Οδηγίες προς τις Τράπεζες της Κύπρου για καθορισμό του χρονικού διαστήματος διατήρησης προσωπικών δεδομένων πελατών
Αναρτήθηκαν Οδηγίες του Επιτρόπου Προστασίας Δεδομένων Προσωπικού
Χαρακτήρα προς όλα τα Αδειοδοτημένα Πιστωτικά Ιδρύματα (ΑΠΙ) που λειτουργούν
στη Δημοκρατία για καθορισμό του χρονικού διαστήματος διατήρησης δεδομένων
πελατών / συνδεδεμένων προσώπων /εγγυητών. Οι οδηγίες έχουν ως εξής:
"Με
βάση τις εξουσίες που μου απονέμουν οι διατάξεις του άρθρου 23(1) του περί
Επεξεργασίας Δεδομένων Προσωπικού Χαρακτήρα (Προστασία του Ατόμου) Νόμου του
2001, Ν. 138(Ι)/2001, όπως τροποποιήθηκε, εφεξής «ο Νόμος» δυνάμει των οποίων –
«23.- Ο Επίτροπος έχει τις εξής αρμοδιότητες:
«23.- Ο Επίτροπος έχει τις εξής αρμοδιότητες:
(α) Εκδίδει
οδηγίες ως προς την ενιαία εφαρμογή των ρυθμίσεων που αφορούν την προστασία του
ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα.».
Μέρος Α - Νομική βάση: Οι διατάξεις του άρθρου «4.-(1)(ε) Ο υπεύθυνος επεξεργασίας διασφαλίζει ότι τα δεδομένα προσωπικού χαρακτήρα-
Αρχή της διατήρησης:
(ε) διατηρούνται σε μορφή που να επιτρέπει τον προσδιορισμό της ταυτότητας των υποκειμένων τους μόνο κατά τη διάρκεια της περιόδου που απαιτείται για την πραγματοποίηση των σκοπών της συλλογής τους και της επεξεργασίας τους».
Μέρος Β - Σκοπός: Οι παρούσες Οδηγίες σκοπό έχουν την ομοιόμορφη και ενιαία ρύθμιση της χρονικής περιόδου διατήρησης των δεδομένων που αφορούν πελάτες/συνδεδεμένα πρόσωπα /εγγυητές από τα ΑΠΙ.
Ύστερα από διαβουλεύσεις και ανταλλαγή απόψεων για το θέμα ιδίως με το Σύνδεσμο Τραπεζών Κύπρου και αφού λήφθηκαν υπόψη σε μεγάλο βαθμό οι απόψεις /ανησυχίες του Συνδέσμου καθώς επίσης και όλες οι σχετικές νομοθετικές ρυθμίσεις (πρωτογενείς και δευτερογενείς) οι οποίες επιβάλλουν υποχρέωση διατήρησης των δεδομένων για συγκεκριμένες χρονικές περιόδους εκδίδω τις κατωτέρω Οδηγίες οι οποίες θα έχουν άμεση εφαρμογή από όλα τα ΑΠΙ.
Μέρος Α - Νομική βάση: Οι διατάξεις του άρθρου «4.-(1)(ε) Ο υπεύθυνος επεξεργασίας διασφαλίζει ότι τα δεδομένα προσωπικού χαρακτήρα-
Αρχή της διατήρησης:
(ε) διατηρούνται σε μορφή που να επιτρέπει τον προσδιορισμό της ταυτότητας των υποκειμένων τους μόνο κατά τη διάρκεια της περιόδου που απαιτείται για την πραγματοποίηση των σκοπών της συλλογής τους και της επεξεργασίας τους».
Μέρος Β - Σκοπός: Οι παρούσες Οδηγίες σκοπό έχουν την ομοιόμορφη και ενιαία ρύθμιση της χρονικής περιόδου διατήρησης των δεδομένων που αφορούν πελάτες/συνδεδεμένα πρόσωπα /εγγυητές από τα ΑΠΙ.
