UniCredit
Bank este prima organizaţie din România care este sancţionată de autoritatea
naţională pentru încălcarea prevederilor Regulamentului general privind
protecţia datelor.
Pe data de 27.06.2019, Autoritatea Națională de Supraveghere a
finalizat o investigație la operatorul UNICREDIT BANK S.A. și a constatat că
acesta a încălcat prevederile art. 25 alin. (1) din Regulamentul (UE) 2016/679al Parlamentului European şi al
Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce
priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie
a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general
privind protecţia datelor).
Operatorul a fost sancționat
contravențional cu amendă în cuantum de 613.912 lei, echivalentul în euro al
sumei de 130.000 euro.
Sancțiunea a
fost aplicată UNICREDIT BANK S.A. ca urmare a neaplicării măsurilor
tehnice şi organizatorice adecvate, atât în momentul stabilirii mijloacelor de
prelucrare, cât şi în cel al prelucrării în sine, destinate să pună în aplicare
în mod eficient principiile de protecție a datelor, precum reducerea la minimum
a datelor, şi să integreze garanțiile necesare în cadrul prelucrării, pentru a
îndeplini cerințele RGPD şi a proteja drepturile persoanelor vizate. Aceasta a
condus la dezvăluirea în documentele ce conţin detaliile tranzacţiilor şi care
sunt puse on-line la dispoziţia clienţilor beneficiari ai plăţilor, a datelor
privind CNP-ul și adresa plătitorului (pentru situaţiile în care plătitorul
efectua tranzacţia dintr-un cont deschis la o alta instituţie de credit –
tranzacţii externe şi depuneri la casierie), respectiv a datelor privind adresa
plătitorului (pentru situaţiile în care plătitorul efectua tranzacţia dintr-un
cont deschis la UNICREDIT BANK SA – tranzacţii interne), pentru un număr de
337.042 persoane vizate, în perioada 25 mai 2018 – 10.12.2018.
Sancțiunea a
fost aplicată ca urmare a unei sesizări a Autorității Naţionale de Supraveghere
din data de 22.11.2018 prin care se semnala faptul că datele privind CNP-ul și
adresa persoanelor care efectuau plăți la UNICREDIT BANK S.A., prin intermediul
tranzacțiilor on-line, erau dezvăluite către beneficiarul tranzacției, prin
formularele de extras de cont/detalii.
Potrivit
art. 5 alin. 1 lit. c) din RGPD (”Principii legate de prelucrarea datelor cu
caracter personal”), operatorul avea obligația de a prelucra date limitate la
ceea ce este necesar în raport cu scopurile în care sunt prelucrate datele.
În același
timp, considerentul (78) din Regulament precizează: ”Protecţia drepturilor şi
libertăţilor persoanelor fizice în ceea ce priveşte prelucrarea datelor cu
caracter personal necesită adoptarea de măsuri tehnice şi organizatorice
corespunzătoare pentru a se asigura îndeplinirea cerinţelor din prezentul
regulament. Pentru a fi în măsură să demonstreze conformitatea cu prezentul
regulament, operatorul ar trebui să adopte politici interne şi să pună în
aplicare măsuri care să respecte în special principiul protecţiei datelor
începând cu momentul conceperii şi cel al protecţiei implicite a datelor.
Astfel de măsuri ar putea consta, printre altele, în reducerea la minimum a
prelucrării datelor cu caracter personal, pseudonimizarea acestor date cât mai
curând posibil, transparenţa în ceea ce priveşte funcţiile şi prelucrarea
datelor cu caracter personal, abilitarea persoanei vizate să monitorizeze
prelucrarea datelor, abilitarea operatorului să creeze elemente de siguranţă şi
să le îmbunătăţească. Atunci când elaborează, proiectează, selectează şi
utilizează aplicaţii, servicii şi produse care se bazează pe prelucrarea
datelor cu caracter personal sau care prelucrează date cu caracter personal
pentru a-şi îndeplini rolul, producătorii acestor produse şi furnizorii acestor
servicii şi aplicaţii ar trebui să fie încurajaţi să aibă în vedere dreptul la
protecţia datelor la momentul elaborării şi proiectării unor astfel de produse,
servicii şi aplicaţii şi, ţinând cont de stadiul actual al dezvoltării, să se
asigure că operatorii şi persoanele împuternicite de operatori sunt în măsură
să îşi îndeplinească obligaţiile referitoare la protecţia datelor. Principiul
protecţiei datelor începând cu momentul conceperii şi cel al protecţiei
implicite a datelor ar trebui să fie luate în considerare şi în contextul
licitaţiilor publice.”
Conform
consultantului EU Privacy Nicoleta
Groaznicu- responsabil cu protecția datelor cu character personal- au
fost audiate jumătate din primăriile din țară și au fost identificate peste 300
de incidente de securitate, o parte din primarii nu au nici măcar politica cookie-urilor.
Articolul Prima amendă aplicată unei companii românești, de către ANSPDCP, pentru încălcarea securității datelor cu caracter personal – GDPR apare prima dată în Impact In Gorj.
