După Raiffeisen Bank SA (amendă 150,000 euro) și Unicredit Bank SA (amendă 130,000 euro) a venit și rândul Băncii Transilvania SA să primească o amendă GDPR din partea ANSPDCP, cea mai mare amendă aplicată de această autoritate în anul 2020. 

În urmă cu câteva zile, Autoritatea Națională de Supraveghere a publicat pe site-ul instituției faptul că operatorul Banca Transilvania SA a fost sancționat contravențional cu amendă în cuantum de 487.380 lei (echivalentul a 100.000 EURO) pentru încălcarea dispozițiilor art. 32 alin. (1) și (2) coroborate cu art. 5 lit. f) din Regulamentul General privind Protecția Datelor, mai exact pentru modul în care au fost implementate măsuri tehnice și organizatorice în vederea asigurării unui nivel de securitate corespunzător riscurilor precum distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate.  

Investigația a fost demarată în urma primirii unor sesizări cu privire la încălcarea confidențialității și securității datelor personale în luna iulie 2020.

Persoanei vizate i s-a solicitat de către reprezentanții Băncii Transilvania o motivație privind retragerea unei sume de 85,000 Euro și, deranjat că trebuie sa justifice acest demers, acesta a răspuns trimițând un email amuzant, spunând că își va cheltui banii pe prostituate si droguri. "Voi calatori in Olanda, unde prostituția este legală, să f*t niște prostituate. Apoi, tot în Olanda, drogurile fiind legale, doresc să consum marijuana, hașis și aș încerca și niște ciuperci. (...) Daca nu am hârtie igienica și tot am atâția bani, probabil îmi voi face damblaua și mă voi șterge la fund, ca bogătașii, cu câteva sute de euro. (...)".

Care sunt argumentele ANSPDCP?

Autoritatea de Supraveghere a constatat că declarație clientului băncii a fost distribuită între câțiva angajați pe adresele de e-mail de serviciu. Unul dintre angajați a listat e-mailul ce conținea declarația clientului, precum și e-mailul ce conținea conversația internă între angajații operatorului. Un alt angajat a fotografiat cu telefonul mobil înscrisul listat și l-a distribuit prin intermediul aplicației WhatsApp. Ulterior, înscrisul listat a fost postat și distribuit pe rețeaua de socializare Facebook și pe un site.

Această situație a condus la dezvăluirea și accesul neautorizat la anumite date cu caracter personal (nume și prenume, adrese de e-mail, date comportamentale, preferințe personale, valoare tranzacție financiară, adresa locului de muncă, funcție și locul muncii, număr de telefon de serviciu) a 4 persoane fizice vizate (un client și 3 angajați proprii), deși potrivit art. 5 lit. f) din Regulamentul General privind Protecția Datelor, operatorul avea obligația de a respecta principiul integrității și confidențialității datelor personale.

În cadrul investigației efectuate la Banca Transilvania SA, Autoritatea de Supraveghere a constatat că operatorul nu a luat măsuri suficiente pentru a asigura faptul că orice persoană fizică care acţionează sub autoritatea operatorului (salariații operatorului) şi care are acces la date cu caracter personal nu le prelucrează decât la cererea operatorului.

Dezvăluirea produsă în spațiul public dovedește și ineficiența instruirii interne a angajaților operatorului privind respectarea normelor de protecția datelor cu caracter personal ale persoanelor vizate, deși instruirea angajaților este parte intrinsecă a măsurilor tehnice și organizatorice pe care operatorul era obligat să le adopte în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării, încălcându-se astfel prevederile art. 32 din Regulamentul General privind Protecția Datelor.

În acest context, s-a avut în vedere și că dezvăluirea datelor cu caracter personal în spațiul public (pe internet) a generat o serie de prejudicii de natură morală, precum și alte dezavantaje semnificative de natură economică sau socială pentru persoana fizică afectată de producerea incidentului de securitate (client al Băncii Transilvania).

Care este punctul de vedere al Băncii Transilvania SA?

"Banca Transilvania a aflat decizia Autorităţii Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) şi a contestat-o în instanţă, având în vedere caracterul izolat al abaterii, dar şi întregul context în care s-au întâmplat lucrurile atunci: un e-mail al unui client către bancă, cu un conţinut defăimător, a ajuns în spaţiul public.

Imediat după incident, banca a luat toate măsurile operaţionale posibile în acest context pentru limitarea impactului, iar ulterior a luat măsuri ferme în ceea ce priveşte persoanele implicate.

