Amenda de 3.000 euro pentru incalcarea GDPR in domeniul creditelor

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a încheiat, în iunie 2025, o investigație privind Asociația Casa de Ajutor Reciproc „FLEXICREDIT”, în urma căreia a constatat încălcarea art. 32 alin. (2) din Regulamentul General privind Protecția Datelor (GDPR).

În consecință, operatorul a fost sancționat cu o amendă de 15.141,6 lei (echivalentul a 3.000 euro).

Cum a început investigația?

Cazul a pornit de la o sesizare transmisă chiar de FLEXICREDIT, care a semnalat faptul că o angajată a unei școli gimnaziale a obținut acces neautorizat la adresa de e-mail oficială a unității de învățământ. Aceasta a trimis documente false către Flexicredit pentru a contracta 17 credite.

Constatările ANSPDCP

În urma investigației, autoritatea a descoperit că, în perioada 2023–2024:

-FLEXICREDIT a acordat 17 credite pe baza unor documente falsificate, transmise electronic de o persoană terță, fără consimțământul real al persoanelor vizate;

-operatorul nu a verificat corespunzător identitatea solicitanților în cazul cererilor de credit la distanță;

-nu au fost implementate măsuri tehnice și organizatorice adecvate pentru protecția datelor personale, ceea ce a dus la expunerea unor informații sensibile (nume, prenume, CNP, adresă, seria și numărul actului de identitate, date de valabilitate și emitent, domiciliu).

Astfel, un număr semnificativ de persoane a fost afectat de prelucrarea datelor în mod nelegal, în contextul acordării creditelor pe baza documentelor falsificate.

Sancțiunea aplicată

Ținând cont de criteriile de individualizare a sancțiunilor prevăzute de art. 83 GDPR, ANSPDCP a aplicat o amendă de 3.000 de euro pentru încălcarea art. 32 alin. (2) GDPR privind securitatea datelor personale.