În luna octombrie 2024, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a finalizat o investigație ce a scos la iveală multiple încălcări ale Regulamentului (UE) 2016/679 (GDPR) de către Raiffeisen Bank S.A. Ca urmare, operatorul a fost amendat cu 99.466 lei (echivalentul a 20.000 de euro).
Detalii privind investigația
Aceasta a fost demarată după ce banca a raportat trei incidente de securitate legate de prelucrarea datelor cu caracter personal. Printre problemele identificate:
1️⃣ Utilizarea neautorizată a datelor personale de către un angajat
Un angajat al băncii a utilizat documente și informații confidențiale ale unui client pentru a realiza tranzacții financiare și a contracta credite fără acordul acestuia. Printre datele afectate se numără: numele, CNP, adresa, datele de contact, istoricul financiar și informații despre produse și servicii bancare.
2️⃣ Divulgarea neautorizată a informațiilor prin rețele sociale
Doi angajați ai băncii au transmis informații despre tranzacțiile unui client către un fost angajat al instituției prin platforme precum Facebook, Messenger și WhatsApp. Aceste informații au fost ulterior distribuite altor persoane neautorizate.
3️⃣ Operațiuni financiare frauduloase în numele clienților
Un alt incident grav a implicat deschiderea de conturi, constituirea de depozite, solicitarea de credite și realizarea de tranzacții fără cunoștința sau consimțământul clienților. În total, aceste activități s-au derulat între 2015 și martie 2023.
Motivele sancțiunii
Investigația a arătat că Raiffeisen Bank S.A. nu a implementat măsuri suficiente pentru a preveni accesul și prelucrarea neautorizată a datelor de către angajați. Aceste deficiențe au condus la accesul și divulgarea neautorizată a unor informații sensibile, afectând grav drepturile clienților.
Măsuri corective dispuse
Pe lângă amendă, Autoritatea Națională de Supraveghere a impus băncii să adopte mai multe măsuri pentru a evita astfel de situații în viitor:
Plan procedural pentru actualizarea și verificarea datelor clienților: Orice modificare a datelor personale trebuie să fie notificată și aprobată de către client.
Informarea regulată a angajaților: La fiecare șase luni, personalul cu acces la date personale trebuie să fie instruit cu privire la riscurile prelucrării neautorizate.
Ce putem învăța din acest caz?
Acest incident subliniază importanța respectării regulamentelor GDPR și a adoptării unor măsuri stricte pentru protejarea datelor personale. Este un avertisment clar pentru toate organizațiile care gestionează date sensibile: lipsa unor măsuri adecvate de securitate poate avea consecințe financiare și reputaționale semnificative.
Respectarea confidențialității și protecția datelor clienților ar trebui să fie priorități pentru orice operator economic.
Tu știi cât de protejate sunt datele tale personale?
sursa: http://dataprotection.ro