Audit GDPR public: 18 deficiențe într-un acord broker de credit (caz real, anonimizat)

Documentul analizat în articolul de față este public, accesibil oricui de pe site-ul brokerului. Reprezintă un model copiat de zeci de companii similare. Lecțiile sunt valabile pentru orice operator B2C din România care prelucrează CNP, date financiare sau categorii speciale de date.

Anonimizare. Numele brokerului, CUI-ul, adresa și emailurile au fost înlocuite generic cu „Brokerul X" și „[anonimizat]". Citatele sunt textuale. Articolul are scop educațional și nu reprezintă consultanță juridică.

Cuprins

Context: cine e Brokerul X și ce document analizăm
Sumar executiv: 18 deficiențe pe categorii
Categoria A — Temei juridic greșit (3 probleme)
Categoria B — Consimțământ defectuos (4 probleme)
Categoria C — Informații Art. 13 lipsă (4 probleme)
Categoria D — CNP fără Legea 190/2018 (1 problemă)
Categoria E — Contradicții interne (3 probleme)
Categoria F — Securitate Art. 32 absentă (1 problemă)
Categoria G — Relații cu terți neclare (2 probleme)
Cum se rezolvă fiecare cu MYDESKS
Concluzie + lecții pentru orice operator B2C

Context: cine e Brokerul X

Profil operator. Persoană juridică română, intermediar de credite bancare conform OUG 52/2016, sediu București, echipă probabil sub 5 angajați. Activitate principală: pune în relație consumatori persoane fizice cu instituții financiar-bancare pentru credite imobiliare și de consum.

Date prelucrate. CNP, serie/număr act identitate, venituri (inclusiv ale soțului/codebitorilor), proprietăți deținute sau care urmează a fi achiziționate (garanții credit), date contact, IBAN. Plus profilare comportamentală și marketing.

Document analizat. Un act hibrid intitulat „Acord de Reprezentare și de Prelucrare a Datelor cu Caracter Personal", ~4 pagini, semnat de consumator înainte de începerea procesului de intermediere. Combină contract de servicii + notă de informare GDPR + consimțământ marketing.

Verdict global. Document redactat după model pre-GDPR, cu adaosuri formale. Neconform pe puncte critice. Risc estimat sancțiune ANSPDCP la audit: MEDIU-RIDICAT (5-15.000 EUR conform tendinței ultimilor 2 ani).

Sumar executiv: 18 deficiențe pe categorii

Cat.	Categorie	Probleme	Severitate medie
A	Temei juridic greșit	3	CRITIC
B	Consimțământ defectuos	4	CRITIC
C	Informații Art. 13 lipsă	4	RIDICAT
D	CNP fără Legea 190/2018	1	CRITIC
E	Contradicții interne	3	MEDIU
F	Securitate Art. 32 absentă	1	RIDICAT
G	Relații cu terți neclare	2	RIDICAT

Categoria A — Temei juridic greșit

Cea mai gravă greșeală a documentului: tot ce face brokerul cu datele consumatorului este atribuit consimțământului. În realitate, fiecare scop are temei juridic diferit.

CRITICA.1 — Toate prelucrările pe consimțământ

CMG Broker S.R.L are nevoie de consimțământul explicit al Consumatorului pentru a putea continua comunicarea și procesul de intermediere credite – păstrând datele cu caracter personal și documentele pe care acesta le-a furnizat— clauza 2.4(a) din document

Problema. Intermedierea creditului nu se bazează pe consimțământ. Bază reală: Art. 6(1)(b) GDPR — executarea unui contract (Acordul de Reprezentare). Consecință: dacă consumatorul retrage consimțământul, conform documentului ar trebui să se oprească totul — dar contractul de servicii oricum permitea prelucrarea fără consimțământ.

Risc concret. ANSPDCP a sancționat exact astfel de greșeli — folosirea consimțământului acolo unde temeiul corect e contractul/obligația legală — fiind considerată „inducere în eroare" a persoanei vizate.

CRITICA.2 — Lipsește temeiul AML / Legea 656/2002

Brokerul de credit este entitate raportoare AML (Legea 656/2002, în prezent Legea 129/2019) și are obligație legală să colecteze și păstreze datele KYC (CNP, document identitate, sursa fondurilor) timp de minim 5 ani după încheierea relației.

Documentul nu menționează nicăieri că o parte din prelucrare se bazează pe Art. 6(1)(c) — obligație legală. Asta e omisiune materială.

