Amenda primita de Banca Transilvania pentru o neglijenta a angajatilor?
De curand a circulat in mediul online (Facebook, WhatsApp) cazul unui client al Bancii Transilvania care a raspuns solicitarii angajatilor de a motiva cererea de retragere din conturile sale a unei sume mari de bani, deranjat probabil de aceasta solicitare, clientul a oferit un raspuns iesit din tipare, lucru care a starnit amuzamentul angajatilor, acestia distribuind conversatia intern. Ulterior, cativa angajati au distribuit tot istoricul conversatiei si in afara organizatiei prin intermediul Facebook si a aplicatiei WhatsApp fara a lua vreo masura sa protejeze atat identitatea si datele clientului cat si pe ale colegilor implicati in discutie.
Mare greseala! Este clar faptul ca cele spuse de client au dus la aceasta situatie, fiind un mod ironic, destul de comic si nemaintalnit de a raspunde acestui tip de solicitare. Angajatii se intalnesc foarte rar cu astfel de situatii si au simtit un imbold de a prezenta si colegilor cazul acestui client.
Problema mare este aceea ca nu au luat nicio masura pentru a proteja datele clientului (numele acestuia, adresa de e-mail, datele privind situatia financiara, preferințe personale) sau pe ale colegilor (adresa de e-mail, numele acestora, numele angajatorului, numar de telefon, continutul conversatiilor interne).
Problema cea mai mare este insa faptul ca angajatii bancii au dat dovada de o foarte proasta pregatire in ceea ce priveste protejarea datelor clientilor, lucru care a generat si va genera mari neplaceri bancii dar si celor care interactioneaza cu aceasta. Este foarte important ca angajatii sa fie informati constant referitor la obligatiile pe care acestia le au referitor la pastrarea confidentialitatii datelor pe care le prelucreaza si la protectia lor.
Asadar, incidentul este si o neglijenta a angajatilor, insa o mare parte de vina o are operatorul de date Banca Transilvania pentru faptul ca nu le-a asigurat angajatilor o mai buna pregatire referitor la protectia si confidentialitatea datelor, pentru faptul ca nu a implementat proceduri stricte care sa impiedice producerea acestor incidente. Paza buna trece primejdia rea!
Sanctiunea aplicata de Autoritatea Naţionala de Supraveghere a Prelucrarii Datelor cu Caracter Personal a fost una pe masura, 487.380 lei (echivalentul a 100.000 EURO).
Mai jos regasim si punctul de vedere al Autoritatii Naţionale de Supraveghere a Prelucrarii Datelor cu Caracter Personal:
Autoritatea Nationala de Supraveghere a finalizat in data de 26.11.2020 o investigatie la operatorul Banca Transilvania SA si a constatat încalcarea dispozitiilor art. 32 alin. (1) și (2) coroborate cu art. 5 lit. f) din Regulamentul General privind Protectia Datelor.
Operatorul Banca Transilvania SA a fost sanctionat contraventional cu amenda în cuantum de 487.380 lei (echivalentul a 100.000 EURO).
Investigatia a fost demarata in urma primirii unor sesizari cu privire la incalcarea confidentialitatii si securitatii datelor personale.
S-a constatat ca a avut loc dezvaluirea în spatiul public (on-line) a declaratiei solicitata de operator unui client al sau cu privire la modul in care intentiona să utilizeze o anumita suma de bani pe care acesta dorea sa o ridice din contul sau. Aceasta declaratie a fost distribuita intre cativa angajati ai Bancii Transilvania pe adresele de e-mail de serviciu. Unul dintre angajati a listat e-mailul ce continea declaratia clientului, precum si e-mailul ce continea conversatia interna intre angajatii operatorului. Un alt angajat a fotografiat cu telefonul mobil inscrisul listat si l-a distribuit prin intermediul aplicatiei WhatsApp. Ulterior, inscrisul listat a fost postat si distribuit pe reteaua de socializare Facebook si pe un site.
Aceasta situatie a condus la dezvaluirea si accesul neautorizat la anumite date cu caracter personal (nume si prenume, adrese de e-mail, date comportamentale, preferinte personale, valoare tranzactie financiara, adresa locului de munca, functie si locul muncii, numar de telefon de serviciu) a 4 persoane fizice vizate (un client si 3 angajati proprii), desi potrivit art. 5 lit. f) din Regulamentul General privind Protectia Datelor, operatorul avea obligatia de a respecta principiul integritatii si confidentialitatii datelor personale.
In cadrul investigatiei efectuate la Banca Transilvania SA, Autoritatea de supraveghere a constatat ca operatorul nu a luat masuri suficiente pentru a asigura faptul ca orice persoana fizica care actioneaza sub autoritatea operatorului (salariatii operatorului) si care are acces la date cu caracter personal nu le prelucreaza decat la cererea operatorului.
Dezvaluirea produsa in spatiul public dovedeste si ineficienta instruirii interne a angajatilor operatorului privind respectarea normelor de protectia datelor cu caracter personal ale persoanelor vizate, desi instruirea angajatilor este parte intrinseca a masurilor tehnice si organizatorice pe care operatorul era obligat sa le adopte in vederea asigurarii unui nivel de securitate corespunzator riscului prelucrarii, încalcandu-se astfel prevederile art. 32 din Regulamentul General privind Protectia Datelor.
In acest context, s-a avut in vedere si ca dezvaluirea datelor cu caracter personal in spatiul public (pe internet) a generat o serie de prejudicii de natura morala, precum si alte dezavantaje semnificative de natura economica sau sociala pentru persoana fizica afectata de producerea incidentului de securitate (client al Bancii Transilvania).