20.11.2024
Sancțiune pentru încălcarea RGPD
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a finalizat, în luna octombrie 2024, o investigație la operatorul Raiffeisen Bank S.A. și a constatat încălcarea prevederilor art. 32 alin. (4) coroborat cu art. 32 alin. (1) lit. b) și d) și alin. (2) din Regulamentul (UE) 2016/679 (GDPR).
Ca atare, operatorul a fost sancționat contravențional cu amendă în cuantum de 99.466 lei, echivalentul a 20.000 EURO.
Investigația a fost demarată ca urmare a faptului că Raiffeisen Bank S.A. a transmis Autorității Naționale de Supraveghere trei notificări cu privire la producerea unor încălcări a securității datelor cu caracter personal, astfel:
Operatorul a fost sesizat de către un client care reclama contractarea unui credit în numele său.
În cadrul investigației s-a constatat că un angajat al operatorului a utilizat în mod nelegal cererea de credit a clientului, precum și celelalte documente aferente acestei cereri, desi clientul anunțase Raiffeisen Bank S.A. că renunță la această cerere.
Angajatul operatorului a efectuat tranzacții de retragere numerar de la ATM și operațiuni de transfer bancar în numele mai multor persoane vizate, fiind afectate următoarele categorii de date cu caracter personal: numele, prenumele, codul numeric personal, adresa de domiciliu/reședința și de corespondență, numărul de telefon fix/mobil, data nașterii, numele și adresa angajatorului, ip-ul de produs, starea produsului/contului, data acordării, termenul de acordare, sumele acordate, sumele datorate, data scadenței, valuta, frecvența plaților, suma plătită, rata lunară, sumele restante, numărul de rate restante, numărul de zile de întârziere, categoria de întârziere, data închiderii produsului, numărul de interogări, istoric tranzacții, contracte direct debit, depozite, cont economii, fonduri de investiții.
Ca atare, s-a constatat că operatorul Raiffeisen Bank S.A. nu a luat măsuri pentru a asigura că orice persoană fizică care acționează sub autoritatea sa și are acces la date cu caracter personal nu le prelucrează decât la cererea operatorului, ceea ce a condus la accesul neautorizat și/sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate prin aplicațiile informatice utilizate de operator în activitatea de creditare de către angajatul acestuia.
Raiffeisen Bank S.A. a notificat faptul că doi angajați ai săi au furnizat informații confidențiale despre tranzacțiile unui client către un fost angajat al băncii prin utilizarea rețelelor Facebook, Messenger și WhatsApp, care la rândul său le-a transmis mai departe unor rude ale clientului.
În cadrul investigației s-a constatat că Raiffeisen Bank S.A. nu a luat măsuri pentru a asigura că orice persoană fizică care acționează sub autoritatea sa și are acces la date cu caracter personal nu le prelucrează decât la cererea operatorului, ceea ce a condus la accesul neautorizat și divulgarea neautorizată a datelor clientului (nume, prenume, CNP, adresa de domiciliu/corespondență, număr de cont, data tranzacțiilor, suma tranzacțiilor, beneficiarii plăților).
Operatorul a fost sesizat de către un client care reclama existența unor produse nesolicitate de către acesta, precum și lipsa unor sume de bani din contul său. Din verificările interne a rezultat că un angajat al Raiffeisen Bank S.A. a efectuat numeroase operațiuni nelegale în numele mai multor clienți ai operatorului, precum: modificarea repetată a datelor de contact (telefon și e-mail); utilizarea serviciului Smart Mobile; deschiderea unor conturi curente; deschiderea unor conturi de economii; constituirea și lichidarea unor depozite; solicitarea unor produse de creditare, completarea și semnarea documentației aferente (credit/card de credit); întocmirea și semnarea unor ordine de plată; răscumpărarea de unități de fond; solicitarea și utilizarea a trei carduri de debit.
În cadrul investigației s-a constatat că, începând din anul 2015 până în luna martie a anului 2023, au fost accesate și divulgate neautorizat datele cu caracter personal a mai multor clienți ai Raiffeisen Bank S.A. ca urmare a acțiunilor efectuate de un angajat al operatorului în scopul obținerii unor produse financiare în numele persoanelor vizate afectate.
În consecință, raportat la criteriile de individualizare a sancțiunii prevăzute de art. 83 alin. (2) din Regulamentul (UE) 2016/679, operatorul Raiffeisen Bank S.A. a fost sancționat cu amendă în cuantum de 99.466 lei, echivalentul a 20.000 euro, pentru încălcarea prevederilor art. 32 alin. (4) coroborat cu art. 32 alin. (1) lit. b) și d) și alin. (2) din GDPR.
În același timp, în temeiul art. 58 alin. (2) lit. d) din Regulamentul (UE) 2016/679, s-au dispus următoarele măsuri corective:
implementarea tehnică și organizatorică a unui plan procedurat care să includă un proces de testare, evaluare și apreciere periodică a tuturor acțiunilor de introducere/actualizare date cu caracter personal pentru persoanele vizate (clienți), inclusiv notificarea și acordul clientului în orice formă asupra oricărei modificări a datelor cu caracter ce pot fi efectuate de către angajații operatorului Raiffeisen Bank SA;
în vederea asigurării informării regulate privind riscurile prelucrării neautorizate a datelor cu caracter personal de către angajați, se impune diseminarea acestor informații, la un interval de cel mult 6 luni, inclusiv cu necesitatea probării luării la cunoștință de către fiecare dintre angajații care au acces la date cu caracter personal și atribuții în activitatea curentă de prelucrare a datelor clienților.
Direcția juridică și comunicare
A.N.S.P.D.C.P
