Amenda GDPR de 100.000 de euro pentru Banca Transilvania - hotararea este definitiva
Decizia finala a instantei a mentinut amenda de 100.000 de euro pentru Banca Transilvania. Autoritatea de protectie a datelor cu caracter personal a obtinut in instanta o hotarare definitiva in dosarul in care angajatii bancii au transferat intre ei date personale ale clientilor. "Prin Hotararea civila nr. 9 din 13.04.2022, definitiva, Curtea de Apel Cluj a confirmat amenda in cuantum de 100.000 de euro aplicata de Autoritatea de Supraveghere Bancii Transilvania, pentru incalcarea art. 32 alin. (1) si (2) coroborat cu art. 5 alin. (1) lit. f) din Regulamentul General privind Protectia Datelor".
Conduita angajatilor a fost un punct subliniat in instanta, prin care dovada participarii efective a personalului la cursuri din domeniul protectiei datelor cu caracter personal si aplicarea efectiva a vreunei modalitati de verificare a insusirii acestor cunostiinte si informatii nu s-a putut dovedi. Desi, reclamanta a invocat aspecte referitoare la implementarea prevederilor din Regulament, acest lucu este contrazis. Faptele constatate prin procesul verbal de contraventie atesta divulgarea intentionata, in mod neautorizat, de catre personalul aflat sub autoritatea Bancii Transilvania, a unui set insemnat de date cu caracter personal catre un numar mare de persoane. Informatiile distribuite faceau parte din categoria datelor extrem de sensibile. "Dezinvoltura cu care angajatii reclamantei au actionat, transmitand de la unul la altul datele cu caracter personal ale clientului bancii si ulterior, unor terte persoane, prin intermediul aplicatiei Whatsapp, atesta nu doar necunoasterea procedurilor de lucru privind prelucrarea datelor cu caracter pesonal cat mai ales (si mai grav) inabilitatea acestora de a identifica si califica datele la care au acces ca find date cu caracter personal, ceea ce denota o lipsa acuta de instruire efectiva", a comunicat ANSPCDP.
Extrasele din diverse proceduri interne, depuse la dosar cu privire la instruirea efectiva a celor trei angajati care au produs incidentul de securitate, nu au putut dovedi aplicarea mecanismelor de control si evaluare elaborate pentru a se asigura ca angajatii sai si-au insusit reglementarile interne. "Asa fiind, inscrisurile prezentate de reclamanta, in dovedirea implementarii masurilor tehnice organizatorice adecvate, nu sunt de natura sa probeze asigurarea unui nivel de securitate corespunzator privind capacitatea de a asigura confidentialitatea si testarea, evaluarea si aprecierea periodice ale eficacitatii masurilor tehnice si organizatorice pentru a garanta securitatea prelucrarii", a transmis ANSPCDP.
Consecintele incalcarii au fost retinute de Tribunalul Cluj ca fiind corecte, avand in vedere rapoartele la cantitatea datelor cu caracter personal distribuite de angajatii Bancii "acestea au fost corect calificate de catre parata ca find grave prin raportare la cantitatea datelor cu caracter personal diseminate de angajatii Bancii, natura sensibila a acestora, modalitatea de diseminare (prin internet, mailul cuprinzand datele clientului Bancii circuland intens in spatiul public, informatii sintetice find preluate inclusiv de bloguri, canale TV si site-uri de stiri), numarul extrem de mare al persoanelor care au dobandit acces la datele clientului Bancii pentru o perioada de timp imposibil de determinat, urmare a transmiterii informatiilor prin mijloacele cele mai diverse, toate aceste aspecte fiind in masura sa confere o imagine corecta cu privire la amploarea si gravitatea consecintelor incidentului de securitate", conform ANSPCDP.
Totodata, Banca Transilvania a recunoscut ca masurile intreprinse pentru limitarea consecintelor bresei de securitate nu au fost realizabile, avand in vedere amploarea diseminarii acestora in spatiul public, ce in mod evident au scapat de sub control. Stabilirea amenzii intr-un cuantum inferior maximului admis pentru fapta savarsita de reclamanta este corespunzator criteriilor prevazute la art. 83 alin (2) lit. c) - k).
Instanta pe fondul celor admise a concluzionat amenda legala, "eficace, proportionala si disuasiva". Pe fondul naturii, gravitatii, consecintelor incalcate si criteriilor prevazute in Regulament, instanta a stabilit amenda de 100.000 de euro pentru Banca Transilvania.
