Una dintre amenzile GDPR cele mai mari din ultima perioada a venit exact inaintea sarbatorilor, la adresa unei banci romanesti. Este vorba, mai precis, despre Banca Transilvania, care a fost amendata de catre Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPDCP) cu 100.000 de euro pentru incalcarea Regulamentului General privind Protectia Datelor.
Motivatia clientului de a retrage banii a ajuns pe Facebook
Astfel, in urma investigatiei declansate, ANSPDCP a constatat ca a avut loc dezvaluirea in spatiul public (online) a declaratiei solicitate de banca unui client al sau cu privire la modul in care acesta intentiona sa utilizeze o anumita suma de bani pe care dorea sa o extraga din contul sau. Iar daca pana aici pare un caz clasic de incalcare GDPR, continuarea face nota discordanta. Mai precis, declaratia clientului cu privire la intrebuintarea banilor a fost distribuita intre cativa angajati ai Bancii Transilvania pe adresele de e-mail de serviciu. Unul dintre angajati a listat emailul ce continea declaratia clientului, precum si emailul ce continea conversatia interna intre angajații operatorului. Apoi, un alt angajat a fotografiat cu telefonul mobil inscrisul listat si l-a distribuit prin intermediul aplicației WhatsApp, ulterior acesta ajungand pe reteaua de socializare Facebook si pe un site.
Aceasta situatie a condus la dezvaluirea anumitor date cu caracter personal (nume si prenume, adrese de email, date comportamentale, preferinte personale, valoare tranzactie financiara, adresa locului de munca, functie si numar de telefon de serviciu) a 4 persoane fizice (un client și 3 angajati proprii), desi operatorul avea obligația de a respecta confidentialitatea datelor personale.
Banca Transilvania (fosta Bancpost), probleme in trecut si cu ANPC
Banca Transilvania, mai precis entitatea numita astfel ca urmare a fuzionarii cu Bancpost, nu este la prima reclamatie din partea consumatorilor, speta fiind insa, este adevarat, diferita. Astfel, Autoritatea Nationala pentru Protectia Consumatorilor (ANPC) sanctiona Bancpost S.A., in vara anului 2018, cu amenda in valoare de 150.000 lei, pentru incalcarea prevederilor legale privind practicile comerciale incorecte conform Legii 363/2007, cat si pentru afectarea intereselor economice ale consumatorilor, conform O.G. 21/1992. In urma actiunii de control de la vremea respectiva erau verificate aspecte privind dobanzi, dobanzi penalizatoare, penalitati calculate si retinute in mod nejustificat, ANPC constantand ca cesionarul creditului nu a avut calitatea de banca, respectiv institutie de credit autorizata, dobanda calculata si retinuta trebuind de fapt sa fie zero. Banca Transilvania, devenita intre timp entitatea cunoscuta astazi sub acest nume ca urmare a procesului de fuzionare cu Bancpost, a contestat insa sanctiunea ANPC, castigand in instanta procesul cu institutia ce apara drepturile consumatorilor.
Revenind la amenda GDPR, insa, dupa cum constata chiar ANSPDCP, dezvaluirea produsa in spațiul public dovedeste ineficienta instruirii angajatilor bancii privind respectarea normelor de protectia datelor cu caracter personal ale persoanelor vizate, desi instruirea angajatilor este parte intrinseca a masurilor tehnice si organizatorice pe care operatorul era obligat sa le adopte in vederea asigurarii unui nivel de securitate corespunzator.
