BCR si Raiffeisen Bank amendate de Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal

Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul Banca Comercială Română SA și a constatat încălcarea dispozițiilor art. 25 alin. (1) și art. 32 alin. (1) lit. b), d) și alin. (2) din Regulamentul General privind Protecția Datelor. Ca atare, operatorul a fost sancționat contravențional cu amendă în cuantum de 9864,8 lei (echivalentul sumei de 2000 EURO).

Investigația a fost demarată ca urmare a unei notificări de încălcare a securității datelor care a fost transmisă de Banca Comercială Română SA, în baza dispozițiilor art. 33 din Regulamentul General privind Protecția Datelor.

Astfel, potrivit celor menționate în formularul de notificare, încălcarea securității prelucrării datelor s-a produs ca urmare a unei erori tehnice a unei aplicații IT a operatorului.

În cadrul investigației s-a constatat că au fost transmise e-mailuri conținând datele cu caracter personal ale unor clienți către alți clienți.

„Această încălcare a securității datelor a condus la divulgarea neautorizată sau accesul neautorizat la anumite date cu caracter personal, cum ar fi: nume și prenume, CNP, adresa de domiciliu, număr de telefon, adresa de e-mail, alături de informații financiare generate eronat privind câștigul cumulat, pierderea cumulate, câștigul net, pierderea netă, impozitul datorat cumulat, impozitul de plată, impozit de recuperat, fiind afectat de incident un număr de 564  persoane fizice vizate, clienți ai bancii,” potrivit comunicatului.

Totodată, Autoritatea Națională de Supraveghere a constatat că Banca Comercială Română SA nu a luat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării, încălcându-se astfel prevederile art. 25 alin. (1) și art. 32 alin. (1) lit. b), d) și alin. (2) din Regulamentul General privind Protecția Datelor.

In cazul Raiffeisen Bank, Autoritatea Națională de Supraveghere a finalizat în luna august 2022 o investigație și a constatat încălcarea dispozițiilor art. 5 alin. (1) lit. a), b) și d) și ale art. 6 din Regulamentul General privind Protecția Datelor.

SC Raiffeisen Bank SA, în calitate de împuternicit al unui operator, a fost sancționată astfel:

. cu avertisment pentru încălcarea dispozițiilor art. 5 alin. (1) lit. a) și b) și ale art. 6 din Regulamentul General privind Protecția Datelor;

. cu amendă în cuantum de 9.763,60 lei (echivalentul sumei de 2.000 EURO) pentru încălcarea dispozițiilor 5 alin. (1) lit. d) din Regulamentul General privind Protecția Datelor.

Investigația a fost demarată ca urmare a unei plângeri formulate de un petent care a reclamat faptul că un operator îi transmite pe numărul său de telefon mobil mesaje text tip SMS referitoare la transferurile unor sume de bani către anumite persoane, transferuri pe care petentul nu le-a efectuat.

„În cadrul investigației efectuate s-a constatat că la nivelul SC Raiffeisen Bank SA, în calitate de împuternicit, s-a introdus în mod eronat numărul de telefon al petentului în cadrul aplicației pusă la dispoziție de operator prin care se inițiau tranzacții la solicitarea clienților,” se arata in comunicatul Autoritatii.

De asemenea, s-a reținut faptul că petentul nu a fost client al SC Raiffeisen Bank SA și nu a solicitat inițierea unor tranzacții prin intermediul aplicației operatorului.

Totodată, Autoritatea de supraveghere a constatat că SC Raiffeisen Bank SA, în calitate de împuternicit, a prelucrat date inexacte (numărul de telefon) ale persoanelor, clienți ocazionali, care au realizat tranzacții de bani prin aplicația operatorului, utilizând numărul de telefon al petentului în cadrul a 44 de tranzacții, încălcându-se astfel principiul exactității datelor prevăzut la art. 5 alin. (1) lit. d) din Regulamentul General privind Protecția Datelor.