RIDICATA.3 — Marketing și contract amestecate la nivel de temei

Marketing direct (clauza 2.7) e legitim doar pe Art. 6(1)(a) — consimțământ explicit. Documentul îl tratează în aceeași clauză cu intermedierea, ceea ce creează ambiguitate. Persoana vizată nu poate discerne ce e obligatoriu (contract) vs opțional (marketing).

Categoria B — Consimțământ defectuos

CRITICB.1 — Consimțământ „bundled" pentru marketing + parteneri + profilare

Consumatorul confirmă că înțelege că datele sale cu caracter personal vor fi prelucrate de catre CMG Broker S.R.L. sau de către partenerii companiei, pentru scopuri de marketing direct, inclusiv profilare în scop de marketing, efectuate de acestea din urmă în legatură cu produsele și serviciile lor și este/nu este de accord cu prelucrarea acestor date prin bifarea opțiunii de mai jos: ☐ SUNT DE ACORD ☐ NU SUNT DE ACORD— clauza 2.7

Problema. Un singur checkbox acoperă trei prelucrări distincte: (1) marketing CMG Broker, (2) marketing parteneri (nominalizare lipsă), (3) profilare comportamentală. Încălcă explicit Art. 7(2) GDPR — consimțământul trebuie să fie specific per scop. Recital 43 GDPR clarifică.

Soluție. Trei checkbox-uri separate, sau categorii nominalizate de parteneri (banci, asigurători, evaluatori — fiecare cu acord propriu).

CRITICB.2 — Profilare fără disclosure Art. 22 GDPR

Documentul menționează „profilare în scop de marketing" la clauza 2.7, dar nu explică: ce se profilează, ce consecințe are profilarea (ofertă, preț, eligibilitate), drept la intervenție umană, drept la opt-out specific (Art. 21).

Art. 22 GDPR cere informare specifică despre logica și semnificația deciziilor automatizate. Bifa „SUNT DE ACORD" fără context = consimțământ neinformat → invalid.

RIDICATB.3 — Mecanism de retragere a consimțământului nespecificat

Clauza 2.4(d) menționează „dreptul de a retrage consimțământul în orice moment" dar nu spune cum: email? formular? telefon? termen răspuns? Art. 7(3) GDPR cere ca retragerea să fie la fel de ușoară ca acordarea. Bifa la semnare durează 2 secunde; retragerea trebuie să dureze tot 2 secunde.

MEDIUB.4 — „Acceptul" vs „consimțământ" amestecate

Clauza 2.1 folosește „acceptul", clauza 2.4 folosește „consimțământul" — termeni juridici diferiți tratați ca sinonime. Sub GDPR, doar „consimțământul" e termen formal cu cerințele Art. 4(11) și 7. „Acceptul" e colocvial.

Categoria C — Informații Art. 13 lipsă

Articolul 13 GDPR enumeră 11 categorii de informații obligatorii la colectare. Documentul Brokerului X omite jumătate.

CRITICC.1 — Contact DPO lipsă

Brokerul de credit prelucrează date financiare la scară largă pe persoane fizice — Art. 37(1)(b) GDPR (monitorizare sistematică) sau (c) (categorii speciale de date — fluxurile financiare pot include date de natură rezidențială/etnică în scoring) sunt aplicabile. Probabilitate ridicată că DPO e obligatoriu.

Documentul nu menționează DPO sau punct de contact pentru cereri data subject. Omitere a unui drept fundamental.

RIDICATC.2 — Termen retenție vag/perpetuu

datele vor fi stocate de catre CMG Broker S.R.L, numai în scopul asigurării accesului Consumatorului la produsele din domeniul financiar- bancar, care sunt în sfera de interes a Consumatorului, sau în scop de informare comercială.— clauza 2.4(c)

Problema. „În scopul asigurării accesului... sau în scop de informare" = perpetuu, atâta timp cât există relația. Asta încălcă Art. 5(1)(e) GDPR — limitarea stocării. Trebuie termene concrete: ex. „10 ani după încheierea relației conform Legii 656/2002 (AML); 3 ani pentru date marketing post-retragere consimțământ; ștergere automată după aceste termene."