BT investeşte semnificativ în training, proceduri şi sisteme pentru a proteja informaţiile, precum şi pentru a procesa în siguranţă aproximativ 2 milioane de tranzaţii în fiecare zi. Aceste investiţii se reflectă în NPS-ul (satisfacţia clienţilor) mult peste media pieţei şi în faptul că banca este recunoscută pentru relaţia cu clienţii şi siguranţa operaţiunilor." (punct de vedere oficial transmis redacției dpo-net.ro)

Care este concluzia? 

Banca Transilvania SA a recunoscut oficial încălcarea Regulamentului 679/2016 și cu toate acestea, în numai câteva zile de la publicare, a depus o contestație în instanță. Cel mai probabil, obiectul contestației este criteriul care a stat la baza stabilirii cuantumului amenzii de 100,000 euro, raportat în primul rând la  numărul de persoane ale căror date au fost publicate online, respectiv 3 angajați și un client.  Cu siguranță banca are deja implementate mai multe sisteme și proceduri de lucru referitoare la datele cu caracter personal și un program de training al personalului dar astfel de situații sunt posibile în ciuda acestor eforturi.

Chiar dacă banca ar putea obține, cel puțin teoretic, anularea procesului verbal, acest caz rămâne un foarte bun exemplu atunci când vorbim de riscul reputațional și de cultura organizațională insuficientă privind protecția  datelor personale,  care nu poate fi dezvoltată prin cursuri clasice.  În contextul în care nivelul de conștientizare a importanței datelor cu caracter personal în rândul clienților băncii este în creștere, banca ar putea pierde, pe termen lung, clienți care pun preț pe modul în care banca lor le respectă drepturile ce le revin din Regulamentul 679/2016.

Vă invităm marți, 12 Aprilie 2022, de la ora 17, să participați ONLINE la lansarea cărții "SECURITATEA REȚELELOR ȘI A SISTEMELOR INFORMATICE. IMPLEMENTAREA DIRECTIVEI NIS ÎN ROMÂNIA" a autorilor Marius Dumitrescu și Daniela Simionovici.

Acest proiect editorial apărut în colecția Științe Juridice la Editura Universitară, unic pe piața din România, se adresează operatorilor de servicii esenţiale, furnizorilor de servicii digitale şi responsabililor cu implementarea NIS la nivelul entităţilor vizate de prevederile Directivei NIS (energie, transport, sectorul bancar, domeniul medical, infrastructuri ale pieței financiare, infrastructură digitală, furnizarea și distribuirea de apă potabilă, piețe online, motoare de căutare online și servicii de cloud computing).

Scopul acestei cărți este de a-i ajuta pe cei vizaţi nu doar să implementeze prevederile Directivei, ci să înţeleagă importanţa acesteia şi, mai ales, faptul că serviciile esenţiale pe care le furnizează au nevoie de o protecţie deosebită nu pentru faptul că nerespectarea Directivei ar atrage după sine amenzi, ci pentru faptul că orice perturbare în furnizarea serviciilor esenţiale se poate traduce în disfuncţionalităţi grave la nivel comunitar şi chiar societal.

Participanții la evenimentul de lansare vor primi un discount de 10% pentru achiziția cărții. Preț întreg: 150lei / Preț special de lansare: 135lei  Transportul prin curier se calculează suplimentar.

Puteți plasa chiar acum o precomandă și veți primi cartea imediat după lansare. 

RĂSFOIEȘTE CUPRINSUL CĂRȚII | DESPRE AUTORI | CUVÂNT ÎNAINTE | INTRODUCERE

Titlu: Securitatea reţelelor şi a sistemelor informatice. Implementarea directivei NIS în România

• ISBN: 978-606-28-1430-4
• Format: Tipărit  
• Pagini: 452
• Autori: Marius DUMITRESCU, Daniela SIMIONOVICI
• Publicat de: Editura Universitară, Colecţia Ştiinte juridice
• Data aparitiei: 2022

TRANSMISIUNE LIVE - LANSARE

Lansarea acestui proiect editorial se va face online, marți 12 aprilie 2022 începând cu ora 17:00, printr-o transmisiune LIVE pe Facebook, Linkedin, Youtube, Conferinte.ro si dpo-net.ro  la care vor lua parte mai mulți invitați speciali.

DESPRE ACEST PROIECT EDITORIAL

Uniunea Europeană (UE) a implementat Regulamentul General privind Protecția Datelor (GDPR) în 2018. Scopul acestuia a fost de a oferi cetățenilor UE mai mult control asupra datelor personale și asupra confidențialității lor. Organizațiile care nu au respectat legislația au primit amenzi usturătoare, care continuă să crească în fiecare an.

