Amenzi in valoare totala de 28.000 de euro pentru Raiffeisen Bank Romania, dupa mai multe incalcari ale Regulamentului general privind protecția datelor (GDPR).
Autoritatea Nationala de Supraveghere a finalizat in cursul lunii septembrie 2022 o investigatie la operatorul Raiffeisen Bank SA si a constatat multiple incalcari ale dispozitiilor Regulamentului General privind Protectia Datelor.
Profitati de oferta de Black Friday la ghidurile GDPR ...click pentru detalii si comenzi<<
Astfel, Raiffeisen Bank Romania a fost sanctionat contraventional cu
doua avertismente si cu trei amenzi in cuantum total de 138.572 lei (echivalentul sumei de 28.000 EURO), astfel:
1. Amenda in cuantum de 98.980,00 RON, echivalentul a 20000 EURO pentru incalcarea art. 32 alin. (4) coroborat cu art. 32 alin. (1) si alin. (2) din RGPD;
2. Avertisment pentru incalcarea prevederilor art. 32 alin. (1) si art. 32 alin. (2) din RGPD;
3. Amenda in cuantum de 14.847,00 RON, echivalentul a 3000 EURO, pentru incalcarea art. 32 alin. (4) coroborat cu art. 32 alin. (1) si alin. (2) din RGPD;
4. Amenda in cuantum de 24.745,00 RON, echivalentul a 5000 EURO, pentru incalcarea art. 25 alin. (1) din RGPD;
5. Avertisment pentru incalcarea prevederilor art. 32 alin. (4) coroborat cu art. 32 alin. (1) si alin. (2) din RGPD.
Investigatia a fost demarata ca urmare a transmiterii de catre operatorul Raiffeisen Bank SA a unui numar de 17 notificari cu privire la producerea unor incalcari a securitatii datelor cu caracter personal, raportat la dispozitiile Regulamentului General privind Protectia Datelor.
S-au efectuat interogari de catre Raiffeisen Bank SA in sistemul de evidenta administrat de Biroul de Credit S.A., respectiv in cel administrat de Agentia Nationala de Administrare Fiscala (ANAF) si, de asemenea, s-au utilizat sistemele informatice ale operatorului Raiffeisen Bank S.A. pentru a simula decizii de creditare ("prescoring") pentru un broker extern de credite.
In doua situatii, s-a procedat la efectuarea de operatiuni de prescoring pentru clienti sau potentiali clienti, insa interogarea in Sistemul Biroului de Credit s-a realizat fara ca documentatia aferenta interogarii sa fie semnata de solicitantii respectivi. S-a constatat ca incidentele notificate Autoritatii nationale de supraveghere au vizat un numar de cel putin 169 persoane fizice.
Operatorul Raiffeisen Bank SA a notificat Autoritatii un incident referitor la acordarea de credite unor clienti, persoane fizice, prin intermediul unei entitati avand calitatea de persoana imputernicita a operatorului. La baza notificarii au stat informatii potrivit carora clientilor li s-ar fi aprobat credite de nevoi personale fara ca acestia sa le fi solicitat si fara sa fi semnat documentele aferente.
Prin urmare, s-a retinut faptul ca Raiffeisen Bank S.A. nu a luat masuri pentru a asigura ca orice persoana fizica care actioneaza sub autoritatea operatorului si are acces la date cu caracter personal nu le prelucreaza decat la cererea operatorului si nu a implementat masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator riscului prelucrarii. Aceasta a condus la accesul neautorizat si/sau divulgarea neautorizata a datelor cu caracter personal transmise, stocate sau prelucrate prin aplicatiile informatice utilizate de Raiffeisen Bank S.A. in activitatea de creditare.
Operatorul a notificat un incident cu privire la incalcarea securitatii datelor care a constat in faptul ca, in derularea procesului de actualizare a datelor unei cliente, s-a introdus in sistem o adresa de e-mail gresita si s-a transmis altei persoane fizice un document cu multiple date personale apartinand clientului bancii.