RIDICATC.3 — ANSPDCP neidentificată concret

Clauza 2.4(d) menționează „dreptul de a face plângere la autoritatea de supraveghere". Generic. Art. 13(2)(d) cere nominalizarea autorității cu adresă, telefon, email, website. Trebuie scris explicit:

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) — B-dul G-ral Gheorghe Magheru 28-30, Sector 1, București; tel: 031 805 9211; email: anspdcp@dataprotection.ro; web: dataprotection.ro

RIDICATC.4 — Drepturi data subject incomplete

Clauza 2.4(d) listează: acces, rectificare, blocare, ștergere, restricționare, retragere consimțământ, plângere. Lipsesc:

Dreptul la portabilitate (Art. 20)
Dreptul la opoziție (Art. 21) — relevant special pentru marketing direct
Dreptul de a NU face obiectul unei decizii automatizate (Art. 22) — relevant pentru profilare

Plus: termenul „blocarea" e pre-GDPR (Directiva 95/46). Sub GDPR e „restricționarea prelucrării" (Art. 18). Documentul folosește ambele — confuz și redundant.

Categoria D — CNP fără Legea 190/2018

CRITICD.1 — CNP colectat fără măsurile lex specialis

CNP-ul are regim special sub Legea 190/2018 art. 4 (legea română de implementare GDPR). Prelucrarea CNP-ului cere unul din 3 temeiuri PLUS măsuri specifice:

(a) consimțământ explicit + „măsuri tehnice și organizatorice de protecție" expres prevăzute
(b) obligație legală prevăzută expres
(c) executarea unui contract — cu „măsuri tehnice și organizatorice" specifice

Documentul Brokerului X colectează CNP la clauza 2.6(a) dar nu menționează NICIO măsură tehnică (criptare, RBAC, audit log, pseudonimizare). Omisiune materială pe lege specială română — risc de sancțiune mai mare decât pentru încălcările GDPR generale, pentru că legea 190 are sancțiune separată.

Categoria E — Contradicții interne

MEDIUE.1 — 5 zile vs 15 zile

Clauza 2.8 menționează: „termen de 5 zile pentru a lua decizia de a apela la serviciile de intermediere". Clauza 2.9 menționează: „perioada de 15 zile".

Cele două sunt incompatibile în același document. Realitatea legală: OUG 52/2016 Art. 14 prevede 15 zile perioadă obligatorie de reflecție pentru credite imobiliare. Clauza 2.8 e greșită ca cifră.

MEDIUE.2 — Citează „OUG 25/2016" în loc de „OUG 52/2016"

Footnote nr. 1 din document citează „art. 3 punct 5 din OUG nr. 25/2016" pentru definiția intermediarului de credite. Corect e OUG 52/2016 (privind contractele de credit pentru consumatori pentru bunuri imobile). OUG 25/2016 e altceva (sau nu există în această numerotare). Documentul citează incorect chiar legislația de bază pe care își fundamentează existența.

MINORE.3 — „Blocare" și „restricționare" în paralel

Clauza 2.4(d): „blocarea, ștergerea sau restricționarea prelucrării". Sub GDPR, „blocarea" nu mai există ca drept distinct — a fost înlocuită de „restricționarea prelucrării" (Art. 18). Folosirea ambelor termeni denotă document redactat copy-paste din Directiva 95/46 cu suprapuneri GDPR.

Categoria F — Securitate Art. 32 absentă

RIDICATF.1 — Niciun cuvânt despre măsuri tehnice și organizatorice

Art. 32 GDPR: operatorul trebuie să implementeze și să comunice măsuri „adecvate" de securitate. Pentru un broker care manipulează CNP + IBAN + raport de credit, asta înseamnă cel puțin: criptare AES-256 la repaus, HTTPS în tranzit, RBAC pe accesul angajaților, audit log, plan de notificare breșe în 72h conform Art. 33.

Documentul Brokerului X nu menționează absolut nicio măsură. La inspecție ANSPDCP, prima întrebare e „cum protejați CNP-urile?" — fără răspuns scris, e bilant negativ.

Categoria G — Relații cu terți neclare

RIDICATG.1 — Relația broker ↔ bancă: operator separat? Co-operator? Persoană împuternicită?

Când brokerul transmite datele consumatorului către bancă pentru analiză, ar trebui clar dacă e:

Operator separat (own purposes) → fiecare răspunde individual
Co-operator (Art. 26) → trebuie acord de co-operare publicat
Persoană împuternicită (Art. 28) → trebuie contract de procesare cu fiecare bancă

Documentul nu clarifică nicăieri. Implicit pare „operator separat" — atunci ar trebui ca brokerul să identifice concret care bancă primește datele înainte de transmitere, și consumatorul să își dea acord pentru fiecare bancă în parte.

RIDICATG.2 — „Partenerii companiei" neidentificați pentru marketing

Clauza 2.7 menționează prelucrare de marketing „de către partenerii companiei". Cine sunt acești parteneri? Câte firme? În ce domenii? Câte zeci sau sute?

