Amenda de 100.000 de euro pentru Banca Transilvania

Pe 8 iulie, un client a trimis o declaratie despre ce va face cu 85.000 de euro. Probabil exasperat de procesul bancii, el a spus mai multe lucruri considerate amuzante de angajatii bancii. Mesajul sau a fost printat si distribuit pana cand a ajuns celebru pe retelele de socializare.

Autoritatea Nationala de Supraveghere a inceput sa investigheze cazul si a finalizat in data de 26.11.2020 verificarea la operatorul Banca Transilvania. A constatat incalcarea dispozitiilor art. 32 alin. (1) si (2) coroborate cu art. 5 lit. f) din Regulamentul General privind Protectia Datelor.

Operatorul Banca Transilvania SA a fost sanctionat contraventional cu amenda in cuantum de 487.380 lei (echivalentul a 100.000 EURO).

Investigatia a fost demarata in urma primirii unor sesizari cu privire la incalcarea confidentialitatii si securitatii datelor personale.

S-a constatat ca a avut loc dezvaluirea in spatiul public (on-line) a declaratiei solicitata de operator unui client al sau cu privire la modul in care intentiona sa utilizeze o anumita suma de bani pe care acesta dorea sa o ridice din contul sau. Aceasta declaratie a fost distribuita intre cativa angajati ai Bancii Transilvania pe adresele de e-mail de serviciu. Unul dintre angajati a listat e-mailul ce continea declaratia clientului, precum si e-mailul ce continea conversatia interna intre angajatii operatorului. Un alt angajat a fotografiat cu telefonul mobil inscrisul listat si l-a distribuit prin intermediul aplicatiei WhatsApp. Ulterior, inscrisul listat a fost postat si distribuit pe reteaua de socializare Facebook si pe un site.

Aceasta situatie a condus la dezvaluirea si accesul neautorizat la anumite date cu caracter personal (nume si prenume, adrese de e-mail, date comportamentale, preferinte personale, valoare tranzactie financiara, adresa locului de munca, functie si locul muncii, numar de telefon de serviciu) a 4 persoane fizice vizate (un client si 3 angajati proprii), desi potrivit art. 5 lit. f) din Regulamentul General privind Protectia Datelor, operatorul avea obligatia de a respecta principiul integritatii si confidentialitatii datelor personale.
In cadrul investigatiei efectuate la Banca Transilvania SA, Autoritatea de supraveghere a constatat ca operatorul nu a luat masuri suficiente pentru a asigura faptul ca orice persoana fizica care actioneaza sub autoritatea operatorului (salariatii operatorului) si care are acces la date cu caracter personal nu le prelucreaza decat la cererea operatorului.

Dezvaluirea produsa in spatiul public dovedeste si ineficienta instruirii interne a angajatilor operatorului privind respectarea normelor de protectia datelor cu caracter personal ale persoanelor vizate, desi instruirea angajatilor este parte intrinseca a masurilor tehnice si organizatorice pe care operatorul era obligat sa le adopte in vederea asigurarii unui nivel de securitate corespunzator riscului prelucrarii, incalcandu-se astfel prevederile art. 32 din Regulamentul General privind Protectia Datelor.

In acest context, s-a avut in vedere si ca dezvaluirea datelor cu caracter personal in spatiul public (pe internet) a generat o serie de prejudicii de natura morala, precum si alte dezavantaje semnificative de natura economica sau sociala pentru persoana fizica afectata de producerea incidentului de securitate (client al Bancii Transilvania).