Prima amendă în aplicarea GDPR: O bancă, amendată cu 130.000 de euro pentru că dezvăluia CNP-urile clienților care făceau plăți on-line

de Adrian Vasilache     HotNews.ro
Joi, 4 iulie 2019, 15:38 Economie | Telecom


GDPR
Foto: Pixabay
Unicredit Bank a primit prima amendă din România pentru nereguli în aplicarea Regulamentului European pentru Protecția Datelor (GDPR). Banca a fost amendată de Protecția datelor cu 130.000 de euro, la capătul unei investigații în care s-a constatat că banca dezvăluia datele privind CNP-ul și adresa plătitorilor în documentele ce conţin detaliile tranzacţiilor şi care sunt puse on-line la dispoziţia clienţilor beneficiari ai plăţilor.
  • UPDATE Reacția Unicredit Bank la solicitarea HotNews.ro: "Am luat cunoștință de decizia Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal. Punctele semnalate au fost deja remediate".
  • Redăm mai jos detaliile prezentate de Autoritatea națională pentru protecția Datelor (ANSPDCP):
"Pe data de 27.06.2019, Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul UNICREDIT BANK S.A. și a constatat că acesta a încălcat prevederile art. 25 alin. (1) din Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor).

Operatorul a fost sancționat contravențional cu amendă în cuantum de 613.912 lei, echivalentul în euro al sumei de 130.000 euro.


Sancțiunea a fost aplicată UNICREDIT BANK S.A. ca urmare a neaplicării măsurilor tehnice şi organizatorice adecvate, atât în momentul stabilirii mijloacelor de prelucrare, cât şi în cel al prelucrării în sine, destinate să pună în aplicare în mod eficient principiile de protecție a datelor, precum reducerea la minimum a datelor, şi să integreze garanțiile necesare în cadrul prelucrării, pentru a îndeplini cerințele RGPD şi a proteja drepturile persoanelor vizate.
  • Aceasta a condus la dezvăluirea în documentele ce conţin detaliile tranzacţiilor şi care sunt puse on-line la dispoziţia clienţilor beneficiari ai plăţilor, a datelor privind CNP-ul și adresa plătitorului (pentru situaţiile în care plătitorul efectua tranzacţia dintr-un cont deschis la o alta instituţie de credit - tranzacţii externe şi depuneri la casierie), respectiv a datelor privind adresa plătitorului (pentru situaţiile în care plătitorul efectua tranzacţia dintr-un cont deschis la UNICREDIT BANK SA - tranzacţii interne), pentru un număr de 337.042 persoane vizate, în perioada 25 mai 2018 – 10.12.2018.
Sancțiunea a fost aplicată ca urmare a unei sesizări a Autorității Naţionale de Supraveghere din data de 22.11.2018 prin care se semnala faptul că datele privind CNP-ul și adresa persoanelor care efectuau plăți la UNICREDIT BANK S.A., prin intermediul tranzacțiilor on-line, erau dezvăluite către beneficiarul tranzacției, prin formularele de extras de cont/detalii.

Potrivit art. 5 alin. 1 lit. c) din RGPD (”Principii legate de prelucrarea datelor cu caracter personal”), operatorul avea obligația de a prelucra date limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate datele.

În același timp, considerentul (78) din Regulament precizează:
  • ”Protecţia drepturilor şi libertăţilor persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal necesită adoptarea de măsuri tehnice şi organizatorice corespunzătoare pentru a se asigura îndeplinirea cerinţelor din prezentul regulament. Pentru a fi în măsură să demonstreze conformitatea cu prezentul regulament, operatorul ar trebui să adopte politici interne şi să pună în aplicare măsuri care să respecte în special principiul protecţiei datelor începând cu momentul conceperii şi cel al protecţiei implicite a datelor. Astfel de măsuri ar putea consta, printre altele, în reducerea la minimum a prelucrării datelor cu caracter personal, pseudonimizarea acestor date cât mai curând posibil, transparenţa în ceea ce priveşte funcţiile şi prelucrarea datelor cu caracter personal, abilitarea persoanei vizate să monitorizeze prelucrarea datelor, abilitarea operatorului să creeze elemente de siguranţă şi să le îmbunătăţească. Atunci când elaborează, proiectează, selectează şi utilizează aplicaţii, servicii şi produse care se bazează pe prelucrarea datelor cu caracter personal sau care prelucrează date cu caracter personal pentru a-şi îndeplini rolul, producătorii acestor produse şi furnizorii acestor servicii şi aplicaţii ar trebui să fie încurajaţi să aibă în vedere dreptul la protecţia datelor la momentul elaborării şi proiectării unor astfel de produse, servicii şi aplicaţii şi, ţinând cont de stadiul actual al dezvoltării, să se asigure că operatorii şi persoanele împuternicite de operatori sunt în măsură să îşi îndeplinească obligaţiile referitoare la protecţia datelor. Principiul protecţiei datelor începând cu momentul conceperii şi cel al protecţiei implicite a datelor ar trebui să fie luate în considerare şi în contextul licitaţiilor publice.”