Art. 13(1)(e) GDPR cere destinatarii sau categoriile de destinatari. „Partenerii companiei" generic = nu îndeplinește cerința.

Vrei un audit similar pentru documentele tale?

Începe cu scanul gratuit MYDESKS. Primești în 5 minute un raport personalizat — cu scor de risc, top 3 deficiențe identificate și plan de acțiune 30 de zile.

Începe scanul gratuit → Vezi exemplu de raport

Cum se rezolvă fiecare cu MYDESKS

Pe baza celor 18 deficiențe, mai jos un mapping concret la livrabilele MYDESKS pentru un operator B2C similar:

Categorie	Soluție MYDESKS
A. Temei juridic	S1 Cadrul de Guvernanță generează tabel scop / temei / retenție per fiecare prelucrare. Wizard-ul forțează nominalizare scop, AI mapează la Art. 6(1)(a-f) corect.
B. Consimțământ	S5 Notă de Informare (Growth) generează checkbox-uri separate per scop, cu logica Art. 22 disclosure obligatorie pentru profilare.
C. Art. 13 informații	S5 include cele 9 drepturi enumerate complet, ANSPDCP nominalizată cu adresă, contact DPO din wizard. Wizard Q1.7 evaluează Art. 37 obligativitate DPO.
D. CNP / Legea 190	S1 include paragraf dedicat Legii 190/2018 art. 4 cu măsuri tehnice specifice (criptare AES-256, RBAC, audit log).
E. Coerență	AI determinist (`temperature: 0.1`) elimină contradicțiile între secțiuni. Pre-validare cross-document verifică referințe legislative și termene.
F. Securitate Art. 32	S2 DLP conține tabel 4 niveluri de clasificare date + procedura notificare breșe Art. 33 cu pași concreți.
G. Relații terți	Registrul Art. 30 ROPA (Growth) capturează exact pentru fiecare activitate: destinatari concreți, garanții, statut de operator/împuternicit/co-operator.

Acoperire estimată: ~80% din cele 18 deficiențe sunt rezolvate automat din generare AI + wizard answers + verificare internă MYDESKS. Restul de ~20% (lista exactă a partenerilor de marketing, nominalizarea concretă a băncilor partenere, contactul exact al DPO desemnat) sunt slot-uri marcate [NUME_X] în S5 pe care clientul le completează manual înainte de publicare.

Pentru un operator de tipul Brokerului X, planul recomandat este MYDESKS Growth (750 RON + TVA) care include S5 Notă de Informare GDPR pentru clienții firmei + alerte legislative (modificări la GDPR, AI Act, Legea 190/2018) + actualizări trimestriale.

Concluzie + lecții pentru orice operator B2C

Pattern-ul Brokerului X nu e singular. Documentul analizat e un model copiat de zeci de companii similare — agenții de turism, e-commerce, brokeri de asigurări, clinici private, școli, edituri online. Toate au:

Document hibrid contract + GDPR (greșit — trebuie separate)
Toate prelucrările atribuite consimțământului (greșit — fiecare scop are temeiul lui)
Marketing și profilare bundled în același checkbox (Art. 7(2) violat)
Termen retenție vag (Art. 5(1)(e) violat)
Fără DPO, fără contact specific, fără ANSPDCP nominalizată
CNP fără Legea 190/2018

Test rapid pentru organizația ta. Deschide nota de informare de pe site-ul tău și verifică în ordine:

Ai un tabel cu temei juridic per scop?
Ai checkbox-uri separate pentru fiecare consimțământ?
Ai termen retenție numeric concret (nu „cât e necesar")?
Ai contact DPO sau punct de contact nominalizat?
Ai ANSPDCP cu adresă completă?
Ai cele 9 drepturi GDPR enumerate?
Ai paragraf Legea 190/2018 dacă procesezi CNP?
Ai paragraf Art. 22 dacă faci profilare?
Ai măsuri Art. 32 menționate (criptare, RBAC)?
Ai mecanism concret de retragere a consimțământului?

Răspuns „nu" la 3+ întrebări → ești în zona Brokerului X. Riscul ANSPDCP e real, mai ales cu volumul de inspecții care crește an de an.

Vrei să afli scorul tău?

Scanner-ul MYDESKS evaluează exact aceste 10 puncte (plus altele) și-ți spune în 5 minute unde stai. Gratuit, fără cont, fără cardul de credit.

Începe scanul gratuit → Vezi exemplu de raport