Ύστερα από διαβουλεύσεις και ανταλλαγή απόψεων για το θέμα ιδίως με το Σύνδεσμο Τραπεζών Κύπρου και αφού λήφθηκαν υπόψη σε μεγάλο βαθμό οι απόψεις /ανησυχίες του Συνδέσμου καθώς επίσης και όλες οι σχετικές νομοθετικές ρυθμίσεις (πρωτογενείς και δευτερογενείς) οι οποίες επιβάλλουν υποχρέωση διατήρησης των δεδομένων για συγκεκριμένες χρονικές περιόδους εκδίδω τις κατωτέρω Οδηγίες οι οποίες θα έχουν άμεση εφαρμογή από όλα τα ΑΠΙ.
*Τα ΑΠΙ έχουν την
έννοια που τους προσδίδουν οι διατάξεις του άρθρου 2 περί Εργασιών Πιστωτικών
Ιδρυμάτων Νόμου του 1997 μέχρι 2000, όπως εκάστοτε τροποποιείται:
«αδειοδοτημένο πιστωτικό ίδρυμα" ή "ΑΠΙ" σημαίνει οποιοδήποτε από τα ακόλουθα:
(α) πιστωτικό ίδρυμα που συστάθηκε στη Δημοκρατία και στο οποίο χορηγήθηκε άδεια λειτουργίας δυνάμει των διατάξεων του παρόντος Νόμου,
(β) υποκατάστημα ιδρύματος τρίτης χώρας,
(γ) τον Οργανισμό Χρηματοδοτήσεως Στέγης που διέπεται από τον περί Οργανισμού Χρηματοδοτήσεως Στέγης Νόμο∙
Μέρος Γ - Πεδίο εφαρμογής: Οι παρούσες Οδηγίες –
1. Ισχύουν για όλα τα ΑΠΙ και καλύπτουν τόσο τα προσωπικά δεδομένα σε ηλεκτρονικό (αυτοματοποιημένο) αρχείο όσο και τα προσωπικά δεδομένα σε (έντυπο) μη αυτοματοποιημένο αρχείο και αφορούν τόσο στα ΑΠΙ ως υπεύθυνους επεξεργασίας όσο και στους εκτελούντες την επεξεργασία.
2. Ισχύουν για «πρώην πελάτες» (συμπεριλαμβανομένων συνδεδεμένων προσώπων και εγγυητών) με την έννοια ότι αφορά στα υποκείμενα των δεδομένων για την περίοδο μετά τη «*λήξη της συμβατικής τους σχέσης» και /ή το κλείσιμο του λογαριασμού με τα ΑΠΙ και μόνο σε εκείνες τις περιπτώσεις κατά τις οποίες δεν υφίστανται οποιεσδήποτε οικονομικές /νομικές ή και άλλες εκκρεμότητες ή διαφορές με τα ΑΠΙ.
Σημείωση 1: η διατήρηση των δεδομένων δεν περιορίζεται χρονικά σε περίπτωση εκκρεμούσας δικαστικής διαδικασίας ή αρχόμενης έρευνας από Υπηρεσία της Δημοκρατίας, η χρονική περίοδος αρχίζει να μετρά από την ημερομηνία της οριστικής λήξης και /ή περάτωσής τους.
Σημείωση 2: Με την έννοια * «λήξη της συμβατικής σχέσης» νοείται η γενική καθολική συμβατική σχέση ανά πελάτη και όχι ανά λογαριασμό.
3. Ισχύει ειδική ρύθμιση για «υποψήφιους πελάτες», με την έννοια ότι δεν έχει ολοκληρωθεί και/ή δεν έχει δημιουργηθεί συμβατική /επιχειρηματική σχέση με το ΑΠΙ (είτε γιατί το αίτημα για πιστωτική διευκόλυνση έχει απορριφθεί από το ΑΠΙ είτε γιατί το σχετικό αίτημα για λήψη πιστωτικής διευκόλυνσης έχει αποσυρθεί από τα ίδια τα υποκείμενα των δεδομένων).
