Amenda GDPR pentru transmiterea datelor personale prin WhatsApp

Amenda GDPR pentru transmiterea datelor personale prin WhatsApp

Raiffeisen Bank a fost amendata pentru ca doi angajati ai bancii au utilizat date transmise de catre personalul Vreau Credit prin intermediul aplicatiei WhatsApp la simulari de prescoring.

Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPDC) a amendat Raiffeisen Bank cu 150.000 de euro si societatea Vreau Credit cu 20.000 de euro.

 

In ce au constat incalcarile normelor:

 

♦ Conform comunicatului, doi angajati ai Raiffeisen Bank S.A. au utilizat datele din documentele de identitate ale unor persoane fizice, transmise de catre angajati ai societatii Vreau Credit SRL prin intermediul aplicatiei mobile WhatsApp. Cei doi angajati au facut interogari ale Biroului de Credit pentru a obtine datele necesare in vederea determinarii eligibilitatii de creditare, prin simulari de prescoring. In total, au fost efectuate 1194 simulari, cu privire la 1177 persoane fizice.

 

Ce au declarat reprezentantii Raiffeisen Bank

 

Reprezentantii Raiffeisen Bank sustin ca incidentul pentru care banca a primit amenda este un caz descoperit, documentat si raportat institutiei chiar de specialistii bancii.

"Este un caz descoperit, documentat si raportat Autoritatii de catre specialistii bancii, conform reglementarilor legale. Este un incident operational generat de catre doi fosti angajati, iar banca a luat masurile cuvenite", sustin reprezentantii bancii, citati de agerpres,ro.

Autoritatea Nationala de Supraveghere a anuntat in data de 1 octombrie 2019 incheierea a doua investigatii care vizeaza operatorii Raiffeisen Bank S.A. si Vreau Credit S.R.L.

Comunicatul de presa a fost publicat oficial, pe site-ul dataprotection.ro, in data de 9 octombrie 2019

 

Ce spune Autoritatea Nationala de Supraveghere

 

In urma investigatiei, au fost constatate urmatoarele:

 

“Autoritatea Nationala de Supraveghere a finalizat in data de 01.10.2019 doua investigatii la operatorii Raiffeisen Bank S.A. si Vreau Credit S.R.L. constatand urmatoarele:

♦ Raiffeisen Bank S.A. a incalcat prevederile art. 32 alin. (4) coroborat cu art. 32 alin. (1) si alin. (2) din RGPD, ceea ce a condus la aplicarea unei amenzi contraventionale in cuantum de 150.000 Euro

♦ Vreau Credit S.R.L. a incalcat prevederile art. 32 alin. (4) coroborat cu art. 32 alin. (1) si alin. (2) din RGPD, precum si ale art. 33 alin. (1) din RGPD, ceea ce a condus la aplicarea unei amenzi contraventionale in cuantum de 20.000 Euro.

In ceea ce priveste Raiffeisen Bank S.A., Autoritatea Nationala de Supraveghere a demarat o investigatie, ca urmare a transmiterii de catre banca a unei notificari privind incalcarea securitatii datelor cu caracter personal prin completarea formularului privind incalcarea securitatii conform Regulamentului (UE) 2016/679.

Incalcarea securitatii a constat in faptul ca doi angajati ai Raiffeisen Bank S.A., utilizand datele din documentele de identitate ale unor persoane fizice, transmise de catre angajati ai societatii Vreau Credit S.R.L. prin intermediul aplicatiei mobile WhatsApp, au efectuat interogari ale sistemului Biroului de Credit pentru a obtine datele necesare in vederea determinarii eligibilitatii la creditare a respectivelor persoane fizice, prin simulari de prescoring. In acest sens, au fost efectuate 1194 simulari, cu privire la 1177 persoane fizice.

De asemenea, pentru 124 de persoane fizice s-a efectuat si consultarea bazei de date a ANAF.

Simularile de prescoring mentionate mai sus au fost efectuate prin intermediul aplicatiei informatice utilizate de Raiffeisen Bank S.A. in activitatea de creditare, iar decizia negativa de creditare a fost comunicata de catre angajatii Raiffeisen Bank S.A. catre angajatii Vreau Credit S.R.L., cu incalcarea procedurilor interne.

Sanctiunea a fost aplicata operatorului ca urmare a faptului ca acesta nu a luat masurile corespunzatoare pentru a se asigura ca orice persoana fizica care actioneaza sub autoritatea acestuia si care are acces la date cu caracter personal, nu le prelucreaza decat la cererea sa, cu exceptia cazului in care aceasta obligatie ii revine in temeiul dreptului Uniunii sau al dreptului intern.

De asemenea, operatorul nu a implementat masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator si nu a evaluat riscurile pe care le prezinta prelucrarea.

Aceasta situatie a condus la accesul neautorizat la datele cu caracter personal prelucrate prin aplicatia informatica utilizata de Raiffeisen Bank S.A. in activitatea de creditare si la divulgarea neautorizata a datelor cu caracter personal de catre angajati ai bancii.

