Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal a anunțat joi că Banca Transilvania a fost amendată cu 487.380 de lei, echivalentul a 100.000 de euro, pentru încălcarea Regulamentului privind Protecția Datelor.
„Operatorul Banca Transilvania SA a fost sancționat contravențional cu amendă în cuantum de 487.380 lei (echivalentul a 100.000 EURO). Investigația a fost demarată în urma primirii unor sesizări cu privire la încălcarea confidențialității și securității datelor personale”, se arată într-un comunicat al Autorității Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP).
Conform acestuia, s-a constatat că a avut loc dezvăluirea în spațiul public a declarației solicitată de operator unui client cu privire la modul în care intenționa să utilizeze o anumită sumă de bani pe care acesta dorea să o ridice din contul său.
„Această declarație a fost distribuită între câțiva angajați ai Băncii Transilvania pe adresele de e-mail de serviciu. Unul dintre angajați a listat e-mailul ce conținea declarația clientului, precum și e-mailul ce conținea conversația internă între angajații operatorului. Un alt angajat a fotografiat cu telefonul mobil înscrisul listat și l-a distribuit prin intermediul aplicației WhatsApp. Ulterior, înscrisul listat a fost postat și distribuit pe rețeaua de socializare Facebook și pe un site”, se mai arată în comunicat.
Situația a dus la dezvăluirea unor date cu caracter personal (nume și prenume, adrese de e-mail, date comportamentale, preferințe personale, valoare tranzacție financiară, adresa locului de muncă, funcție și locul muncii, număr de telefon de serviciu) a patru persoane fizice vizate (un client și 3 angajați proprii).
„În cadrul investigației efectuate la Banca Transilvania SA, Autoritatea de supraveghere a constatat că operatorul nu a luat măsuri suficiente pentru a asigura faptul că orice persoană fizică care acţionează sub autoritatea operatorului (salariații operatorului) şi care are acces la date cu caracter personal nu le prelucrează decât la cererea operatorului. Dezvăluirea produsă în spațiul public dovedește și ineficiența instruirii interne a angajaților operatorului privind respectarea normelor de protecția datelor cu caracter personal ale persoanelor vizate, deși instruirea angajaților este parte intrinsecă a măsurilor tehnice și organizatorice pe care operatorul era obligat să le adopte”, potrivit comunicatului.
Reprezentanții ANSPDCP susțin că dezvăluirea datelor cu caracter personal pe internet a generat o serie de prejudicii de natură morală, precum și alte dezavantaje semnificative de natură economică sau socială pentru persoana fizică afectată de producerea incidentului de securitate.