O instituție bancară a notificat Autoritatea națională de supraveghere că, urmare a unei erori tehnice a aplicației pentru comunicarea automată a formularului de actualizare date personale – persoane fizice, au fost transmise către un număr de 56 de adrese greșite de e-mail respectivele formulare. E-mailurile conțineau următoarele date: nume, prenume, data și locul nașterii, codul numeric personal, numărul și seria actului de identitate, profesie, loc de muncă, număr de telefon, adresa de domiciliu, situație familială, date privind bunurile deținute, salariul. Imediat, banca i-a sunat pe rând pe cei care au primit din greșeală emailurile, 30 de persoane confirmând distrugerea/ștergerea corespondenței recepționate în mod eronat.
”Pentru alte 27 de persoane, comunicarea solicitării de ștergere/distrugere de îndată a informațiilor transmise eronat a fost comunicată pe adresa de e-mail pe care a fost transmis inițial, în mod eronat, documentul menționat, persoanele afectate de incidentul de securitate, care nu au confirmat ștergerea/distrugerea corespondenței recepționate eronat, urmând să fie notificate cu privire la incidentul produs”, transmite ANSPDCP.
În urma investigaţiei efectuate la instituția bancară, Autoritatea națională de supraveghere a constatat că instituţia bancară nu a aplicat măsurile adecvate, în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării generat în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod, prin transmiterea formularelor pentru definire și actualizare date personale – persoane fizice (clienți) către adrese de e-mail eronate, din cauza unei erori tehnice a aplicației, fiind afectate de incident un număr de 56 de persoane fizice vizate.
Aceasta a condus la încălcarea confidențialității datelor cu caracter personal (nume, prenume, data nașterii, codul numeric personal, numărul și seria actului de identitate, data nașterii, locul nașterii, profesie, loc de muncă, număr de telefon, adresa de e-mail, adresa de domiciliu, situație familială, date privind bunurile deținute, salariu), deși instituţia bancară avea aceste obligații, inclusiv potrivit prevederilor art. 5 lit. f), „integritate și confidențialitate” din Regulamentul (UE) 2016/679.
În acest caz, Autoritatea națională de supraveghere a dispus operatorului o măsură corectivă, respectiv instruirea angajaților asupra riscurilor și consecințelor pe care le implică divulgarea datelor personale.
0
3
