UPDATE | Sancțiune de 4.000 de euro pentru o mare bancă din România: Datele unei cliente din Focșani au fost divulgate neautorizat. Reacția companiei

UPDATE 24 martie: ING Bank a transmis un punct de vedere după publicarea articolului, pe care îl redăm integral:

„Amenda a fost plătită în urma deciziei ANSPDCP, care a vizat un incident punctual, identificat în contextul unor circumstanțe specifice, conform celor trecute în comunicatul ANSPDCP. Recurent, dar și în urma acestui incident, am reiterat colegilor din rețea care sunt obligațiile aplicabile conform reglementărilor GDPR și am subliniat că, dincolo de relațiile pe care le construiesc cu clienții și comunitatea locală, cunoscându-le familia și prietenii, secretul bancar și legislația rămân esențiale în gestionarea datelor cu caracter personal. În plus, recent a fost implementat un flux operațional actualizat care limitează accesul colegilor din ING Office-uri la extrasele de cont ale clienților, astfel încât aceste incidente nu vor mai putea fi posibile.”

Articolul inițial:

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a finalizat, în luna martie 2026, o investigație la ING Bank NV Amsterdam – Sucursala București S.A. și a constatat abateri de la normele europene de protecție a datelor. În urma verificărilor, instituția bancară a primit o amendă de 20.388 lei, echivalentul a aproximativ 4.000 de euro, potrivit unui comunicat al instituției.

Investigația a început după plângerea unei persoane vizate. Aceasta a raportat că un angajat al unității ING Bank din Focșani a înmânat extrasele sale de cont unei terțe persoane, fără să aibă consimțământul necesar.

Autoritatea a confirmat că banca nu a implementat măsuri tehnice și organizatorice adecvate pentru a asigura confidențialitatea. Această deficiență a permis accesul neautorizat al unui terț la informații sensibile. Printre datele divulgate figurează numele și prenumele, adresa, contul IBAN și detaliile tranzacțiilor efectuate de către clientă.

Pe lângă amenda aplicată, ANSPDCP a dispus o măsură corectivă prin care obligă operatorul să asigure conformitatea tuturor operațiunilor de prelucrare cu dispozițiile GDPR. Astfel, banca trebuie să implementeze soluții tehnice riguroase și să organizeze sesiuni de instruire periodică pentru toți angajații și colaboratorii săi.

Scopul acestor măsuri este prevenirea unor situații similare de divulgare ilegală sau accidentală a datelor cu caracter personal către persoane neautorizate, a mai transmis ANSPDCP.