Despre cazul funcționarilor unei bănci care au trimis 56 de emailuri la alte adrese, acestea conținând următoarele date: nume, prenume, data și locul nașterii, codul numeric personal, numărul și seria actului de identitate, profesie, loc de muncă, număr de telefon, adresa de domiciliu, situație familială, date privind bunurile deținute, salariul, am scris aici.
Acum vom da alte 3 exemple în care băncile sunt amendate pentru lipsa protectiei datelor clienților.
- CAZUL I -Celebra banca la care s-au dublat tranzacțiile. Ce spun autoritățile?
Autoritatea națională de supraveghere a fost sesizată cu privire la prelucrarea datelor cu caracter personal, de către o instituție bancară, în contextul tranzacțiilor efectuate de clienții băncii.
Având în vedere cele sesizate, Autoritatea națională de supraveghere a solicitat Autorității Naționale pentru Protecția Consumatorilor (ANPC) informații cu privire la constatările efectuate ca urmare a controlului demarat de către aceasta, în contextul incidentului operațional referitor la dublarea tranzacțiilor de către instituţia bancară în cauză.
ANPC ne-a informat că situaţia semnalată s-a datorat unui incident operațional la nivelul instituției bancare, care a constat în dublarea unor tranzacții efectuate de către consumatori. Totodată, s-a precizat că, urmare a acestui incident au fost afectate interesele economice ale unui număr de 225.525 consumatori, dintre care, aproximativ 7.000 de clienți au fost direct afectaţi, în sensul în care tranzacțiile acestora au fost respinse pe motiv de fonduri insuficiente, în mod eronat.
În cadrul investigației efectuate, Autoritatea națională de supraveghere a constatat că incidentul operațional care a cauzat dublarea tranzacțiilor cu cardul, efectuate de către clienții băncii, s-a datorat unei erori umane/tehnice, prin procesarea de două ori a fișierului de plăți, care conţine şi date cu caracter personal. Acest incident a fost posibil deoarece restricțiile tehnice nu au fost suficiente pentru a preîntâmpina incidentul, respectiv nu au fost de natură să asigure o protecție adecvată împotriva prelucrării neautorizate asupra datelor cu caracter personal, ceea ce a condus la deteriorarea accidentală a datelor.
Totodată, deficiențele care au permis materializarea incidentului operațional au fost legate de procesul IT Monitoring, care nu includea toate restricțiile de sistem necesare, funcții multiple ce trebuie rulate în cadrul pasului intermediar manual care au generat erori operaționale, respectiv prelucrări neautorizate care au dus la deteriorarea accidentală a datelor.
De asemenea, s-a constatat că au fost afectați de incidentul operațional 225.525 de clienți, pentru un număr de 445.000 de tranzacții cu cardul dublate, aproximativ 7.000 dintre acești clienți neputând realiza alte operațiuni de plată din cauza soldului insuficient (ca urmare a intervenirii incidentului, tranzacțiile acestora au fost respinse pe motiv de fonduri insuficiente).
Autoritatea națională de supraveghere a constatat că persoanele fizice afectate de incidentul operațional au postat în spațiul public, pe o rețea de socializare, prejudiciile create, astfel: sold/balanță negativ/ă per client; sumele retrase depășeau cuantumul sumei/sumelor privind operațiunile inițiate de către clienți; situații de fonduri insuficiente; lipsă fonduri pentru persoanele vizate aflate în afara țării (turiști); fonduri insuficiente pentru plată cumpărături; fonduri insuficiente intervenții medicale; retragere de bani care nu aparțineau unei persoane vizate.
La finalizarea investigației, s-a constatat că operatorul nu a asigurat respectarea principiului protecției datelor începând cu momentul conceperii și cel al protecției implicite a datelor (privacy by design și privacy by default), întrucât nu a procedat la adoptarea de măsuri tehnice și organizatorice corespunzătoare, privind integrarea de garanții adecvate în sistemul automatizat de prelucrare a datelor în cadrul procesului de decontare a tranzacțiilor cu cardul, fiind afectat un număr de 225.525 de clienți ale căror operațiuni de plată au fost dublate în perioada 8-10.10.2018, raportat și la prevederile art. 32 alin. (1) lit. d) din Regulamentul (UE) 2016/679.
În urma investigaţiei efectuate, operatorul a fost sancţionat cu amendă în cuantum de 380.400 lei (echivalentul a 80.000 EURO).
