4
Οδηγίες προς όλα τα *Αδειοδοτημένα Πιστωτικά Ιδρύματα (ΑΠΙ) που λειτουργούν στη Δημοκρατία για καθορισμό του χρονικού διαστήματος διατήρησης δεδομένων πελατών / συνδεδεμένων προσώπων /εγγυητών (Αρ. 1/2017) και Συμπληρωματικές Οδηγίες (Αρ. 2/2017)
8 Αυγούστου 2017
ΟΔΗΓΙΕΣ (Αρ. 1/2017)
Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα
Με βάση τις εξουσίες που μου απονέμουν οι διατάξεις του άρθρου 23(1) του περί Επεξεργασίας Δεδομένων Προσωπικού Χαρακτήρα (Προστασία του Ατόμου) Νόμου του 2001, Ν. 138(Ι)/2001, όπως τροποποιήθηκε, εφεξής «ο Νόμος» δυνάμει των οποίων –
«23.- Ο Επίτροπος έχει τις εξής αρμοδιότητες:
(α) Εκδίδει οδηγίες ως προς την ενιαία εφαρμογή των ρυθμίσεων που αφορούν την προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα.».
Μέρος Α - Νομική βάση: Οι διατάξεις του άρθρου «4.-(1)(ε) Ο υπεύθυνος επεξεργασίας διασφαλίζει ότι τα δεδομένα προσωπικού χαρακτήρα-
Αρχή της διατήρησης:
(ε) διατηρούνται σε μορφή που να επιτρέπει τον προσδιορισμό της ταυτότητας των υποκειμένων τους μόνο κατά τη διάρκεια της περιόδου που απαιτείται για την πραγματοποίηση των σκοπών της συλλογής τους και της επεξεργασίας τους».
Μέρος Β - Σκοπός: Οι παρούσες Οδηγίες σκοπό έχουν την ομοιόμορφη και ενιαία ρύθμιση της χρονικής περιόδου διατήρησης των δεδομένων που αφορούν πελάτες/συνδεδεμένα πρόσωπα /εγγυητές από τα ΑΠΙ.
Ύστερα από διαβουλεύσεις και ανταλλαγή απόψεων για το θέμα ιδίως με το Σύνδεσμο Τραπεζών Κύπρου και αφού λήφθηκαν υπόψη σε μεγάλο βαθμό οι απόψεις /ανησυχίες του Συνδέσμου καθώς επίσης και όλες οι σχετικές νομοθετικές ρυθμίσεις (πρωτογενείς και δευτερογενείς) οι οποίες επιβάλλουν υποχρέωση διατήρησης των δεδομένων για συγκεκριμένες χρονικές περιόδους εκδίδω τις κατωτέρω Οδηγίες οι οποίες θα έχουν άμεση εφαρμογή από όλα τα ΑΠΙ.
*Τα ΑΠΙ έχουν την έννοια που τους προσδίδουν οι διατάξεις του άρθρου 2 περί Εργασιών Πιστωτικών Ιδρυμάτων Νόμου του 1997 μέχρι 2000, όπως εκάστοτε τροποποιείται:
«αδειοδοτημένο πιστωτικό ίδρυμα" ή "ΑΠΙ" σημαίνει οποιοδήποτε από τα ακόλουθα:
(α) πιστωτικό ίδρυμα που συστάθηκε στη Δημοκρατία και στο οποίο χορηγήθηκε άδεια λειτουργίας δυνάμει των διατάξεων του παρόντος Νόμου,
(β) υποκατάστημα ιδρύματος τρίτης χώρας,
(γ) τον Οργανισμό Χρηματοδοτήσεως Στέγης που διέπεται από τον περί Οργανισμού Χρηματοδοτήσεως Στέγης Νόμο∙
Μέρος Γ - Πεδίο εφαρμογής: Οι παρούσες Οδηγίες:
1. Ισχύουν για όλα τα ΑΠΙ και καλύπτουν τόσο τα προσωπικά δεδομένα σε ηλεκτρονικό (αυτοματοποιημένο) αρχείο όσο και τα προσωπικά δεδομένα σε (έντυπο) μη αυτοματοποιημένο αρχείο και αφορούν τόσο στα ΑΠΙ ως υπεύθυνους επεξεργασίας όσο και στους εκτελούντες την επεξεργασία.
