Amenda GDPR de 100.000 de euro pentru Banca Transilvania - hotararea este definitiva

Decizia finala a instantei a mentinut amenda de 100.000 de euro pentru Banca Transilvania. Autoritatea de protectie a datelor cu caracter personal a obtinut in instanta o hotarare definitiva in dosarul in care angajatii bancii au transferat intre ei date personale ale clientilor. "Prin Hotararea civila nr. 9 din 13.04.2022, definitiva, Curtea de Apel Cluj a confirmat amenda in cuantum de 100.000 de euro aplicata de Autoritatea de Supraveghere Bancii Transilvania, pentru incalcarea art. 32 alin. (1) si (2) coroborat cu art. 5 alin. (1) lit. f) din Regulamentul General privind Protectia Datelor".

Conduita angajatilor a fost un punct subliniat in instanta, prin care dovada participarii efective a personalului la cursuri din domeniul protectiei datelor cu caracter personal si aplicarea efectiva a vreunei modalitati de verificare a insusirii acestor cunostiinte si informatii nu s-a putut dovedi. Desi, reclamanta a invocat aspecte referitoare la implementarea prevederilor din Regulament, acest lucu este contrazis. Faptele constatate prin procesul verbal de contraventie atesta divulgarea intentionata, in mod neautorizat, de catre personalul aflat sub autoritatea Bancii Transilvania, a unui set insemnat de date cu caracter personal catre un numar mare de persoane. Informatiile distribuite faceau parte din categoria datelor extrem de sensibile. "Dezinvoltura cu care angajatii reclamantei au actionat, transmitand de la unul la altul datele cu caracter personal ale clientului bancii si ulterior, unor terte persoane, prin intermediul aplicatiei Whatsapp, atesta nu doar necunoasterea procedurilor de lucru privind prelucrarea datelor cu caracter pesonal cat mai ales (si mai grav) inabilitatea acestora de a identifica si califica datele la care au acces ca find date cu caracter personal, ceea ce denota o lipsa acuta de instruire efectiva", a comunicat ANSPCDP.

Extrasele din diverse proceduri interne, depuse la dosar cu privire la instruirea efectiva a celor trei angajati care au produs incidentul de securitate, nu au putut dovedi aplicarea mecanismelor de control si evaluare elaborate pentru a se asigura ca angajatii sai si-au insusit reglementarile interne. "Asa fiind, inscrisurile prezentate de reclamanta, in dovedirea implementarii masurilor tehnice organizatorice adecvate, nu sunt de natura sa probeze asigurarea unui nivel de securitate corespunzator privind capacitatea de a asigura confidentialitatea si testarea, evaluarea si aprecierea periodice ale eficacitatii masurilor tehnice si organizatorice pentru a garanta securitatea prelucrarii", a transmis ANSPCDP.

Consecintele incalcarii au fost retinute de Tribunalul Cluj ca fiind corecte, avand in vedere rapoartele la cantitatea datelor cu caracter personal distribuite de angajatii Bancii "acestea au fost corect calificate de catre parata ca find grave prin raportare la cantitatea datelor cu caracter personal diseminate de angajatii Bancii, natura sensibila a acestora, modalitatea de diseminare (prin internet, mailul cuprinzand datele clientului Bancii circuland intens in spatiul public, informatii sintetice find preluate inclusiv de bloguri, canale TV si site-uri de stiri), numarul extrem de mare al persoanelor care au dobandit acces la datele clientului Bancii pentru o perioada de timp imposibil de determinat, urmare a transmiterii informatiilor prin mijloacele cele mai diverse, toate aceste aspecte fiind in masura sa confere o imagine corecta cu privire la amploarea si gravitatea consecintelor incidentului de securitate", conform ANSPCDP.

Totodata, Banca Transilvania a recunoscut ca masurile intreprinse pentru limitarea consecintelor bresei de securitate nu au fost realizabile, avand in vedere amploarea diseminarii acestora in spatiul public, ce in mod evident au scapat de sub control. Stabilirea amenzii intr-un cuantum inferior maximului admis pentru fapta savarsita de reclamanta este corespunzator criteriilor prevazute la art. 83 alin (2) lit. c) - k). 

Instanta pe fondul celor admise a concluzionat amenda legala, "eficace, proportionala si disuasiva". Pe fondul naturii, gravitatii, consecintelor incalcate si criteriilor prevazute in Regulament, instanta a stabilit amenda de 100.000 de euro pentru Banca Transilvania.