«αδειοδοτημένο πιστωτικό ίδρυμα" ή "ΑΠΙ" σημαίνει οποιοδήποτε από τα ακόλουθα:
(α) πιστωτικό ίδρυμα που συστάθηκε στη Δημοκρατία και στο οποίο χορηγήθηκε άδεια λειτουργίας δυνάμει των διατάξεων του παρόντος Νόμου,
(β) υποκατάστημα ιδρύματος τρίτης χώρας,
(γ) τον Οργανισμό Χρηματοδοτήσεως Στέγης που διέπεται από τον περί Οργανισμού Χρηματοδοτήσεως Στέγης Νόμο∙
Μέρος Γ - Πεδίο εφαρμογής: Οι παρούσες Οδηγίες –
1. Ισχύουν για όλα τα ΑΠΙ και καλύπτουν τόσο τα προσωπικά δεδομένα σε ηλεκτρονικό (αυτοματοποιημένο) αρχείο όσο και τα προσωπικά δεδομένα σε (έντυπο) μη αυτοματοποιημένο αρχείο και αφορούν τόσο στα ΑΠΙ ως υπεύθυνους επεξεργασίας όσο και στους εκτελούντες την επεξεργασία.
2. Ισχύουν για «πρώην πελάτες» (συμπεριλαμβανομένων συνδεδεμένων προσώπων και εγγυητών) με την έννοια ότι αφορά στα υποκείμενα των δεδομένων για την περίοδο μετά τη «*λήξη της συμβατικής τους σχέσης» και /ή το κλείσιμο του λογαριασμού με τα ΑΠΙ και μόνο σε εκείνες τις περιπτώσεις κατά τις οποίες δεν υφίστανται οποιεσδήποτε οικονομικές /νομικές ή και άλλες εκκρεμότητες ή διαφορές με τα ΑΠΙ.
Σημείωση 1: η διατήρηση των δεδομένων δεν περιορίζεται χρονικά σε περίπτωση εκκρεμούσας δικαστικής διαδικασίας ή αρχόμενης έρευνας από Υπηρεσία της Δημοκρατίας, η χρονική περίοδος αρχίζει να μετρά από την ημερομηνία της οριστικής λήξης και /ή περάτωσής τους.
Σημείωση 2: Με την έννοια * «λήξη της συμβατικής σχέσης» νοείται η γενική καθολική συμβατική σχέση ανά πελάτη και όχι ανά λογαριασμό.
3. Ισχύει ειδική ρύθμιση για «υποψήφιους πελάτες», με την έννοια ότι δεν έχει ολοκληρωθεί και/ή δεν έχει δημιουργηθεί συμβατική /επιχειρηματική σχέση με το ΑΠΙ (είτε γιατί το αίτημα για πιστωτική διευκόλυνση έχει απορριφθεί από το ΑΠΙ είτε γιατί το σχετικό αίτημα για λήψη πιστωτικής διευκόλυνσης έχει αποσυρθεί από τα ίδια τα υποκείμενα των δεδομένων).
Μέρος Δ -
ΟΔΗΓΙΕΣ /Ρυθμίσεις:
1.1 Το χρονικό διάστημα διατήρησης των δεδομένων της παρ. 2 του μέρους Γ των Οδηγιών δεν πρέπει στο σύνολο να υπερβαίνει τα «δέκα έτη».
1.2. Για χρονική περίοδο οκτώ ετών, τα δεδομένα θα διατηρούνται και θα είναι άμεσα προσβάσιμα, τηρουμένων των επιπέδων πρόσβασης στη βάση της αρχής “need to know basis” και της κατά περίπτωση εξουσιοδότησης των υπαλλήλων των ΑΠΙ.
