Banca ING Romania a primit o amenda uriasa in baza Regulamentului european de protectie a datelor personale (GDPR).
Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPDCP) a anuntat joi ca a amendat contraventional ING Bank N.V. Amsterdam – Sucursala Bucuresti cu suma de 80.000 de euro.
In ce au constat incalcarile normelor
Potrivit comunicatului oficial, operatorul nu a asigurat respectarea principiului protectiei datelor incepand cu momentul conceperii si cel al protectiei implicite a datelor (privacy by design si privacy by default), intrucat nu a procedat la adoptarea de masuri tehnice si organizatorice corespunzatoare, privind integrarea de garantii adecvate in sistemul automatizat de prelucrare a datelor in cadrul procesului de decontare al tranzactiilor cu cardul, fiind afectat un numar de 225.525 de clienti ale caror operatiuni de plata au fost dublate in perioada 8 – 10.10.2018, raportat si la prevederile art. 32 alin. (1) lit. d) din RGBD.
Ce spune Autoritatea
“Autoritatea Nationala de Supraveghere a finalizat in data de 04.11.2019 o investigatie la ING Bank N.V. Amsterdam – Sucursala Bucuresti, ca urmare a unei sesizari, constatand faptul ca operatorul a incalcat prevederile art. 25 alin. (1) coroborat cu art. 5 alin. 1 lit. f) din RGPD, ceea ce a condus la aplicarea unei amenzi contraventionale in cuantum de 80.000 euro.
In acest context, precizam ca art 25 alin. (1) din RGPD prevede urmatoarele:
”Avand in vedere stadiul actual al tehnologiei, costurile implementarii, si natura, domeniul de aplicare, contextul si scopurile prelucrarii, precum si riscurile cu grade diferite de probabilitate si gravitate pentru drepturile si libertatile persoanelor fizice pe care le prezinta prelucrarea, operatorul, atat in momentul stabilirii mijloacelor de prelucrare, cat si in cel al prelucrarii in sine, pune in aplicare masuri tehnice si organizatorice adecvate, cum ar fi pseudonimizarea, care sunt destinate sa puna in aplicare in mod eficient principiile de protectie a datelor, precum reducerea la minimum a datelor, si sa integreze garantiile necesare in cadrul prelucrarii, pentru a indeplini cerintele prezentului regulament si a proteja drepturile persoanelor vizate.”
De asemenea, art. 5 alin. (1) lit. f) din RGPD stabileste unul dintre principiile de prelucrare a datelor si anume faptul ca datele trebuie ”prelucrate intr-un mod care asigura securitatea adecvata a datelor cu caracter personal, inclusiv protectia impotriva prelucrarii neautorizate sau ilegale si impotriva pierderii, a distrugerii sau a deteriorarii accidentale, prin luarea de masuri tehnice sau organizatorice corespunzatoare ("integritate si confidentialitate").”
Totodata, potrivit art. 32 alin. (1) lit. d) din RGPD, printre masurile tehnice si organizatorice adecvate pe care operatorul trebuie sa le ia in vederea asigurarii unui nivel de securitate corespunzator riscului, se numara si cea privind existenta unui proces pentru testarea, evaluarea si aprecierea periodice ale eficacitatii masurilor tehnice si organizatorice pentru a garanta securitatea prelucrarii.” - spune ANSPDCP
Ce a declarat ING
Banca ING a precizat, pentru StartupCafe.ro, ca a stornat imediat clientilor respectivi tranzactiile dublate:
“Confirmam luarea la cunostinta a demersului de sanctionare a ING Bank Romania de catre Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal in contextul incidentului operational din luna octombrie 2018, cand o parte din tranzactiile cu cardurile emise ING au fost dublate.
Urmare a acestui incident, clientii afectati au fost informati imediat, tranzactiile dublate au fost stornate in cursul aceleiasi zile, fiind totodata revizuite si actualizate unele reguli operationale interne, in sensul intaririi acestora. Incidentul operational nu a condus la o afectare a datelor cu caracter personal.”
Reamintim ca in ultima perioada Autoritatea Nationala de Supraveghere a acordat amenzi usturatoare si bancilor Raiffeisen Bank si Unicredit Bank, cat si institutiei financiare Vreau Credit.
Pana in momentul de fata, cea mai mare amenda GDPR din Romania a fost acordata bancii Raiffeisen Bank, in valoare de 150.000 de euro, pentru transmiterea de date personale ale clientilor catre personalul Vreau Credit prin intermediul WhatsApp.
Cateva informatii despre GDPR
GDPR reprezinta Regulamentul (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date.
GDPR a intrat in vigoare la 25 mai 2016 si este aplicabil din 25 mai 2018 la nivelul intregii Uniuni Europene. Regulamentul contine un set de reguli menite sa ofere cetatenilor mai mult control asupra datelor care sunt de natura sa ii identifice.
GDPR se aplica oricarei organizatii care opereaza in cadrul UE, precum si oricarei organizatii din afara UE care ofera bunuri sau servicii clientilor sau intreprinderilor din UE. Scopul acestuia este de a simplifica mediul de reglementare pentru afaceri, astfel incat cetatenii si intreprinderile sa poata beneficia pe deplin de economia digitala.
Te-ar putea interesa si articolele:
Vodafone Romania, amendat pentru trimitere de mesaje comerciale!
Firma din Polonia amendata cu 220.000 de euro!
Amenda GDPR pentru transmiterea datelor personale prin WhatsApp!
Amenda GDPR pentru transmiterea de mesaje comerciale prin e-mail!
Avocatnet.ro, amendat pentru nereguli la crearea de cont!
Amenda pentru transmiterea datelor personale prin WhatsApp!
Amenda GDPR pentru camere de supraveghere video!
Expert GDPR, amendat cu 3.000 de euro!
Un hotel din Bucuresti, amendat pentru nerespectarea GDPR!
Cea mai mare amenda GDPR din Romania!
Elefant.ro, amendat pentru trimiterea de oferte prin e-mail!
