Autoritatea Nationala de Supraveghere a amendat ING Bank pentru folosirea datelor unei persoane fizice ulterior incheierii relatiei contractuale

Autoritatea Națională de Supraveghere a finalizat în data de 07.12.2020 o investigație la operatorul ING Bank N.V. Amsterdam – Sucursala București și a constatat încălcarea dispozițiilor art. 5 alin. (1) lit. a)-d) raportat la art. 6 alin. (1) din Regulamentul General privind Protecția Datelor.

„Operatorul ING Bank N.V. Amsterdam – Sucursala București a fost sancționat contravențional cu amendă în cuantum de 14.619,9 lei (echivalentul a 3.000 EURO),” potrivit comunicatului.

„Sancțiunea a fost aplicată operatorului ca urmare a faptului că acesta a prelucrat datele cu caracter personal ale unei persoane fizice ulterior încheierii relației contractuale cu ING Bank,” precizeaza Autoritatea.

În cursul desfășurării investigației, Autoritatea Națională de Supraveghere a constatat că operatorul  a transmis pe adresa de e-mail a unei persoane fizice mesaje referitoare la actualizarea datelor sale cu caracter personal, deși aceasta solicitase pe data de 24.11.2017 închiderea ultimului produs bancar deținut, respectiv un cont curent.  

De asemenea, s-a constatat că, urmare a unei erori de sistem, această cerere de închidere a contului curent nu a avut ca efect și închiderea relației de afaceri cu operatorul, aceasta fiind păstrată în continuare cu status „activ”.  

Această situație a condus la prelucrarea datelor cu caracter personal (adresa de e-mail, numele și prenumele, data de expirare a cărții de identitate) cu încălcarea prevederilor art. 5 alin. (1) lit. a)-d) din RGPD și fără îndeplinirea condițiilor de legalitate a prelucrării, așa cum sunt prevăzute în art. 6 alin. (1) din RGPD.

În acest context, Autoritatea menționeaza că art. 5 din RGPD reglementează principiile legate de prelucrarea datelor cu caracter personal, conform cărora datele cu caracter personal trebuie să fie:

a) prelucrate în mod legal, echitabil şi transparent faţă de persoana vizată („legalitate, echitate şi transparenţă”);

b) colectate în scopuri determinate, explicite şi legitime şi nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri;

c) adecvate, relevante şi limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate („reducerea la minimum a datelor”)

d) exacte şi, în cazul în care este necesar, să fie actualizate; trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt şterse sau rectificate fără întârziere („exactitate”);