1.3.
Μετά από τη λήξη του 8ου έτους και εφόσον δεν έχει στο μεταξύ
ξεκινήσει οποιαδήποτε διαδικασία, τηρουμένης της Σημείωσης 1 του
Μέρους Γ στις παρούσες Οδηγίες, τα δεδομένα θα πρέπει να
αρχειοθετούνται κατά τρόπο ώστε να τηρούνται ξεχωριστά από τα λοιπά δεδομένα
και η πρόσβαση σε αυτά να είναι αυστηρά περιορισμένη. 1.1 Το χρονικό διάστημα διατήρησης των δεδομένων της παρ. 2 του μέρους Γ των Οδηγιών δεν πρέπει στο σύνολο να υπερβαίνει τα «δέκα έτη».
1.2. Για χρονική περίοδο οκτώ ετών, τα δεδομένα θα διατηρούνται και θα είναι άμεσα προσβάσιμα, τηρουμένων των επιπέδων πρόσβασης στη βάση της αρχής “need to know basis” και της κατά περίπτωση εξουσιοδότησης των υπαλλήλων των ΑΠΙ.
1.4 Η
αρχειοθέτηση έχει την έννοια της φύλαξης των δεδομένων σε ξεχωριστό αρχείο με
αυστηρά περιορισμένη προσβασιμότητα, (ειδική εξουσιοδότηση /κατ’εξαίρεση
πρόσβαση).
1.5 Κάθε ειδικά εξουσιοδοτημένη πρόσβαση και /ή κατ’εξαίρεση πρόσβαση στο ηλεκτρονικό ή έντυπο αρχείο που θα διενεργείται κατά την περίοδο της αρχειοθέτησης (9ο και 10ο έτος) θα πρέπει να καταγράφεται σε ειδικό μητρώο αρχειοθέτησης που θα τηρεί κάθε ΑΠΙ και το οποίο, αν ζητηθεί, θα διαβιβάζεται στο Γραφείο της Επιτρόπου ετησίως.
2. Ειδική ρύθμιση αναφορικά με τους υποψήφιους πελάτες:
Το χρονικό διάστημα διατήρησης των δεδομένων της παρ. 3 του μέρους Γ των Οδηγιών ορίζεται στους έξι μήνες από την κοινοποίηση της απόρριψης του αιτήματός τους ή από την απόσυρση της αίτησής τους.
Μέρος Ε - Έναρξη ισχύος
Οι παρούσες Οδηγίες έχουν άμεση ισχύ από την ημερομηνία έκδοσης και ανάρτησής τους στην ιστοσελίδα του Γραφείου μου".
1.5 Κάθε ειδικά εξουσιοδοτημένη πρόσβαση και /ή κατ’εξαίρεση πρόσβαση στο ηλεκτρονικό ή έντυπο αρχείο που θα διενεργείται κατά την περίοδο της αρχειοθέτησης (9ο και 10ο έτος) θα πρέπει να καταγράφεται σε ειδικό μητρώο αρχειοθέτησης που θα τηρεί κάθε ΑΠΙ και το οποίο, αν ζητηθεί, θα διαβιβάζεται στο Γραφείο της Επιτρόπου ετησίως.
2. Ειδική ρύθμιση αναφορικά με τους υποψήφιους πελάτες:
Το χρονικό διάστημα διατήρησης των δεδομένων της παρ. 3 του μέρους Γ των Οδηγιών ορίζεται στους έξι μήνες από την κοινοποίηση της απόρριψης του αιτήματός τους ή από την απόσυρση της αίτησής τους.
Μέρος Ε - Έναρξη ισχύος
Οι παρούσες Οδηγίες έχουν άμεση ισχύ από την ημερομηνία έκδοσης και ανάρτησής τους στην ιστοσελίδα του Γραφείου μου".
Σχόλια