Conduita angajatilor a fost un punct subliniat in instanta, prin care dovada participarii efective a personalului la cursuri din domeniul protectiei datelor cu caracter personal si aplicarea efectiva a vreunei modalitati de verificare a insusirii acestor cunostiinte si informatii nu s-a putut dovedi. Desi, reclamanta a invocat aspecte referitoare la implementarea prevederilor din Regulament, acest lucu este contrazis. Faptele constatate prin procesul verbal de contraventie atesta divulgarea intentionata, in mod neautorizat, de catre personalul aflat sub autoritatea Bancii Transilvania, a unui set insemnat de date cu caracter personal catre un numar mare de persoane. Informatiile distribuite faceau parte din categoria datelor extrem de sensibile. "Dezinvoltura cu care angajatii reclamantei au actionat, transmitand de la unul la altul datele cu caracter personal ale clientului bancii si ulterior, unor terte persoane, prin intermediul aplicatiei Whatsapp, atesta nu doar necunoasterea procedurilor de lucru privind prelucrarea datelor cu caracter pesonal cat mai ales (si mai grav) inabilitatea acestora de a identifica si califica datele la care au acces ca find date cu caracter personal, ceea ce denota o lipsa acuta de instruire efectiva", a comunicat ANSPCDP.
Extrasele din diverse proceduri interne, depuse la dosar cu privire la instruirea efectiva a celor trei angajati care au produs incidentul de securitate, nu au putut dovedi aplicarea mecanismelor de control si evaluare elaborate pentru a se asigura ca angajatii sai si-au insusit reglementarile interne. "Asa fiind, inscrisurile prezentate de reclamanta, in dovedirea implementarii masurilor tehnice organizatorice adecvate, nu sunt de natura sa probeze asigurarea unui nivel de securitate corespunzator privind capacitatea de a asigura confidentialitatea si testarea, evaluarea si aprecierea periodice ale eficacitatii masurilor tehnice si organizatorice pentru a garanta securitatea prelucrarii", a transmis ANSPCDP.
Consecintele incalcarii au fost retinute de Tribunalul Cluj ca fiind corecte, avand in vedere rapoartele la cantitatea datelor cu caracter personal distribuite de angajatii Bancii "acestea au fost corect calificate de catre parata ca find grave prin raportare la cantitatea datelor cu caracter personal diseminate de angajatii Bancii, natura sensibila a acestora, modalitatea de diseminare (prin internet, mailul cuprinzand datele clientului Bancii circuland intens in spatiul public, informatii sintetice find preluate inclusiv de bloguri, canale TV si site-uri de stiri), numarul extrem de mare al persoanelor care au dobandit acces la datele clientului Bancii pentru o perioada de timp imposibil de determinat, urmare a transmiterii informatiilor prin mijloacele cele mai diverse, toate aceste aspecte fiind in masura sa confere o imagine corecta cu privire la amploarea si gravitatea consecintelor incidentului de securitate", conform ANSPCDP.
Totodata, Banca Transilvania a recunoscut ca masurile intreprinse pentru limitarea consecintelor bresei de securitate nu au fost realizabile, avand in vedere amploarea diseminarii acestora in spatiul public, ce in mod evident au scapat de sub control. Stabilirea amenzii intr-un cuantum inferior maximului admis pentru fapta savarsita de reclamanta este corespunzator criteriilor prevazute la art. 83 alin (2) lit. c) - k).
Instanta pe fondul celor admise a concluzionat amenda legala, "eficace, proportionala si disuasiva". Pe fondul naturii, gravitatii, consecintelor incalcate si criteriilor prevazute in Regulament, instanta a stabilit amenda de 100.000 de euro pentru Banca Transilvania.
Newsletter PortalProtectiaDatelor.ro
Ramai la curent cu toate solutiile propuse de specialisti.
Aboneaza-te ACUM la Newsletterul PortalProtectiaDatelor.ro si primesti cadou Raportul special "Munca la domiciliu - Aspecte practice privind GDPR"!
Articole similare din categoria Entitati amendate
15Dec2023
IFN amendat GDPR dupa ce a ignorat un incident de securitate. Sanctiuni in cuantum de 24.000 EURO
de Colectivul de Specialisti Rentrop&Straton
15 Dec 2023
20Nov2023
Rompetrol, amenda GDPR de 110.000 de euro - datele unor clienti, folosite pentru obtinerea de credite de la IFN-uri
de Colectivul de Specialisti Rentrop&Straton
20 Nov 2023
01Nov2023
Asociatie de proprietari, sanctionata pentru afisarea listei de intretinere
de Colectivul de Specialisti Rentrop&Straton
01 Nov 2023
10Sep2023
Medic amendat pentru filmarea unei paciente si postarea clipului pe retele de socializare
de Colectivul de Specialisti Rentrop&Straton
10 Sep 2023
27Sep2023
Furnizor de energie electrica si gaze - Amenda GDPR in cuantum de peste 30.000 euro
de Colectivul de Specialisti Rentrop&Straton
27 Sep 2023
30Aug2023
Amenda GDPR de 10.000 EURO pentru o postare pe social media
de Colectivul de Specialisti Rentrop&Straton
30 Aug 2023
Un produs marca