Securitatea datelor personale la iFN-uri din România: ce impune GDPR în 2026

Procesul de solicitare a unui credit online implică transmiterea unor date personale și financiare sensibile — date de identitate, informații despre venituri, acces la istoricul tranzacțiilor bancare prin Open Banking. IFN-urile din România au obligații clare în temeiul Regulamentului General privind Protecția Datelor (GDPR) și al legislației naționale de implementare.

Ce Date Colectează IFN-urile și De Ce

Un IFN autorizat de BNR colectează în mod tipic:

• Date de identificare: CNP, seria și numărul CI, adresa de domiciliu — obligatorii pentru verificarea identității (eKYC) și raportarea la BNR
• Date financiare: venituri, extrase de cont, istoricul de credit din Biroul de Credit — necesare pentru evaluarea bonității
• Date comportamentale: dispozitiv folosit, ora solicitării, comportamentul în aplicație — utilizate pentru scoring alternativ, cu acordul tău explicit
• Date de contact: număr de telefon, adresă de email — pentru comunicare și notificări de scadență

Drepturile Tale GDPR ca Împrumutat

GDPR îți garantează o serie de drepturi pe care le poți exercita față de orice IFN care îți prelucrează datele:

• Dreptul de acces: poți solicita oricând o copie a tuturor datelor personale deținute de IFN despre tine
• Dreptul la rectificare: poți cere corectarea datelor inexacte — important dacă datele de venit sau de identitate au fost înregistrate greșit
• Dreptul la ștergere (,,dreptul de a fi uitat"): aplicabil după stingerea completă a obligațiilor contractuale și după expirarea perioadelor legale de arhivare
• Dreptul de opoziție la prelucrarea automată: poți solicita revizuire umană dacă o decizie de acordare sau refuz al creditului a fost luată exclusiv automatizat

Ce Să Verifici înainte de a Aplica

Înainte de a furniza datele tale unui IFN, verifică că platforma afișează o Politică de Confidențialitate clară și actualizată, că menționează explicit cine are acces la datele tale și cât timp sunt păstrate. Sesizările legate de prelucrarea neconformă a datelor pot fi adresate Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) pe dataprotection.ro. Compară IFN-urile autorizate și conforme GDPR din comparatorul nostru.

Din perspectiva experților în protecția datelor, IFN-urile reprezintă una dintre categoriile de operatori cu cel mai ridicat risc în materie de GDPR, tocmai pentru că prelucrează simultan date de identitate, date financiare și, în cazul platformelor moderne, date comportamentale obținute prin analiza tranzacțiilor bancare. Autoritățile de supraveghere europeană au semnalat în repetate rânduri că consimțământul obținut „în bloc" la momentul semnării contractului de credit nu este suficient — fiecare scop de prelucrare trebuie să fie separat, explicit și revocabil în orice moment. Banca Națională a României (BNR), în calitate de autoritate de reglementare a instituțiilor financiare nebancare, colaborează cu ANSPDCP pentru monitorizarea modului în care IFN-urile respectă atât cerințele prudențiale, cât și cele privind protecția datelor personale.

Pentru consumatorii din România care accesează credite online în 2026, impactul practic al acestor reglementări este semnificativ. Înainte de a completa orice formular digital, este esențial să verificați dacă IFN-ul afișează clar politica de confidențialitate actualizată, dacă menționează perioada de retenție a datelor și dacă există un mecanism funcțional de exercitare a dreptului la ștergere. Orice transfer al datelor dvs. către parteneri sau brokeri de credit trebuie notificat explicit. În caz de nerespectare, consumatorul are dreptul să depună o plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), care poate aplica amenzi de până la 20 de milioane de euro sau 4% din cifra de afaceri globală anuală a operatorului vinovat.

Tendința din 2026 arată că instituțiile financiare nebancare care investesc în transparență digitală și conformitate proactivă câștigă mai rapid încrederea consumatorilor, reducând totodată riscul litigiilor și al sancțiunilor. Specialiștii recomandă consumatorilor să aleagă IFN-uri care dețin un Responsabil cu Protecția Datelor (DPO) desemnat, ale cărui date de contact sunt publicate pe site, și care efectuează periodic evaluări de impact asupra protecției datelor (DPIA) pentru procesele automatizate de creditare — inclusiv pentru deciziile luate exclusiv prin algoritmi de scoring.