BCR, amendata pentru incalcarea GDPR
Banca Comerciala Romana (BCR) a fost amendata pentru incalcarea GDPR cu echivalentul in lei a sumei de 5000 de euro.
ANSPDCP anunta ca BCR a fost amendata pentru incalcarea unor prevederi din GDPR cu suma de 24.163,50 de lei.
Investigatia a fost demarata in urma primirii unei plangeri, iar in cursul desfasurarii acesteia, Autoritatea Nationala de Supraveghere a constatat ca Banca Comerciala Romana S.A. nu a implementat masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator riscului prelucrarii. In acelasi timp, operatorul nu a luat masuri pentru a asigura ca orice persoana fizica care actioneaza sub autoritatea sa si care are acces la date cu caracter personal nu le prelucreaza decat la cererea sa, cu exceptia cazului in care aceasta obligatie ii revine in temeiul dreptului Uniunii sau al dreptului intern.
"Astfel, s-a constatat ca a avut loc o colectare a copiilor actelor de identitate ale clientilor persoanelor fizice (minori si reprezentanti legali) prin intermediul telefonului personal al unei angajate a operatorului, precum si transmiteri ale copiilor acestor acte la nivelul operatorului, prin aplicatia Whatsapp, cu incalcarea procedurii de lucru interne", arata institutia.
Entitatea a incalcat, asadar, art. 32 alin. (1), (2) si (4) din GDPR care prevede urmatoarele:
(1) Avand in vedere stadiul actual al dezvoltarii, costurile implementarii si natura, domeniul de aplicare, contextul si scopurile prelucrarii, precum si riscul cu diferite grade de probabilitate si gravitate pentru drepturile si libertatile persoanelor fizice, operatorul si persoana imputernicita de acesta implementeaza masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator acestui risc, incluzand printre altele, dupa caz:
(a) pseudonimizarea si criptarea datelor cu caracter personal;
(b) capacitatea de a asigura confidentialitatea, integritatea, disponibilitatea si rezistenta continue ale sistemelor si serviciilor de prelucrare;
(c) capacitatea de a restabili disponibilitatea datelor cu caracter personal si accesul la acestea in timp util in cazul in care are loc un incident de natura fizica sau tehnica;
(d) un proces pentru testarea, evaluarea si aprecierea periodice ale eficacitatii masurilor tehnice si organizatorice pentru a garanta securitatea prelucrarii.
(2) La evaluarea nivelului adecvat de securitate, se tine seama in special de riscurile prezentate de prelucrare, generate in special, in mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizata sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate intr-un alt mod.
(4) Operatorul si persoana imputernicita de acesta iau masuri pentru a asigura faptul ca orice persoana fizica care actioneaza sub autoritatea operatorului sau a persoanei imputernicite de operator si care are acces la date cu caracter personal nu le prelucreaza decat la cererea operatorului, cu exceptia cazului in care aceasta obligatie ii revine in temeiul dreptului Uniunii sau al dreptului intern.
ANSPDCP anunta ca BCR a fost amendata pentru incalcarea unor prevederi din GDPR cu suma de 24.163,50 de lei.
Investigatia a fost demarata in urma primirii unei plangeri, iar in cursul desfasurarii acesteia, Autoritatea Nationala de Supraveghere a constatat ca Banca Comerciala Romana S.A. nu a implementat masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator riscului prelucrarii. In acelasi timp, operatorul nu a luat masuri pentru a asigura ca orice persoana fizica care actioneaza sub autoritatea sa si care are acces la date cu caracter personal nu le prelucreaza decat la cererea sa, cu exceptia cazului in care aceasta obligatie ii revine in temeiul dreptului Uniunii sau al dreptului intern.
"Astfel, s-a constatat ca a avut loc o colectare a copiilor actelor de identitate ale clientilor persoanelor fizice (minori si reprezentanti legali) prin intermediul telefonului personal al unei angajate a operatorului, precum si transmiteri ale copiilor acestor acte la nivelul operatorului, prin aplicatia Whatsapp, cu incalcarea procedurii de lucru interne", arata institutia.
Entitatea a incalcat, asadar, art. 32 alin. (1), (2) si (4) din GDPR care prevede urmatoarele:
(1) Avand in vedere stadiul actual al dezvoltarii, costurile implementarii si natura, domeniul de aplicare, contextul si scopurile prelucrarii, precum si riscul cu diferite grade de probabilitate si gravitate pentru drepturile si libertatile persoanelor fizice, operatorul si persoana imputernicita de acesta implementeaza masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator acestui risc, incluzand printre altele, dupa caz:
(a) pseudonimizarea si criptarea datelor cu caracter personal;
(b) capacitatea de a asigura confidentialitatea, integritatea, disponibilitatea si rezistenta continue ale sistemelor si serviciilor de prelucrare;
(c) capacitatea de a restabili disponibilitatea datelor cu caracter personal si accesul la acestea in timp util in cazul in care are loc un incident de natura fizica sau tehnica;
(d) un proces pentru testarea, evaluarea si aprecierea periodice ale eficacitatii masurilor tehnice si organizatorice pentru a garanta securitatea prelucrarii.
(2) La evaluarea nivelului adecvat de securitate, se tine seama in special de riscurile prezentate de prelucrare, generate in special, in mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizata sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate intr-un alt mod.
(4) Operatorul si persoana imputernicita de acesta iau masuri pentru a asigura faptul ca orice persoana fizica care actioneaza sub autoritatea operatorului sau a persoanei imputernicite de operator si care are acces la date cu caracter personal nu le prelucreaza decat la cererea operatorului, cu exceptia cazului in care aceasta obligatie ii revine in temeiul dreptului Uniunii sau al dreptului intern.
Newsletter PortalProtectiaDatelor.ro
Ramai la curent cu toate solutiile propuse de specialisti.
Aboneaza-te ACUM la Newsletterul PortalProtectiaDatelor.ro si primesti cadou Raportul special "Munca la domiciliu - Aspecte practice privind GDPR"!
Articole similare din categoria Entitati amendate
19Mar2025
Amenda de 20.000 euro in urma unui atac cibernetic
de Colectivul de Specialisti Rentrop&Straton
19 Mar 2025
20Feb2025
Amenda GDPR pentru o firma care a divulgat date personale ale unui fost salariat
de Colectivul de Specialisti Rentrop&Straton
20 Feb 2025
30Ian2025
Vodafone Romania: Sanctiuni GDPR de 15.000 de euro
de Colectivul de Specialisti Rentrop&Straton
30 Ian 2025
18Dec2024
Companie de transport public, amendata GDPR. Soferii erau filmati excesiv iar inregistrarile erau folosite la sanctiuni
de Colectivul de Specialisti Rentrop&Straton
18 Dec 2024
21Nov2024
Clienti cu bani retrasi din conturi si credite nesolicitate. Raiffeisen Bank, amenzi GDPR in valoare de 20.000 EURO
de Colectivul de Specialisti Rentrop&Straton
21 Nov 2024
19Nov2024
UNTOLD SRL - Amenzi de 15.000 EURO pentru nerespectarea GDPR
de Portal Protectia Datelor
19 Nov 2024
Un produs marca 