Amenzile GDPR au atins peste 1 miliard de euro, cu un total de 412 amenzi emise în 2021. În plus, companii precum Amazon și WhatsApp au trebuit să plătească cele mai mari amenzi pentru încălcarea legilor GDPR.

Valoarea totala a amenzilor GDPR in perioada 2018-2021 - Sursa: enforcementtracker.com, provided by CMS Law.Tax

Evolutia amenzilor GDPR in 2021 - Sursa: enforcementtracker.com, provided by CMS Law.Tax

În anul 2018 , de când se aplica GDPR, au fost aplicate amenzi de 436.000 EUR operatorilor. În 2019 , suma totală a amenzilor a crescut semnificativ la 72 de milioane de euro . O amendă GDPR de 50 de milioane EUR a fost impusă Google în 2019 pentru că nu a furnizat informații transparente cu privire la politicile sale de consimțământ.

În 2020, cu toate ca a fost un an puternic afectat de pandemia COVID19,  valoarea totală a amenzilor GDPR a ajuns la peste 171 de milioane de euro.

Într-un mod surprinzător, 2021 a depășit cu mult valoarea amenzilor GDPR aplicate în anii anteriori, valoarea depășind 1 miliard de euro, cu o creștere cu 521% față de anul trecut. Privind defalcarea trimestrial, putem vedea o imagine mai bună a modului în care amenzile au fost distribuite pe parcursul anului.

În timp ce primele două trimestre ale anului 2021 au acumulat aproximativ 50 de milioane de euro în amenzi GDPR, UE a impus cele mai semnificative amenzi în trimestrul al treilea . În iulie, Amazon Europe Core S.à.rl a primit cea mai mare amendă de 746 de milioane de euro . Mai târziu, în septembrie, UE a amendat WhatsApp Ireland Ltd. cu 225 de milioane de euro , a doua cea mai mare amendă din istoria GDPR.

În al patrulea trimestru din 2021 , 16,7 milioane EUR în amenzi au fost aplicate în UE.

Comparația amenzilor GDPR între țări (2018-2021)

În unele țări, legile actualizate privind confidențialitatea datelor cu caracter personal au afectat în mod semnificativ operatorii, deoarece aceștia au fost amendați în cadrul noului sistem legislativ. Autoritățile Naționale de Supraveghere în domeniul protecției datelor din fiecare țară au urmărit îndeaproape companiile pentru a se asigura că prelucrează în mod responsabil datele persoanale.

Spania a acumulat 351 de amenzi, aplicând amenzi GDPR în valoare de 36,7 milioane de euro . În timp ce valoarea medie a unei amenzi GDPR a ajuns la aproximativ 105.000 de euro, Spania a adunat de departe cele mai multe amenzi, comparativ cu orice altă țară. Companiile de telecomunicații, precum Vodafone Spania, au fost sancționate de mai multe ori pentru încălcarea legilor GDPR prin activitățile lor de marketing.

Topul tarilor dupa numarul de amenzi GDOR in perioada 2018-2021 - Sursa: enforcementtracker.com, provided by CMS Law.Tax

Italia ocupă locul al doilea pe listă cu 101 amenzi, care a aplicat operatorilor amenzi GDPR de aproape 90 de milioane de euro.   Amenda medie în Italia este de aproximativ 887.000 de euro, care se evidențiază ca una dintre cele mai mari în comparație cu alte țări. Autoritatea de Supraveghere Italiana a amendat TIM (operatorul de telecomunicații) cu 27,8 milioane de euro în 2020 pentru încălcarea GDPR pentru colectarea și prelucrarea datelor.

România ocupă locul trei pe listă, deoarece a impus un total de 68 de sancțiuni care însumează amenzi GDPR în valoare 721.000 euro . Chiar dacă au fost aplicate multe amenzi, valoarea medie nu ajunge la 11.000 de euro. Autoritatea de Supraveghere din România a emis cea mai importantă amendă de 150.000 de euro în 2019 către Raiffeisen Bank SA pentru încălcarea articolului 42 din GDPR.

Ungaria și Norvegia urmează pe locul patru și al cincilea pe listă, cu 45 și, respectiv, 40 de sancțiuni în perioada 2018-2021. În timp ce operatorii din Ungaria au trebuit să plătească amenzi de 828.000 de euro, operatorilor norvegieni li s-au aplicat amenzi GDPR în cuantum de 9 milioane de euro.

GDPR continuă să sancționeze operatorii atunci când prelucrează ilegal datele personale sau când politicile lor de confidențialitate sunt contruite și enunțate într-un mod ambiguu. Operatorii au devenit mai responsabili atunci când își gestionează datele clienți pentru a evita amenzi uriașe din partea autorităților și toate acestea în beneficiul fiecărui cetățean european.