29.08.2022
Sancțiune pentru încălcarea RGPD
Autoritatea Națională de Supraveghere a finalizat în luna iulie 2022 o investigație la operatorul Alpha Bank România SA și a constatat încălcarea dispozițiilor art. 29 și art. 32 alin. (1) lit. b), alin. (2) și alin. (4) din Regulamentul General privind Protecția Datelor.
Ca atare, operatorul a fost sancționat contravențional cu amendă în cuantum de 4.935,10 lei (echivalentul a 1000 EURO).
Investigația a fost demarată ca urmare a unei notificări de încălcare a securității datelor care a fost transmisă de Alpha Bank România SA, în baza dispozițiilor art. 33 din Regulamentul General privind Protecția Datelor.
Astfel, potrivit celor menționate în formularul de notificare, încălcarea securității prelucrării datelor s-a produs ca urmare a faptului că s-a transmis un document altui destinatar, din eroare, prin utilizarea aplicației de Whatsapp.
În cadrul efectuării investigației a rezultat că această încălcare a condus la divulgarea neautorizată sau accesul neautorizat la anumite date cu caracter personal, cum ar fi: numele și prenumele, CNP, funcția și semnătura, tipul de credit, numărul și data semnării contractului, perioada de creditare și data ultimei scadențe, fiind afectate de incident un număr de 4 persoane fizice vizate.
Autoritatea Națională de Supraveghere a constatat că Alpha Bank România SA nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de confidențialitate și securitate corespunzător riscului prelucrării și nu a luat măsuri suficiente pentru a se asigura că orice persoană fizică care acționează sub autoritatea operatorului și care are acces la date cu caracter personal nu le prelucrează decât la cererea sa.
În același timp, în temeiul art. 58 alin. (2) lit. d) din Regulamentul General privind Protecția Datelor, s-au dispus față de operator și următoarele măsuri corective:
- revizuirea și actualizarea măsurilor tehnice și organizatorice implementate ca urmare a evaluării privind riscul pentru drepturile și libertățile persoanelor, inclusiv a procedurilor de lucru referitoare la protecția datelor cu caracter personal, prin implementarea și transmiterea către persoanele responsabile a unor instrucțiuni privind interzicerea utilizării echipamentului personal al angajaților în relațiile cu clienții (de ex., telefonul mobil) pentru aplicații de comunicare/servicii de chat online neautorizate de Bancă;
- adoptarea de măsuri privind instruirea persoanelor care acționează sub autoritatea operatorului, inclusiv cu privire la riscurile și consecințele pe care le implică divulgarea datelor personale.
Direcția juridică și comunicare
A.N.S.P.D.C.P.