Un alt incident a constat in faptul ca operatorul Raiffeisen Bank SA a transmis, prin e-mail, date confidentiale catre o alta persoana decat persoana vizata.
Profitati de oferta de Black Friday la ghidurile GDPR ...click pentru detalii si comenzi<<
O alta notificare a unui incident produs la nivelul operatorului a vizat faptul ca s-a transmis pe o adresa de e-mail eronata a unei alte persoane fizice, un document intitulat ”Formular pentru definire date personale” si care continea numeroase date personale ale unui client al bancii.
Un incident similar s-a produs ca urmare a faptului ca doi clienti ai operatorului au depus sesizari asemanatoare, iar in momentul pregatirii e-mailului de raspuns la sesizarea primului client, operatorului a anexat in emailul transmis acestuia documente cu date personale apartinand celuilalt client. Cauza transmiterii gresite a documentelor a fost reprezentanta de asemanarea dintre tipologia sesizarilor si momentul succesiv de trimitere a raspunsului.
Un alt incident cu privire la incalcari a securitatii datelor, notificat de operator, a privit o situatie ce implica si suspiciuni de frauda interna in creditare si a constat in:
a) efectuarea de operatiuni specifice pentru acordarea unui credit pentru un client persoana fizica, fara prezenta solicitantului la sediul agentiei.
b) solicitarea de facilitati de credit de tip Card de Credit, completarea si semnarea documentatiei aferente facilitatii de tip card de credit, solicitarea de facilitati de credit de tip credit de nevoi personale, completarea si semnarea documentatiei aferente facilitatii de tip credit de nevoi personale, actualizarea datelor persoanelor vizate in aplicatia Bancii prin modificarea numarului de telefon al persoanelor vizate cu numarul de telefon al angajatului bancii si prin introducerea unei adrese de email fictive.
Un incident similar, notificat de operator si investigat de Autoritatea nationala de supraveghere, a constat in prelucrarea de date de catre operator in legatura cu acordarea a trei facilitati de credit (Flexicredit, refinantare Flexicredit respectiv Card de Cumparaturi), in numele unei persoanei fizice, client al bancii, dar fara ca acesta sa fi solicitat, in realitate acele credite.
O alta incalcare a securitatii datelor cu caracter personal, notificata de operatorul din domeniul bancar, a constat in divulgarea neautorizata a datelor cu caracter personal ale unor clienti din contul Smart Mobile (serviciul de mobile banking pus la dispozitie de catre Raiffeisen Bank) al acestora catre alti clienti ai operatorului.
In contextul celor de mai sus, in cadrul investigatiei s-a constatat ca operatorul Raiffeisen Bank S.A. nu a luat masuri pentru a asigura ca orice persoana fizica care actioneaza sub autoritatea sa si are acces la date cu caracter personal nu le prelucreaza decat la cererea operatorului. Aceasta a condus la accesul neautorizat la datele cu caracter personal ale clientilor Raiffeisen Bank S.A., (de exemplu, nume, prenume, adresa de domiciliu, cetatenie, nationalitate, imaginea persoanei, codul numeric personal, numarul si seria cartii de identitate, email, nr. telefon, date din Sistemul Biroului de Credit, date din sistemul de evidenta administrat de ANAF, date din contul Smart Mobile) si la divulgarea neautorizata a acestor date, de catre operator.
Subliniem ca, potrivit art. 5 alin. (1) lit. f) din RGPD, Raiffeisen Bank S.A. avea obligatia de a prelucra datele cu caracter personal intr-un mod care asigura securitatea adecvata a acestora, inclusiv protectia impotriva prelucrarii neautorizate sau ilegale si impotriva pierderii, a distrugerii sau a deteriorarii accidentale, prin luarea de masuri tehnice sau organizatorice corespunzatoare ("integritate si confidentialitate").