- CAZUL II - funcționarii unei bănci interogau Biroul de Credit pentru persoane care nu depuseseră dosare de creditare
Banca a notificat Autoritatea națională de supraveghere cu privire la faptul că două dintre angajatele sale, utilizând datele din documentele de identitate ale unor persoane fizice, transmise de către angajați ai unei societăți de brokeraj, prin intermediul aplicației mobile WhatsApp, precum și date fictive, au efectuat interogări ale sistemului Biroului de Credit, pentru a obține datele necesare în vederea determinării eligibilității la creditare a respectivelor persoane fizice, printr-o simulare de prescoring (1.194 de simulări de prescoring, cu privire la 1.177 de persoane fizice). De asemenea, pentru 124 de persoane fizice s-a efectuat și consultarea bazei de date a Agenției Nationale de Administrare Fiscală (ANAF).
Simulările de prescoring menționate mai sus au fost efectuate prin intermediul aplicației informatice utilizate de către instituția bancară respectivă în activitatea de creditare, pe baza datelor obținute din sistemul Biroului de Credit și din baza de date ANAF, a datelor din documentele de identificare și a unor date fictive cu privire la starea civilă, studii, poziția ocupată și situația domiciliară a persoanelor vizate, introduse de către cele două angajate în aplicația specifică, cu încălcarea procedurilor interne.
În urma simulărilor de prescoring menționate, decizia negativă de creditare a fost comunicată de angajatele instituției bancare către angajații societăţii de brokeraj.
Acest incident a vizat următoarele date cu caracter personal: a) fotocopii ale cărților de identitate; b) date financiare (datele din sistemul Biroului de Credit, datele din sistemul de evidenţă administrat de ANAF); c) simularea deciziei de creditare pe care ar fi adoptat-o instituția bancară pe baza datelor menționate, precum şi pe baza unor date fictive simulate, introduse de angajatele instituției bancare în sistemul de prescoring pentru a putea finaliza simularea de prescoring (date fictive privind starea civilă, studii, poziţia ocupată şi situaţia domiciliară a persoanelor vizate).
Investigația demarată de Autoritatea națională de supraveghere a vizat atât prelucrările de date cu caracter personal efectuate de instituția bancară, cât și prelucrările de date efectuate de societatea de brokeraj. În urma investigaţiei efectuate la instituția bancară, s-a constatat că operatorul nu a luat măsuri pentru a asigura că orice persoană fizică care acționează sub autoritatea sa și are acces la date cu caracter personal nu le prelucrează decât la cererea sa, cu excepția cazului în care această obligație îi revine în temeiul dreptului Uniunii sau al dreptului intern și nu a implementat măsuri tehnice şi organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării generat în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod. Aceasta a condus la accesul neautorizat la datele cu caracter personal prelucrate prin aplicația informatică utilizată de instituția bancară în activitatea de creditare și la divulgarea neautorizată a datelor cu caracter personal.
Autoritatea națională de supraveghere a sancționat instituția bancară cu amendă în cuantum de 712.680 lei (echivalentul a 150.000 EURO).
Totodată, ca urmare a investigaţiei efectuate la societatea de brokeraj, s-a constatat că aceasta nu a luat măsuri pentru a asigura că orice persoană fizică care acționează sub autoritatea sa și are acces la date cu caracter personal nu le prelucrează decât la cererea sa. Aceasta a condus la divulgarea neautorizată a datelor cu caracter personal a 1.177 de persoane fizice/clienți ai societăţii de brokeraj (nume, prenume, adresă domiciliu, Seria/Nr. CI/BI, data eliberării și emitent CI/BI, data valabilitate CI/BI, CNP), prin transmiterea de fotocopii ale actelor de identitate ale acestora, către persoane neautorizate să prelucreze aceste date, respectiv angajați ai instituției bancare.
De asemenea, s-a constatat că, până la finalizarea investigației, societatea de brokeraj nu a notificat autorității de supraveghere încălcarea securității datelor cu caracter personal, fără întârzieri nejustificate, deși constatase producerea acestui incident încă din luna decembrie 2018.
Autoritatea națională de supraveghere a sancționat societatea de brokeraj cu amendă în cuantum total de 95.024 lei (echivalentul a 20.000 EURO).
