O noua amenda GDPR...Raiffeisen Bank
Autoritatea Națională de Supraveghere a finalizat în cursul lunii
septembrie 2022 o investigație la operatorul Raiffeisen Bank SA și a constatat multiple încălcări
ale dispozițiilor Regulamentului General privind Protecția Datelor.
Operatorul a fost sancționat contravențional cu două avertismente
și cu trei amenzi în cuantum total de 138.572 lei (echivalentul sumei de
28.000 EURO), astfel:
1. Amendă în
cuantum de 98.980,00
RON, echivalentul a 20000 EURO pentru
încălcarea art. 32
alin. (4) coroborat cu art. 32 alin. (1) și alin. (2) din RGPD;
2. Avertisment pentru
încălcarea prevederilor art.
32 alin. (1) și art. 32 alin. (2) din RGPD;
3. Amendă în
cuantum de 14.847,00
RON, echivalentul a 3000 EURO, pentru încălcarea art. 32 alin. (4) coroborat cu art. 32
alin. (1) și alin. (2) din RGPD;
4. Amendă în
cuantum de 24.745,00
RON, echivalentul a 5000 EURO, pentru încălcarea art. 25 alin. (1) din RGPD;
5. Avertisment pentru
încălcarea prevederilor art.
32 alin. (4) coroborat cu art. 32 alin. (1) și alin. (2) din RGPD.
Investigația a fost demarată ca urmare a transmiterii de către
operatorul Raiffeisen Bank SA a unui număr de 17 notificări cu
privire la producerea unor încălcări a securității datelor cu caracter
personal, raportat la dispozițiile Regulamentului General privind Protecția
Datelor.
Astfel, în cursul investigației s-au constatat, în principal,
următoarele:
S-au efectuat interogări de către Raiffeisen Bank SA în sistemul
de evidență administrat de Biroul de Credit S.A., respectiv în cel administrat
de Agenția Națională de Administrare Fiscală (ANAF) și, de asemenea, s-au
utilizat sistemele informatice ale operatorului Raiffeisen Bank S.A. pentru a
simula decizii de creditare (“prescoring”) pentru un broker extern de
credite.
În două situaţii, s-a procedat la efectuarea de operațiuni de
prescoring pentru clienți sau potențiali clienți, însă interogarea în Sistemul
Biroului de Credit s-a realizat fără ca documentația aferentă interogării să
fie semnată de solicitanții respectivi. S-a constatat că incidentele notificate
Autorității naţionale de supraveghere au vizat un număr de cel puțin 169
persoane fizice.
Operatorul Raiffeisen Bank SA a notificat Autorității un incident
referitor la acordarea de credite unor clienți, persoane fizice, prin
intermediul unei entități având calitatea de persoană împuternicită a
operatorului. La baza notificării au stat informații potrivit cărora clienților
li s-ar fi aprobat credite de nevoi personale fără ca aceștia să le fi
solicitat și fără să fi semnat documentele aferente.
Prin urmare, s-a reținut faptul că Raiffeisen Bank S.A. nu a luat
măsuri pentru a asigura că orice persoană fizică care acționează sub
autoritatea operatorului și are acces la date cu caracter personal nu le
prelucrează decât la cererea operatorului și nu a implementat măsuri tehnice și
organizatorice adecvate în vederea asigurării unui nivel de securitate
corespunzător riscului prelucrării. Aceasta a condus la accesul neautorizat
și/sau divulgarea neautorizată a datelor cu caracter personal transmise,
stocate sau prelucrate prin aplicațiile informatice utilizate de Raiffeisen
Bank S.A. în activitatea de creditare.
Operatorul a notificat un incident cu privire la încălcarea
securităţii datelor care a constat în faptul că, în derularea procesului de actualizare
a datelor unei cliente, s-a introdus în sistem o adresă de e-mail greșită și
s-a transmis altei persoane fizice un document cu multiple date personale
aparținând clientului băncii.
Un alt incident a constat în faptul că operatorul Raiffeisen Bank
SA a transmis, prin e-mail, date confidențiale către o altă persoană decât
persoana vizată.
O altă notificare a unui incident produs la nivelul operatorului a
vizat faptul că s-a transmis pe o adresă de e-mail eronată a unei alte
persoane fizice, un document intitulat ”Formular pentru definire date
personale” și care conținea numeroase date personale ale unui client al băncii.
Un incident similar s-a produs ca urmare a faptului că doi clienți
ai operatorului au depus sesizări asemănătoare, iar în momentul pregătirii
e-mailului de răspuns la sesizarea primului client, operatorului a anexat în
emailul transmis acestuia documente cu date personale aparținând celuilalt
client. Cauza transmiterii greșite a documentelor a fost reprezentantă de
asemănarea dintre tipologia sesizărilor și momentul succesiv de trimitere a
răspunsului.
Un alt incident cu privire la încălcări a securității datelor,
notificat de operator, a privit o situație ce implică și suspiciuni de frauda
internă în creditare și a constat în:
a) efectuarea de operațiuni specifice pentru acordarea unui credit
pentru un client persoană fizică, fără prezența solicitantului la sediul
agenției.
b) solicitarea de facilități de credit de tip Card de Credit,
completarea și semnarea documentației aferente facilității de tip card de
credit, solicitarea de facilități de credit de tip credit de nevoi personale,
completarea și semnarea documentației aferente facilității de tip credit de
nevoi personale, actualizarea datelor persoanelor vizate în aplicația Băncii
prin modificarea numărului de telefon al persoanelor vizate cu numărul de
telefon al angajatului băncii și prin introducerea unei adrese de email
fictive.
Un incident similar, notificat de operator și investigat de
Autoritatea națională de supraveghere, a constat în prelucrarea de date de
către operator în legătură cu acordarea a trei facilități de credit
(Flexicredit, refinanțare Flexicredit respectiv Card de Cumpărături), în
numele unei persoanei fizice, client al băncii, dar fără ca acesta să fi solicitat,
în realitate acele credite.
O altă încălcare a securității datelor cu caracter personal,
notificată de operatorul din domeniul bancar, a constat în divulgarea
neautorizată a datelor cu caracter personal ale unor clienți din contul Smart
Mobile (serviciul de mobile banking pus la dispoziție de către Raiffeisen Bank)
al acestora către alți clienți ai operatorului.
În contextul celor de mai sus, în cadrul investigației s-a
constatat că operatorul Raiffeisen Bank S.A. nu a luat măsuri pentru a asigura
că orice persoană fizică care acționează sub autoritatea sa și are acces la
date cu caracter personal nu le prelucrează decât la cererea operatorului.
Aceasta a condus la accesul neautorizat la datele cu caracter personal ale
clienților Raiffeisen Bank S.A., (de exemplu, nume, prenume, adresa de
domiciliu, cetățenie, naționalitate, imaginea persoanei, codul numeric
personal, numărul și seria cărții de identitate, email, nr. telefon, date din
Sistemul Biroului de Credit, date din sistemul de evidență administrat de ANAF,
date din contul Smart Mobile) și la divulgarea neautorizată a acestor date,
de către operator.
Subliniem că, potrivit art. 5 alin. (1) lit. f) din RGPD,
Raiffeisen Bank S.A. avea obligația de a prelucra datele cu caracter personal
într-un mod care asigură securitatea adecvată a acestora, inclusiv protecţia
împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a
distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau
organizatorice corespunzătoare (“integritate și confidențialitate”).
Sursa: A.N.S.P.D.C.P
