata si disponibila oricui (inclusiv proprietarului datelor cu caracter personal).

3. Creati o platforma unica pe care sa stocati datele personale pe care le prelucrati, mai ales in situatia in care colectati date personale (de contact pentru clienti existenti sau potentiali) din surse multiple, astfel incat sa se asigure evidentierea clara a sursei din care provine respectivul contact (eventual printr-o baza centralizata de date).

Acest lucru se impune pentru a minimiza riscul scurgerilor de informatii si pentru a arata clar cum anume sunt datele protejate.

4. Asigurati-va ca datele sunt protejate corespunzator

Platforma unica unde stocati datele personale trebuie sa fie securizata. Asta presupune indeplinirea urmatoarelor conditii:

5. Dezvoltati un mecanism intern de istoric si management al datelor

Prevederile GDRP cer fiecarei companii sa poata pune la dispozitia autoritatilor, daca este necesar, doua tipuri de documentatii:

Primul document trebuie realizat prioritar, din momentul in care incepeti sa va pregatiti pentru implementarea GDPR. Nu puteti cunoaste unde sunt punctele slabe ale securizarii datelor pe care le prelucrati, pana cand nu este clar cum sunt ele procesate, ce departamente si persoane au acces la ce date si unde sunt ele transmise mai departe, stocate, s.a.m.d.

A doua parte a documentatiei necesita crearea unei proceduri interne de lucru care sa fie apoi respectata de toate persoanele implicate in traseul datelor procesate. Prevederile GDPR lasa greutatea evidentei si a dovezilor de corectitudine in sarcina companiilor, deci trebuie sa va asigurati ca tot ceea ce se face (stergeri la cererea utilizatorului, procesari, transmiteri etc.) este documentat in mod detaliat si consistent.

6. Asigurati o comunicare transparenta si deschisa cu proprietarii datelor (utilizatorii/persoane vizate)

GDPR prevede o transparenta totala fata de utilizatori in privinta modului in care datele lor sunt folosite, chestiune ce impune informarea persoanelor vizate (a se vedea in continuare ce presupune aceasta informare).

Ca temeiuri legale de prelucrare a datelor cu caracter personal in contextul analizat, respectiv transferul de bani, mentionam ca pot fi incidente urmatoarele temeiuri legale de prelucrare: art. 6 alin. (1) lit. a), b), c), e), f) si/ art. 9 alin. (2) lit. a), f), j) sau b), h) (in cazul personalului propriu al companiei) din Regulamentul nr. 679/2016, temeiuri legale care difera in raport de activitatile concrete si scopurile prelucrarii.