In ceea ce priveste operatorul Vreau Credit S.R.L., acesta a fost sanctionat, de asemenea, pentru incalcarea securitatii datelor, dar si pentru faptul ca pana la finalizarea investigatiei nu a notificat autoritatii de supraveghere incalcarea securitatii datelor cu caracter personal, fara intarzieri nejustificate, desi constatase producerea acestui incident de securitate inca din luna decembrie 2018, ceea ce a condus la incalcarea confidentialitatii datelor cu caracter personal ale clientilor proprii (persoanele vizate) si la prelucrarea neautorizata/ilegala a datelor cu caracter personal ale acestora.” - se arata in comunicatul oficial publicat pe dataprotection.ro.

 

Cateva informatii despre GDPR

 

 

Ce este GDPR

GDPR reprezinta Regulamentul (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE (Regulamentul general privind protectia datelor).

GDPR a fost publicat in Jurnalul Oficial al Uniunii Europene L119/4 mai 2016, a intrat in vigoare la 25 mai 2016 si este aplicabil din 25 mai 2018 la nivelul intregii Uniuni Europene.

GDPR contine un set de reguli menite sa ofere cetatenilor mai mult control asupra datelor care sunt de natura sa ii identifice.

 

Cine este obligat sa implementeze GDPR

 

GDPR se aplica oricarei organizatii care opereaza in cadrul UE, precum si oricarei organizatii din afara UE care ofera bunuri sau servicii clientilor sau intreprinderilor din UE.

In cele din urma, inseamna ca aproape fiecare corporatie majora din lume va trebui sa fie pregatita la intrarea in vigoare a GDPR. Scopul GDRP este de a simplifica mediul de reglementare pentru afaceri, astfel incat cetatenii si intreprinderile sa poata beneficia pe deplin de economia digitala.

 

La ce se refera regulamentul GDPR

 

Toate firmele, organizatiile si autoritatile sunt nevoite sa respecte noile obligatii, altfel risca amezi foarte mari si procese cu clientii sau angajatii. Iata cele mai importante lucruri pe care trebuie sa le stii despre acest regulament.

 

Prin date personale, regulamentul se refera la:

♦ Numele unei persoane fizice.

♦ Numerele de identificare.

♦ Date despre localizare.

♦ Orice alt tip de identificator online care este specific din punct de vedere fizic, psihologic, genetic, mental, economic, cultural sau social unei anumite persoane fizice.

♦ Orice operator de astfel de date trebuie:

♦ Sa se asigure ca datele colectate au un scop clar si nu sunt folosite in alt scop, arata o analiza GpeC.

♦ In cazul unui grup care detine mai multe firme sau al unui unei firme care detine mai multe magazine (spre exemplu), datele colectate nu pot fi folosite „la comun” deoarece scopul colectarii a fost diferit.

♦ Sa resctrictioneze accesul la datele clientilor doar angajatilor care au nevoie de acele date pentru a-si indeplini sarcinile de serviciu;

♦ Sa detina un registru al evidentelor in care sa tina cont de activitatile de prelucrare a datelor deoarece activitatea acestora nu este ocazionala.

♦ Sa se asigure ca tertii cu care lucreaza sunt in UE, Spatiul Economic European, sau in alte state cu regim adecvat si ca asigura securitatea datelor; prin terti se intelege orice operator, tool, plug-in sau alte instrumente tehnice care folosesc sau colecteaza date personale, inclusiv Facebook Pixel;

♦ Sa informeze clientii, in pagina de check-out, cu privire la folosirea datelor pe care le acestia le ofera (datele de facturare si livrare) intrucat informarea clientilor cu privire la datele colectate este obligatorie din momentul colectarii datelor;

♦ Sa stearga datele la cererea clientului, daca cererea are un temei legal, indiferent daca acest lucru se face prin suprascriere sau stergere definitiva, atat timp cat procesul este ireversibil;

♦ Sa aiba acordul cu privire la procesarea datelor cu caracter personal al angajatilor firmei.

 

Sanctiuni

 

Nerespectarea prevederilor GDPR poate avea drept rezultat o amenda de la 10 milioane de euro la 20 de milioane de euro, respectiv intre 2% si 4% din cifra de afaceri anuala globala a companiei vizate.

Amenzile vor depinde de severitatea incalcarii regulamentului si daca se considera ca firma a luat in serios masurile necesare pentru a asigura securitatea datelor.

Amenda maxima de 20 de milioane de euro sau 4% din cifra de afaceri anuala globala a companiei se va acorda la incalcarea drepturilor persoanelor vizate, transferul neautorizat international de date cu caracter personal si neadoptarea procedurilor sau ignorarea cererii accesului unei persoane la datele personale.

Amenzile de 10 milioane de euro sau 2% din cifra de afaceri anuala globala vor fi aplicate companiilor care folosesc datele cu caracter personal in alte moduri. Acestea includ nesemnalizarea cazurilor de incalcare a securitatii datelor si neasigurarea confidentialitatii si a protectiei datelor in prima etapa a proiectului.