Ce putem învăţa din amenda GDPR de 100.000 euro aplicată Băncii Transilvania SA?

0
0
Publicat:
Ultima actualizare:

După Raiffeisen Bank SA (amendă 150.000 euro) şi Unicredit Bank SA (amendă 130.000 euro) a venit şi rândul Băncii Transilvania SA să primească o amendă GDPR din partea ANSPDCP, cea mai mare amendă aplicată de această autoritate în anul 2020.

În urmă cu câteva zile, Autoritatea Naţională de Supraveghere a publicat pe site-ul instituţiei faptul că operatorul Banca Transilvania SA a fost sancţionat contravenţional cu amendă în cuantum de 487.380 lei (echivalentul a 100.000 EURO) pentru încălcarea dispoziţiilor art. 32 alin. (1) şi (2) coroborate cu art. 5 lit. f) din Regulamentul General privind Protecţia Datelor, mai exact pentru modul în care au fost implementate măsuri tehnice şi organizatorice în vederea asigurării unui nivel de securitate corespunzător riscurilor precum distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate.  

Investigaţia a fost demarată în urma primirii unor sesizări cu privire la încălcarea confidenţialităţii şi securităţii datelor personale în luna iulie 2020.

Persoanei vizate i s-a solicitat de către reprezentanţii Băncii Transilvania o motivaţie privind retragerea unei sume de 85.000 Euro şi, deranjat că trebuie sa justifice acest demers, acesta a răspuns trimiţând un email amuzant, spunând că îşi va cheltui banii pe prostituate si droguri. "Voi calatori in Olanda, unde prostituţia este legală, să f*t nişte prostituate. Apoi, tot în Olanda, drogurile fiind legale, doresc să consum marijuana, haşis şi aş încerca şi nişte ciuperci. (...) Daca nu am hârtie igienica şi tot am atâţia bani, probabil îmi voi face damblaua şi mă voi şterge la fund, ca bogătaşii, cu câteva sute de euro. (...)".

image

Care sunt argumentele ANSPDCP?

Autoritatea de Supraveghere a constatat că declaraţie clientului băncii a fost distribuită între câţiva angajaţi pe adresele de e-mail de serviciu. Unul dintre angajaţi a listat e-mailul ce conţinea declaraţia clientului, precum şi e-mailul ce conţinea conversaţia internă între angajaţii operatorului. Un alt angajat a fotografiat cu telefonul mobil înscrisul listat şi l-a distribuit prin intermediul aplicaţiei WhatsApp. Ulterior, înscrisul listat a fost postat şi distribuit pe reţeaua de socializare Facebook şi pe un site.

Această situaţie a condus la dezvăluirea şi accesul neautorizat la anumite date cu caracter personal (nume şi prenume, adrese de e-mail, date comportamentale, preferinţe personale, valoare tranzacţie financiară, adresa locului de muncă, funcţie şi locul muncii, număr de telefon de serviciu) a 4 persoane fizice vizate (un client şi 3 angajaţi proprii), deşi potrivit art. 5 lit. f) din Regulamentul General privind Protecţia Datelor, operatorul avea obligaţia de a respecta principiul integrităţii şi confidenţialităţii datelor personale.

În cadrul investigaţiei efectuate la Banca Transilvania SA, Autoritatea de Supraveghere a constatat că operatorul nu a luat măsuri suficiente pentru a asigura faptul că orice persoană fizică care acţionează sub autoritatea operatorului (salariaţii operatorului) şi care are acces la date cu caracter personal nu le prelucrează decât la cererea operatorului.

Dezvăluirea produsă în spaţiul public dovedeşte şi ineficienţa instruirii interne a angajaţilor operatorului privind respectarea normelor de protecţia datelor cu caracter personal ale persoanelor vizate, deşi instruirea angajaţilor este parte intrinsecă a măsurilor tehnice şi organizatorice pe care operatorul era obligat să le adopte în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării, încălcându-se astfel prevederile art. 32 din Regulamentul General privind Protecţia Datelor.

În acest context, s-a avut în vedere şi că dezvăluirea datelor cu caracter personal în spaţiul public (pe internet) a generat o serie de prejudicii de natură morală, precum şi alte dezavantaje semnificative de natură economică sau socială pentru persoana fizică afectată de producerea incidentului de securitate (client al Băncii Transilvania).

Care este punctul de vedere al Băncii Transilvania SA?

"Banca Transilvania a aflat decizia Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) şi a contestat-o în instanţă, având în vedere caracterul izolat al abaterii, dar şi întregul context în care s-au întâmplat lucrurile atunci: un e-mail al unui client către bancă, cu un conţinut defăimător, a ajuns în spaţiul public.

Imediat după incident, banca a luat toate măsurile operaţionale posibile în acest context pentru limitarea impactului, iar ulterior a luat măsuri ferme în ceea ce priveşte persoanele implicate.

BT investeşte semnificativ în training, proceduri şi sisteme pentru a proteja informaţiile, precum şi pentru a procesa în siguranţă aproximativ 2 milioane de tranzacţii în fiecare zi. Aceste investiţii se reflectă în NPS-ul (satisfacţia clienţilor) mult peste media pieţei şi în faptul că banca este recunoscută pentru relaţia cu clienţii şi siguranţa operaţiunilor." (punct de vedere oficial transmis redacţiei dpo-net.ro)

Care este concluzia? 

Banca Transilvania SA a recunoscut oficial încălcarea Regulamentului 679/2016 şi cu toate acestea, în numai câteva zile de la publicare, a depus o contestaţie în instanţă. Cel mai probabil, obiectul contestaţiei este criteriul care a stat la baza stabilirii cuantumului amenzii de 100,000 euro raportat în primul rând la  numărul de persoane ale căror date au fost publicate online, respectiv 3 angajaţi şi un client.  Cu siguranţă banca are deja implementate mai multe sisteme şi proceduri de lucru referitoare la datele cu caracter personal şi un program de training al personalului dar astfel de situaţii sunt posibile în ciuda acestor eforturi.

Chiar dacă banca ar putea obţine, cel puţin teoretic, anularea procesului verbal, acest caz rămâne un foarte bun exemplu atunci când vorbim de riscul reputaţional şi de cultura organizaţională insuficientă privind protecţia  datelor personale,  care nu poate fi dezvoltată prin cursuri clasice.  În contextul în care nivelul de conştientizare a importanţei datelor cu caracter personal în rândul clienţilor băncii este în creştere, banca ar putea pierde, pe termen lung, clienţi care pun preţ pe modul în care banca lor le respectă drepturile ce le revin din Regulamentul 679/2016.

Opinii


Ultimele știri
Cele mai citite