Banca Comerciala Romana a fost sanctionata contravențional de catre Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal cu amendă în cuantum de 24163,50 lei, echivalentul sumei de 5000 EURO pentru încălcarea dispozițiilor referitoare la securitatea prelucrării, respectiv art. 32 alin. (4) coroborat cu art. 32 alin. (1) și alin. (2) din Regulamentul General privind Protecția Datelor.
BCR, tradata de Whatsapp
Investigația a fost demarata in urma primirii unei plangeri, iar in cursul desfasurarii acesteia, Autoritatea Nationala de Supraveghere a constatat ca Banca Comerciala Romana nu a implementat măsuri tehnice și organizatorice adecvate in vederea asigurării unui nivel de securitate corespunzător riscului prelucrării. În același timp, operatorul nu a luat măsuri pentru a asigura că orice persoană fizică care acționează sub autoritatea sa și care are acces la date cu caracter personal nu le prelucrează decât la cererea sa, cu excepția cazului în care această obligație îi revine în temeiul dreptului Uniunii sau al dreptului intern.
Astfel, s-a constatat că a avut loc o colectare a copiilor actelor de identitate ale clienților persoanelor fizice (minori și reprezentanți legali) prin intermediul telefonului personal al unei angajate a operatorului, precum și transmiteri ale copiilor acestor acte la nivelul operatorului, prin aplicația Whatsapp, cu incalcarea procedurii de lucru interne.
Ce spun GDPR si Consiliul Europei
Amenda vine in contextul in care inevitabilul s-a petrecut: epidemia de Covid-19 a obligat Statele sa adopte anumite masuri pentru combaterea efectelor acesteia, numai ca unele masuri au avut ca efect restricționarea anumitor drepturi si libertati individuale. Totuși, trebuie spus ca dreptul la protecția datelor cu caracter personal nu este un drept absolut, acesta trebuind echilibrat cu alte drepturi fundamentale, inclusiv cu dreptul la protejarea sanatatii. Pe cale de consecinta, Consiliul Europei recomanda ca prelucrarea pe scara larga a datelor personale cu ajutorul inteligentei artificiale sa fie realizata doar atunci cand dovezile stiintifice arata in mod convingator ca beneficiile potentiale asupra sanatatii publice depasesc beneficiile ce ar putea fi obținute prin soluții alternative, mai puțin intruzive.
Conform punctului 46 din Preambulul Regulamentului GDPR, pe de alta parte, prelucrarea de date cu caracter personal ar trebui sa fie considerata legala atunci cand serveste unor interese esentiale pentru viata persoanei vizate sau altei persoane fizice, inclusiv in vederea monitorizarii unei epidemii si a raspandirii acesteia. De asemenea, din punctele 52-54 rezultă faptul ca derogarea de la interdictia privind prelucrarea categoriilor speciale de date cu caracter personal (inclusiv date legate de sanatate) ar trebui să fie permisă in scopuri justificate, precum cele de securitate, supraveghere si alerta in materie de sanatate, pentru prevenirea sau controlul bolilor transmisibile (deci, inclusiv in actualul context epidemiologic).
