Raiffeisen Bank a fost amendata cu 20.000 de euro dupa o investigatie a Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal. Investigatia, incheiata la finalul lunii octombrie 2024, a scos la iveala trei situatii de incalcare a prevederilor GDPR, in relatia cu clientii bancii.
Intr-un
comunicat oficial, Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal anunta ca a constatat incalcarea prevederilor art. 32 alin. (4) coroborat cu art. 32 alin. (1) lit. b) si d) si alin. (2) din Regulamentul (UE) 2016/679 (GDPR), de catre operatorul Raiffeisen Bank S.A.
Concret, mai multi clienti ai bancii s-au trezit cu bani retrasi, credite si conturi nesolicitate.
Afla mai multe despre prevederile GDPR si ce masuri trebuie sa iei pentru a avea siguranta ca respecti legea din Ghidul GDPR de AICI ...click pentru detalii si comenzi<<
Ca atare, Raiffeisen Bank a fost sanctionata contraventional cu amenda in cuantum de 99.466 lei, echivalentul a 20.000 EURO.
Investigatia a fost demarata ca urmare a faptului ca Raiffeisen Bank S.A. a transmis Autoritatii Nationale de Supraveghere trei notificari cu privire la producerea unor incalcari a securitatii datelor cu caracter personal, astfel:
1. Operatorul a fost sesizat de catre un client care reclama contractarea unui credit in numele sau.
In cadrul investigatiei s-a constatat ca un angajat al operatorului a utilizat in mod nelegal cererea de credit a clientului, precum si celelalte documente aferente acestei cereri, desi clientul anuntase Raiffeisen Bank S.A. ca renunta la aceasta cerere.
Angajatul operatorului a efectuat tranzactii de retragere numerar de la ATM si operatiuni de transfer bancar in numele mai multor persoane vizate, fiind afectate urmatoarele categorii de date cu caracter personal: numele, prenumele, codul numeric personal, adresa de domiciliu/resedinta si de corespondenta, numarul de telefon fix/mobil, data nasterii, numele si adresa angajatorului, ip-ul de produs, starea produsului/contului, data acordarii, termenul de acordare, sumele acordate, sumele datorate, data scadentei, valuta, frecventa platilor, suma platita, rata lunara, sumele restante, numarul de rate restante, numarul de zile de intarziere, categoria de intarziere, data inchiderii produsului, numarul de interogari, istoric tranzactii, contracte direct debit, depozite, cont economii, fonduri de investitii.
Ca atare, s-a constatat ca operatorul Raiffeisen Bank S.A. nu a luat masuri pentru a asigura ca orice persoana fizica care actioneaza sub autoritatea sa si are acces la date cu caracter personal nu le prelucreaza decat la cererea operatorului, ceea ce a condus la accesul neautorizat si/sau divulgarea neautorizata a datelor cu caracter personal transmise, stocate sau prelucrate prin aplicatiile informatice utilizate de operator in activitatea de creditare de catre angajatul acestuia.
2. Raiffeisen Bank S.A. a notificat faptul ca doi angajati ai sai au furnizat informatii confidentiale despre tranzactiile unui client catre un fost angajat al bancii prin utilizarea retelelor Facebook, Messenger si WhatsApp, care la randul sau le-a transmis mai departe unor rude ale clientului.
In cadrul investigatiei s-a constatat ca Raiffeisen Bank S.A. nu a luat masuri pentru a asigura ca orice persoana fizica care actioneaza sub autoritatea sa si are acces la date cu caracter personal nu le prelucreaza decat la cererea operatorului, ceea ce a condus la accesul neautorizat si divulgarea neautorizata a datelor clientului (nume, prenume, CNP, adresa de domiciliu/corespondenta, numar de cont, data tranzactiilor, suma tranzactiilor, beneficiarii platilor).
3. Operatorul a fost sesizat de catre un client care reclama existenta unor produse nesolicitate de catre acesta, precum si lipsa unor sume de bani din contul sau. Din verificarile interne a rezultat ca un angajat al Raiffeisen Bank S.A. a efectuat numeroase operatiuni nelegale in numele mai multor clienti ai operatorului, precum: modificarea repetata a datelor de contact (telefon si e-mail); utilizarea serviciului Smart Mobile; deschiderea unor conturi curente; deschiderea unor conturi de economii; constituirea si lichidarea unor depozite; solicitarea unor produse de creditare, completarea si semnarea documentatiei aferente (credit/card de credit); intocmirea si semnarea unor ordine de plata; rascumpararea de unitati de fond; solicitarea si utilizarea a trei carduri de debit.
In cadrul investigatiei s-a constatat ca, incepand din anul 2015 pana in luna martie a anului 2023, au fost accesate si divulgate neautorizat datele cu caracter personal a mai multor clienti ai Raiffeisen Bank S.A. ca urmare a actiunilor efectuate de un angajat al operatorului in scopul obtinerii unor produse financiare in numele persoanelor vizate afectate.
In consecinta, raportat la criteriile de individualizare a sanctiunii prevazute de art. 83 alin. (2) din Regulamentul (UE) 2016/679, operatorul Raiffeisen Bank S.A. a fost sanctionat cu amenda in cuantum de 99.466 lei, echivalentul a 20.000 euro, pentru incalcarea prevederilor art. 32 alin. (4) coroborat cu art. 32 alin. (1) lit. b) si d) si alin. (2) din GDPR.
Afla mai multe despre prevederile GDPR si ce masuri trebuie sa iei pentru a avea siguranta ca respecti legea din Ghidul GDPR de AICI ...click pentru detalii si comenzi<<
In acelasi timp, in temeiul art. 58 alin. (2) lit. d) din Regulamentul (UE) 2016/679, s-au dispus urmatoarele masuri corective:
- implementarea tehnica si organizatorica a unui plan procedurat care sa includa un proces de testare, evaluare si apreciere periodica a tuturor actiunilor de introducere/actualizare date cu caracter personal pentru persoanele vizate (clienti), inclusiv notificarea si acordul clientului in orice forma asupra oricarei modificari a datelor cu caracter ce pot fi efectuate de catre angajatii operatorului Raiffeisen Bank SA;
- in vederea asigurarii informarii regulate privind riscurile prelucrarii neautorizate a datelor cu caracter personal de catre angajati, se impune diseminarea acestor informatii, la un interval de cel mult 6 luni, inclusiv cu necesitatea probarii luarii la cunostinta de catre fiecare dintre angajatii care au acces la date cu caracter personal si atributii in activitatea curenta de prelucrare a datelor clientilor.