Decizia instantei privind amenda aplicata de ANSPDCP Bancii Transilvania
La finalul anului 2020, Banca Transilvania a fost sanctionata pentru un incident de securitate.
Va aduceti aminte, probabil, de clientul Bancii Transilvania care, la solicitarea primita din partea angajatilor bancii de a motiva cererea de retragere din conturile sale a unei sume mari de bani (deranjat probabil de respectiva solicitare), le-a oferit acestora un raspuns iesit din tipare, lucru care a starnit amuzamentul angajatilor, acestia distribuind masiv (intern) conversatia purtata cu clientul.
Ulterior, cativa angajati au distribuit tot istoricul conversatiei si in afara organizatiei, prin intermediul Facebook si aplicatiei WhatsApp, fara a lua vreo masura prin care sa protejeze atat identitatea si datele clientului cat si pe ale colegilor implicati in discutie.
Detalii privind cazul respectiv gasiti in articol: Amenda primita de Banca Transilvania pentru o neglijenta a angajatilor? – MYBIZ GDPR .
Operatorul s-a adresat instantei de judecata pentru a cere anularea amenzii aplicate, este vorba de o amenda in cuantum de 487.380 lei (echivalentul a 100.000 EURO).
Zilele trecute, pe site-ul Autoritatii de supraveghere (ANSPDCP), a fost publicat un articol pin care se aduce la cunostinta opiniei publice faptul ca instanta a emis o hotarare definitiva prin care confirma faptul ca amenda aplicata in acest caz este legala si justificata.
In cadrul articolului sunt prezentate si extrase din motivarea deciziei instantei pe care va sfatuim sa le analizati deoarece cuprind informatii foarte utile:
Instanta a retinut in mod corect urmatoarele aspecte:
”In cauza, pentru a dovedi conduita sa diligenta in ce priveste instruirea personalului in domeniul protectiei datelor cu caracter personal reclamanta (Banca Transilvania) a depus o serie de reglementari interne precum si dovada organizarii unor cursuri avand aceasta tematica, insa apare important de subliniat ca nu s-a dovedit participarea efectiva a personalului la aceste cursuri si nici aplicarea efectiva a vreunei modalitati de verificare a insusirii acestor cunostinte ai informatii.
De altfel, aspectele invocate de reclamanta (Banca Transilvania) in sensul in care ar fi luat masuri adecvate, in scopul implementarii prevederilor din Regulament, sunt contrazise chiar de faptele constatate prin procesul verbal de contraventie si necontestate, care atesta divulgarea intentionata, in mod neautorizat, de catre persoanele aflate sub autoritatea Bancii, a unui [set] insemnat de date cu caracter personal (unele din categoria datelor extrem de sensibile) catre un numar foarte mare de persoane.
Dezinvoltura cu care angajatii reclamantei au actionat, transmitand de la unul la altul datele cu caracter personal ale clientului bancii si ulterior, unor terte persoane, prin intermediul aplicatiei Whatsapp, atesta nu doar necunoasterea procedurilor de lucru privind prelucrarea datelor cu caracter pesonal cat mai ales (si mai grav) inabilitatea acestora de a identifica si califica datele la care au acces ca fiind date cu caracter personal, ceea ce denota o lipsa acuta de instruire efectiva.
Asadar, desi reclamanta a depus la dosar, in copie, extrase din diverse proceduri interne aceasta nu a dovedit, pe de o parte, instruirea efectiva a celor trei angajati care au produs incidentul de securitate, iar pe de alta parte, ca a aplicat mecanismele de control si evaluare elaborate pentru a se asigura ca angajatii sai si-au insusit mentionatele reglementari interne.
Asa fiind, inscrisurile prezentate de reclamanta, in dovedirea implementarii masurilor tehnice organizatorice adecvate, nu sunt de natura sa probeze asigurarea unui nivel de securitate corespunzator privind capacitatea de a asigura confidentialitatea si testarea, evaluarea si aprecierea periodice ale eficacitatii masurilor tehnice si organizatorice pentru a garanta securitatea prelucrarii.”
Luand in calcul cele mentionate anterior, Autoritatea de supraveghere a subliniat urmatoarele:
In ce priveste consecintele incalcarii, Tribunalul Cluj a retinut ca ”acestea au fost corect calificate de catre parata (Autoritatea de supraveghere-ANSPDCP) ca find grave prin raportare la cantitatea datelor cu caracter personal diseminate de angajatii Bancii, natura sensibila a acestora, modalitatea de diseminare (prin internet, mailul cuprinzand datele clientului Bancii circuland intens in spatiul public, informatii sintetice find preluate inclusiv de bloguri, canale TV si site-uri de stiri), numarul extrem de mare al persoanelor care au dobandit acces la datele clientului Bancii pentru o perioada de timp imposibil de determinat, urmare a transmiterii informatiilor prin mijloacele cele mai diverse, toate aceste aspecte fiind in masura sa confere o imagine corecta cu privire la amploarea si gravitatea consecintelor incidentului de securitate.
Reclamanta (Banca Transilvania) a recunoscut, de altfel, raportat la modalitatea de transmitere a datelor cu caracter personal, ca masurile intreprinse pentru limitarea consecintelor bresei de securitate nu au fost „fezabile”, amploarea diseminarii acestora in spatiul public fiind in mod evident scapata de sub control.
Parata a valorificat corespunzator si criteriile prevazute la art. 83 alin (2) lit.c)-k), dovada examinarii temeince a acestor criterii find tocmai stabilirea unei amenzi intr-un cuantum mult inferior maximului admis pentru fapta savarsita de reclamanta. De altfel, procesul-verbal cuprinde in detaliu analiza efectuata de parata cu privire la fiecare dintre criteriile stabilite prin art. 83 alin. (2) pentru individualizarea sanctiunii.”
In final, instanta de fond a concluzionat in mod corect faptul ca:
«Pentru toate considerentele de fapt si de drept mai sus expuse tribunalul va concluziona in sensul ca amenda in cuantum de 100.000 euro este legala, „eficace, proportionala si disuasiva” si a fost stabilita cu luarea in considerare a naturii, gravitatii si consecintelor incalcarii, precum si tuturor celorlalte criterii prevazute de Regulament, criterii care au fost analizate de parata (Autoritatea de supraveghere-ANSPDCP) in mod coerent si obiectiv.»
Multumim,
Echipa MyBiz GDPR