2. Ισχύουν για «πρώην πελάτες» (συμπεριλαμβανομένων συνδεδεμένων προσώπων και εγγυητών) με την έννοια ότι αφορά στα υποκείμενα των δεδομένων για την περίοδο μετά τη «*λήξη της συμβατικής τους σχέσης» και /ή το κλείσιμο του λογαριασμού με τα ΑΠΙ και μόνο σε εκείνες τις περιπτώσεις κατά τις οποίες δεν υφίστανται οποιεσδήποτε οικονομικές /νομικές ή και άλλες εκκρεμότητες ή διαφορές με τα ΑΠΙ.
Σημείωση 1: η διατήρηση των δεδομένων δεν περιορίζεται χρονικά σε περίπτωση εκκρεμούσας δικαστικής διαδικασίας ή αρχόμενης έρευνας από Υπηρεσία της Δημοκρατίας, η χρονική περίοδος αρχίζει να μετρά από την ημερομηνία της οριστικής λήξης και /ή περάτωσής τους.
Σημείωση 2: Με την έννοια * «λήξη της συμβατικής σχέσης» νοείται η γενική καθολική συμβατική σχέση ανά πελάτη και όχι ανά λογαριασμό.
3. Ισχύει ειδική ρύθμιση για «υποψήφιους πελάτες», με την έννοια ότι δεν έχει ολοκληρωθεί και/ή δεν έχει δημιουργηθεί συμβατική /επιχειρηματική σχέση με το ΑΠΙ (είτε γιατί το αίτημα για πιστωτική διευκόλυνση έχει απορριφθεί από το ΑΠΙ είτε γιατί το σχετικό αίτημα για λήψη πιστωτικής διευκόλυνσης έχει αποσυρθεί από τα ίδια τα υποκείμενα των δεδομένων).
Μέρος Δ - ΟΔΗΓΙΕΣ /Ρυθμίσεις:
1.1 Το χρονικό διάστημα διατήρησης των δεδομένων της παρ. 2 του μέρους Γ των Οδηγιών δεν πρέπει στο σύνολο να υπερβαίνει τα «δέκα έτη».
1.2. Για χρονική περίοδο οκτώ ετών, τα δεδομένα θα διατηρούνται και θα είναι άμεσα προσβάσιμα, τηρουμένων των επιπέδων πρόσβασης στη βάση της αρχής “need to know basis” και της κατά περίπτωση εξουσιοδότησης των υπαλλήλων των ΑΠΙ.
1.3. Μετά από τη λήξη του 8ου έτους και εφόσον δεν έχει στο μεταξύ ξεκινήσει οποιαδήποτε διαδικασία, τηρουμένης της Σημείωσης 1 του Μέρους Γ στις παρούσες Οδηγίες, τα δεδομένα θα πρέπει να αρχειοθετούνται κατά τρόπο ώστε να τηρούνται ξεχωριστά από τα λοιπά δεδομένα και η πρόσβαση σε αυτά να είναι αυστηρά περιορισμένη.
1.4 Η αρχειοθέτηση έχει την έννοια της φύλαξης των δεδομένων σε ξεχωριστό αρχείο με αυστηρά περιορισμένη προσβασιμότητα, (ειδική εξουσιοδότηση /κατ’εξαίρεση πρόσβαση).
1.5 Κάθε ειδικά εξουσιοδοτημένη πρόσβαση και /ή κατ’εξαίρεση πρόσβαση στο ηλεκτρονικό ή έντυπο αρχείο που θα διενεργείται κατά την περίοδο της αρχειοθέτησης (9ο και 10ο έτος) θα πρέπει να καταγράφεται σε ειδικό μητρώο αρχειοθέτησης που θα τηρεί κάθε ΑΠΙ και το οποίο, αν ζητηθεί, θα διαβιβάζεται στο Γραφείο της Επιτρόπου ετησίως.
2. Ειδική ρύθμιση αναφορικά με τους υποψήφιους πελάτες:
Το χρονικό διάστημα διατήρησης των δεδομένων της παρ. 3 του μέρους Γ των Οδηγιών ορίζεται στους έξι μήνες από την κοινοποίηση της απόρριψης του αιτήματός τους ή από την απόσυρση της αίτησής τους.
