UniCredit Bank este prima companie din România amendată pentru încălcarea GDPR. Cât are de plătit

UniCredit Bank devine prima companie care a fost amendată în România pentru nerespectarea regulamentului european RGPD (Regulamentul General privind Protecţia Datelor/GDPR). Compania trebuie să plătească o amendă în valoare de 613.912 lei, echivalentul a 130.000 de euro, pentru măsuri tehnice neaplicate şi organizare neadecvată pentru prelucrarea datelor, dar şi stabilirea mijloacelor de prelucrare pentru clienţii săi.

Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) idn România anunţă că sancţiunea a fost aplicată ca urmare a unei sesizări din data de 22 noiembrie 2018, care semnala faptul că datele personale ale clienţilor băncii care efectuau plăci prin UniCredit Bank online, precum CNP-ul şi adresa, erau dezvăluite beneficiarului tranzacţiei prin formularele de extras de cont.

UniCredit Bank trebuia să reducă cantitatea de date personale pe care le cere clienţilor, conform regulamentului RGPD, dar să le şi păstreze private şi să le stocheze într-un mod corespunzător, inaccesibil altor entităţi. Aceasta este o încălcare a articolului 5 din RGPD, care spune că „operatorul are obligaţia de a prelucra date limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate datele”. CNP-ul şi adresa clientului nu era necesară pentru o plată către un comerciant, de exemplu.

În urma acestei situaţii, 337.042 persoane au fost afectate între 25 mai 2018 şi 10 decembrie 2018, adică de la data la care a intrat RGPD în vigoare şi până când UniCredit a rezolvat problema, adică la două săptămâni după sesiszarea ANSPDCP.

UniCredit Bank şi-a închis toate conturile de social media de la 1 iunie, iar de curând a activat serviciul Apple Pay, alături de ING şi de Banca Transilvania.

Autoritatea Naţională aminteşte considerentul 78 din regulamentul RGPD, care explică pe scurt scopul acestui regulament şi cum trebuie aplicat:

”Protecţia drepturilor şi libertăţilor persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal necesită adoptarea de măsuri tehnice şi organizatorice corespunzătoare pentru a se asigura îndeplinirea cerinţelor din prezentul regulament. Pentru a fi în măsură să demonstreze conformitatea cu prezentul regulament, operatorul ar trebui să adopte politici interne şi să pună în aplicare măsuri care să respecte în special principiul protecţiei datelor începând cu momentul conceperii şi cel al protecţiei implicite a datelor. Astfel de măsuri ar putea consta, printre altele, în reducerea la minimum a prelucrării datelor cu caracter personal, pseudonimizarea acestor date cât mai curând posibil, transparenţa în ceea ce priveşte funcţiile şi prelucrarea datelor cu caracter personal, abilitarea persoanei vizate să monitorizeze prelucrarea datelor, abilitarea operatorului să creeze elemente de siguranţă şi să le îmbunătăţească. Atunci când elaborează, proiectează, selectează şi utilizează aplicaţii, servicii şi produse care se bazează pe prelucrarea datelor cu caracter personal sau care prelucrează date cu caracter personal pentru a-şi îndeplini rolul, producătorii acestor produse şi furnizorii acestor servicii şi aplicaţii ar trebui să fie încurajaţi să aibă în vedere dreptul la protecţia datelor la momentul elaborării şi proiectării unor astfel de produse, servicii şi aplicaţii şi, ţinând cont de stadiul actual al dezvoltării, să se asigure că operatorii şi persoanele împuternicite de operatori sunt în măsură să îşi îndeplinească obligaţiile referitoare la protecţia datelor. Principiul protecţiei datelor începând cu momentul conceperii şi cel al protecţiei implicite a datelor ar trebui să fie luate în considerare şi în contextul licitaţiilor publice.”