Citeste mai multe despre   





Citeste doar ceea ce merita. Urmareste-ne si pe Facebook si Instagram.
















8630 vizualizari

  • -3 (9 voturi)    
    Psihoza (Joi, 4 iulie 2019, 16:00)

    soringusar [utilizator]

    Psihoza totala
    Sa fie sters CNP si din buletin si fiecare cetatean sa-l retina. In buletin il vede politia , banca , medicii , vamesii
  • +7 (7 voturi)    
    autoritatea e ferma numai cind nu e vorba de stat (Joi, 4 iulie 2019, 16:06)

    U_swamp [utilizator]

    De trei luni i-am cerut ANSPDCP sa solutioneze reclamatia mea ca Posta Romana a utilizat datele cu caracter personal ale pensionarilor carora, prin contractul cu CNPP, le distribuie taloanele de pensii si pensiile in cadrul unui alt contract comercial cu ... PSD, pentru distribuirea fituicii electorale pe care pensionarii au primit-o in cutiile lor postale in a doua jumatate a lunii martie. Contractul e publicat pe internet, probele sint clare, autoritatea amina pronuntarea si sanctionarea Companiei Posta Romana fiindca PSD a facut probabil presiuni de musamalizare a cazului.
  • 0 (4 voturi)    
    asta-i culmea (Joi, 4 iulie 2019, 16:08)

    moka [utilizator]

    si eu, cel care incasez banii, de unde stiu ca incasez de la cine trebuie?
    Cum ma conformez cu directiva despre spalarea banilor daca nu stiu de la cine incasez?
    • +2 (2 voturi)    
      Se presupuen ca ai un acord cu el (Joi, 4 iulie 2019, 16:32)

      banel [utilizator] i-a raspuns lui moka

      Si banii au fost virati in baza acelui acord/contract/factura. Apoi, acel client are posibilitatea de a scrie CNP-ul in rubrica de detalii daca este necesar. Aici a luat banca decizia in locul sau.
      Apoi, cel care vireaza banii este deja verificat de banca pentru ca este client al acelei banci.
      • 0 (0 voturi)    
        pai daca am un acord/contract cu el (Joi, 4 iulie 2019, 17:04)

        moka [utilizator] i-a raspuns lui banel

        am deja cnp-ul, nu? de ce e o problema sa-mi parvina din nou cnp-ul, mai ales, ca si eu ca beneficiar, am obligatia de a proteja datele personale?
        Daca am 10 clienti pe care-i cheama Banel Popescu, de unde stiu de la care din ei am incasat, daca banca nu-mi da mai multe detalii?
  • -5 (5 voturi)    
    Haha (Joi, 4 iulie 2019, 16:35)

    jeanvaljeanro [utilizator]

    Smecherii de lux de la Bruxelles ne-au mai facut inca o data :)) si-au anonimizat potlogariile sub pretextul vietii private si in plus s-au asigurat ca daca scapa ceva amenzile sa fie uriase :)) Crede cineva ca Unicredit, de exemplu, va plati amenda din profit? Tot fraierii de serviciu cu conturi la unicredit vor acoperi...


Abonare la comentarii cu RSS

ESRI

Top 10 articole cele mai ...



Hotnews
Agenţii de ştiri

Siteul Hotnews.ro foloseste cookie-uri. Cookie-urile ne ajută să imbunatatim serviciile noastre. Mai multe detalii, aici.

Aici puteti modifica setarile de Cookie

hosted by
powered by
developed by
mobile version