- CAZUL III Atenție la extrasele de cont
Autoritatea națională de supraveghere a fost sesizată cu privire la faptul că, prin intermediul formularelor de extras de cont/detalii tranzacție emise de către o instituție bancară clienților săi, ca urmare a unei tranzacții on-line, la rubrica „Plătitor” sunt dezvăluite către beneficiarul tranzacției și date privind CNP-ul și adresa persoanei care a efectuat plata.
Ca urmare a informațiilor solicitate de către Autoritatea națională de supraveghere, în cadrul investigației desfășurate, instituția bancară a comunicat faptul că avea cunoștință de situația semnalată și a solicitat modificarea funcționalităților sistemelor informatice utilizate pentru emiterea și comunicarea extraselor de cont/a documentelor electronice ce cuprind detaliile tranzacțiilor online, în sensul filtrării informațiilor ce sunt dezvăluite în cadrul acestor documente, astfel încât informațiile legate de CNP și adresa plătitorului să nu mai fie afișate în extrasele de cont eliberate clienților, luând în considerare toate canalele vizate.
Totodată, instituția bancară a declarat că eliminarea CNP și adresa plătitor din listele de tranzacții ale beneficiarilor, clienți ai Băncii, a fost una dintre măsurile de conformare identificate în cadrul analizei de impact a prevederilor Regulamentului (UE) 2016/679, cu scopul minimizării datelor și al evitării unei prelucrări excesive a acestora, nefiind identificat un moment anume în care datele au devenit vizibile în extrasele de cont.
De asemenea, anterior demarării investigației Autorității naționale de supraveghere, au fost puse în producție anumite update-uri ale funcționalităților IT pentru canalul online banking, urmând să fie realizate și update-uri în vederea conformării cu prevederile Regulamentului (UE) 2016/679.
În ceea ce privește numărul de tranzacții efectuate prin canalul online banking, în perioada investigată, clienții operatorului (persoane fizice și juridice) au realizat prin intermediul canalului online banking 28.743.554 tranzacții (plăti, transferuri, schimburi valutare, în lei și în valută) atât către conturi deschise la Bancă, cât și către conturi deschise la alte instituții de credit. Din numărul total de 28.743.554 de tranzacții indicat mai sus, adresa plătitorului a fost postată în cazul a 1.884.604 de tranzacții.
Din investigația efectuată în acest caz, a rezultat că instituția bancară, în documentele ce conțin detaliile tranzacțiilor și care sunt puse online la dispoziția clienților beneficiari ai plăților (vizualizate prin intermediul aplicației online banking), a dezvăluit către beneficiarii tranzacțiilor date cu caracter personal, astfel:
• date privind CNP-ul și adresa persoanei care a efectuat plata (plătitorului), pentru situațiile în care plătitorul efectua tranzacția dintr-un cont deschis la o alta instituție de credit – (tranzacții externe și depuneri la casierie);
• date privind adresa plătitorului, pentru situațiile în care plătitorul efectua tranzacția dintr-un cont deschis la instituția bancară respectivă – (tranzacții interne).
De asemenea, s-a constatat că operatorul a încălcat prevederile art. 25 din Regulamentul (UE) 2016/679, deoarece nu a pus în aplicare măsuri tehnice şi organizatorice adecvate, atât în momentul stabilirii mijloacelor de prelucrare, cât şi în cel al prelucrării în sine, destinate să pună în aplicare în mod eficient principiile de protecție a datelor, precum și reducerea la minimum a datelor, şi să integreze garanțiile necesare în cadrul prelucrării, pentru a îndeplini cerințele Regulamentului (UE) 2016/679 şi a proteja drepturile persoanelor vizate. Aceasta a condus la dezvăluirea, în documentele ce conţin detaliile tranzacţiilor şi care sunt puse online la dispoziţia clienţilor beneficiari ai plăţilor, a datelor privind CNP-ul și adresa plătitorului (pentru situaţiile în care plătitorul efectua tranzacţia dintr-un cont deschis la o altă instituţie de credit - tranzacţii externe şi depuneri la casierie), respectiv a datelor privind adresa plătitorului (pentru situaţiile în care plătitorul efectua tranzacţia dintr-un cont deschis la instituția bancară respectivă - tranzacţii interne), pentru un număr de 337.042 persoane vizate, în perioada 25 mai 2018 – 10 decembrie 2018.
În urma investigaţiei efectuate, Autoritatea națională de supraveghere a sancționat operatorul cu amendă în cuantum de 613.912 lei (echivalentul a 130.000 EURO).
0
3
