A inceput era amenzilor GDPR si in Romania: Unicredit Bank amendata cu 130.000 euro
ANSPDCP (Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal) a finalizat pe 27 iunie 2019 o investigatie privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal la operatorul Unicredit Bank SA. S-a constatat incalcarea regulamentului GDPR prevederile articolului 25 alin (1) privind libera circulatie a acestor date.
Operatorul a fost sanctionat concraventional cu amenda in cuantum de 130.000 euro (613.912 RON).
Sanctiunea a fost aplicata ca urmare a neaplicarii masurilor tehnice si organizatorice adecvate atat in momentul stabilirii mijloacelor de prelucrare cat si al prelucrarii in sine. In fapt aceste lucruri au condus la dezvaluirea in documentele ce contin detaliile tranzactiilor, care apoi sunt puse online la dispozitia clientilor beneficiari ai platilor, a datelor privind CNP-ul si adresa platitorului (pentru situatiile in care platitorul efectua tranzactia dintr-un cont deschis la o alta institutie de credit – tranzactii externe si depuneri la caserie), respectiv a datelor privind adresa platitorului (pentru situatiile in care platitorul efectua tranzactia dintr-un cont deschis la Unicredit Bank SA – tranzactii interne). Acest lucru a afectat un numar de peste 330.000 de persoane vizate in perioada mai-decembrie 2018.
Pe adresa Autoritatii Nationale a fost primita o sesizare in data de 22.11.2018 prin care se semnala faptul ca datele privind CNP-ul si adresa persoanelor care efectuau plati la Unicredit Bank prin intemediul tranzactiilor online erau dezvaluite catre beneficiarul tranzactiei, prin formularele de extras de cont/detalii. Acest lucru incalca regulamentul GDPR, art. 5, alin 1 lit. c) (Principii legate de prelucrarea datelor cu caracter personal) iar operatorul avea obligatia de a prelucra date limitate la ceea ce este necesar in raport cu scopurile in care sunt prelucrate datele.
Sanctiunea a fost aplicata ca urmarea a unei sesizari primite de Autoritatea Nationala
Sanctiunea a fost aplicata ca urmare a unei sesizari a Autoritatii Nationale de Supraveghere din data de 22.11.2018 prin care se semnala faptul ca datele privind CNP-ul si adresa persoanelor care efectuau plati la UNICREDIT BANK S.A., prin intermediul tranzactiilor on-line, erau dezvaluite catre beneficiarul tranzactiei, prin formularele de extras de cont/detalii.
Potrivit art. 5 alin. 1 lit. c) din RGPD („Principii legate de prelucrarea datelor cu caracter personal”), operatorul avea obligatia de a prelucra date limitate la ceea ce este necesar in raport cu scopurile in care sunt prelucrate datele.
In acelasi timp, considerentul (78) din Regulament precizeaza: „Protectia drepturilor si libertatilor persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal necesita adoptarea de masuri tehnice si organizatorice corespunzatoare pentru a se asigura indeplinirea cerintelor din prezentul regulament. Pentru a fi in masura sa demonstreze conformitatea cu prezentul regulament, operatorul ar trebui sa adopte politici interne si sa puna in aplicare masuri care sa respecte in special principiul protectiei datelor incepand cu momentul conceperii si cel al protectiei implicite a datelor. Astfel de masuri ar putea consta, printre altele, in reducerea la minimum a prelucrarii datelor cu caracter personal, pseudonimizarea acestor date cat mai curand posibil, transparenta in ceea ce priveste functiile si prelucrarea datelor cu caracter personal, abilitarea persoanei vizate sa monitorizeze prelucrarea datelor, abilitarea operatorului sa creeze elemente de siguranta si sa le imbunatateasca. Atunci cand elaboreaza, proiecteaza, selecteaza si utilizeaza aplicatii, servicii si produse care se bazeaza pe prelucrarea datelor cu caracter personal sau care prelucreaza date cu caracter personal pentru a-si indeplini rolul, producatorii acestor produse si furnizorii acestor servicii si aplicatii ar trebui sa fie incurajati sa aiba in vedere dreptul la protectia datelor la momentul elaborarii si proiectarii unor astfel de produse, servicii si aplicatii si, tinand cont de stadiul actual al dezvoltarii, sa se asigure ca operatorii si persoanele imputernicite de operatori sunt in masura sa isi indeplineasca obligatiile referitoare la protectia datelor. Principiul protectiei datelor incepand cu momentul conceperii si cel al protectiei implicite a datelor ar trebui sa fie luate in considerare si in contextul licitatiilor publice.”