Μέρος Ε - Έναρξη ισχύος
Οι παρούσες Οδηγίες έχουν άμεση ισχύ από την ημερομηνία έκδοσης και ανάρτησής τους στην ιστοσελίδα του Γραφείου μου (8 Αυγούστου 2017).
8 Σεπτεμβρίου 2017
ΣΥΜΠΛΗΡΩΜΑΤΙΚΕΣ ΟΔΗΓΙΕΣ (Αρ.2/2017) ΕΠΙΤΡΟΠΟΥ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ
Οι πιο κάτω οδηγίες συμπληρώνουν τις Οδηγίες (Αρ.1/2017) ημερ. 8/8/2017 προς όλα τα *Αδειοδοτημένα Πιστωτικά Ιδρύματα (ΑΠΙ) που λειτουργούν στη Δημοκρατία για καθορισμό του χρονικού διαστήματος διατήρησης δεδομένων πελατών / συνδεδεμένων προσώπων /εγγυητών
1. Μέρος Γ - Πεδίο εφαρμογής: Οι παρούσες Οδηγίες συμπληρώνουν τις προηγούμενες Οδηγίες (Αρ.1/2017) ημερ. 8/8/2017:
Με την αντικατάσταση της Σημείωσης 1. της παρ. 2 του Μέρους Γ. με την ακόλουθη νέα:
Σημείωση 1: η διατήρηση των δεδομένων δεν περιορίζεται χρονικά σε περίπτωση εκκρεμούσας δικαστικής διαδικασίας ή αρχόμενης έρευνας από Υπηρεσία της Δημοκρατίας, η χρονική περίοδος αρχίζει να μετρά από την ημερομηνία της οριστικής λήξης και /ή περάτωσής τους, νοουμένου ότι σε κάθε περίπτωση τα ΑΠΙ έχουν λάβει γνώση σχετικά με την περίπτωση εκκρεμούσας δικαστικής διαδικασίας ή αρχόμενης έρευνας από Υπηρεσία της Δημοκρατίας, εντός της χρονικής περιόδου των 10 (δέκα) ετών.
2. Μέρος Δ - ΟΔΗΓΙΕΣ /Ρυθμίσεις: Οι παρούσες Οδηγίες συμπληρώνουν τις προηγούμενες Οδηγίες (Αρ.1/2017) ημερ. 8/8/2017:
Με την προσθήκη της ακόλουθης επιφύλαξης μετά το τέλος της Οδηγίας 1.1 του Μέρους Δ.:
Νοείται ότι µετά το πέρας του προβλεπόμενου χρόνου τήρησης των 10 (δέκα) ετών συνολικά τα ΑΠΙ μεριμνούν για τη διαγραφή /καταστροφή των δεδομένων μέσω ασφαλών διαδικασιών ύστερα από την ολοκλήρωση των οποίων η ανάκτηση των δεδοµένων και /ή αναγνώριση των υποκειμένων των δεδομένων µε τεχνικά ή άλλα µέσα δεν καθίσταται δυνατή.
3. Μέρος Δ - ΟΔΗΓΙΕΣ /Ρυθμίσεις: Οι παρούσες Οδηγίες συμπληρώνουν τις προηγούμενες Οδηγίες (Αρ.1/2017) ημερ. 8/8/2017:
Με την αντικατάσταση της Οδηγίας / Ρύθμισης 1.4 του Μέρους Δ με την ακόλουθη νέα:
«1.4 Η αρχειοθέτηση έχει την έννοια της φύλαξης των δεδομένων σε ξεχωριστό αρχείο ή την εναπόθεση ειδικής σήμανσης στα δεδομένα με σκοπό την αυστηρά περιορισμένη προσβασιμότητα, (ειδική εξουσιοδότηση /κατ’εξαίρεση πρόσβαση).».
Ως ημερομηνία έναρξης ισχύος των Συμπληρωματικών Οδηγιών ορίζεται η 8η Αυγούστου 2017 ημερομηνία έκδοσης και ανάρτησης των προηγούμενων Οδηγιών μου (Αρ.1/2017).
Για να κατεβάσετε τις πιο πάνω οδηγίες σε μορφή pdf πατήστε εδώ.