Domeniul bancar vizat de o noua sanctiune GDPR

Incepem anul cu vesti nu tocmai bune.

Anul 2020 s-a incheiat cu o noua sanctiune aplicata unui operator de date din domeniul bancar, este vorba de ING Bank, care a fost supus unei investigatii in urma careia s-au constatat nereguli si s-a aplicat o sanctiune in valoare de 14.619,9 lei (echivalentul a 3.000 EURO). 

Comunicatul publicat pe site-ul Autoritatii nationale de protectie a datelor-ANSPDCP in data de 30.12.2020 ne aduce la cunostinta urmatoarele detalii ale cazului:

Autoritatea Nationala de Supraveghere a finalizat în data de 07.12.2020 o investigatie la operatorul ING Bank N.V. Amsterdam – Sucursala Bucuresti si a constatat încalcarea dispozitiilor art. 5 alin. (1) lit. a)-d) raportat la art. 6 alin. (1) din Regulamentul General privind Protectia Datelor.

Operatorul ING Bank N.V. Amsterdam – Sucursala Bucurestia fost sanctionat contraventional cu amenda în cuantum de 14.619,9 lei (echivalentul a 3.000 EURO).

Sanctiunea a fost aplicata operatorului ca urmare a faptului ca acesta a prelucrat datele cu caracter personal ale unei persoane fizice ulterior incheierii relatiei contractuale cu ING Bank.

In cursul desfasurarii investigatiei, Autoritatea Naționala de Supraveghere a constatat ca operatorul  a transmis pe adresa de e-mail a unei persoane fizice mesaje referitoare la actualizarea datelor sale cu caracter personal, desi aceasta solicitase pe data de 24.11.2017 inchiderea ultimului produs bancar detinut, respectiv un cont curent.  

De asemenea, s-a constatat ca, urmare a unei erori de sistem, aceasta cerere de inchidere a contului curent nu a avut ca efect si inchiderea relatiei de afaceri cu operatorul, aceasta fiind pastrata in continuare cu status „activ”.  

Aceasta situatie a condus la prelucrarea datelor cu caracter personal (adresa de e-mail, numele si prenumele, data de expirare a cartii de identitate) cu incalcarea prevederilor art. 5 alin. (1) lit. a)-d) din RGPD si fara indeplinirea conditiilor de legalitate a prelucrarii, asa cum sunt prevazute in art. 6 alin. (1) din RGPD.

In acest context, mentionam ca art. 5 din RGPD reglementeaza principiile legate de prelucrarea datelor cu caracter personal, conform carora datele cu caracter personal trebuie sa fie:

a) prelucrate in mod legal, echitabil si transparent faţa de persoana vizata („legalitate, echitate şi transparenta”);

b) colectate in scopuri determinate, explicite si legitime si nu sunt prelucrate ulterior intr-un mod incompatibil cu aceste scopuri;

c) adecvate, relevante si limitate la ceea ce este necesar in raport cu scopurile in care sunt prelucrate („reducerea la minimum a datelor”)

d) exacte si, in cazul in care este necesar, sa fie actualizate; trebuie sa se ia toate masurile necesare pentru a se asigura ca datele cu caracter personal care sunt inexacte, avand in vedere scopurile pentru care sunt prelucrate, sunt sterse sau rectificate fara intarziere („exactitate”);

Din acest comunicat reiese ca ING BANK a continuat sa prelucreze datele unui fost client, desi acesta a cerut bancii sa incheie relatiile contractuale si sa inchida conturile pe care le avea deschise la ei, lucru care trebuia sa puna capat prelucrarii.

A nu se intelege de aici ca datele trebuie neaparat si sterse, in evidentele bancii, pentru alt temei legal, datele clientului puteau fi pastrate, avand in vedere faptul ca vorbim de conturi bancare, tranzactii si legislatia aplicabila domeniului bancar. Insa pastrarea lor se face in conditii de limitare acces strict personalului desemnat sa administreze astfel de baze de date si nu se prelucrau date decat strict in conditiile in care legislatia aplicabila domeniului bancar prevede acest lucru.

Insa greseala care a dus la prelucrarea abuziva a fost aceea ca cererea clientului nu a fost solutionata, pastrandu-se statusul sau activ desi ceruse incheierea relatiei cu banca.

Sursa https://www.dataprotection.ro/