După Raiffeisen Bank SA (amendă 150,000 euro) și Unicredit Bank SA (amendă 130,000 euro) a venit și rândul Băncii Transilvania SA să primească o amendă GDPR din partea ANSPDCP, cea mai mare amendă aplicată de această autoritate în anul 2020.
În urmă cu câteva zile, Autoritatea Națională de Supraveghere a publicat pe site-ul instituției faptul că operatorul Banca Transilvania SA a fost sancționat contravențional cu amendă în cuantum de 487.380 lei (echivalentul a 100.000 EURO) pentru încălcarea dispozițiilor art. 32 alin. (1) și (2) coroborate cu art. 5 lit. f) din Regulamentul General privind Protecția Datelor, mai exact pentru modul în care au fost implementate măsuri tehnice și organizatorice în vederea asigurării unui nivel de securitate corespunzător riscurilor precum distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate.
Investigația a fost demarată în urma primirii unor sesizări cu privire la încălcarea confidențialității și securității datelor personale în luna iulie 2020.
Persoanei vizate i s-a solicitat de către reprezentanții Băncii Transilvania o motivație privind retragerea unei sume de 85,000 Euro și, deranjat că trebuie sa justifice acest demers, acesta a răspuns trimițând un email amuzant, spunând că își va cheltui banii pe prostituate si droguri. "Voi calatori in Olanda, unde prostituția este legală, să f*t niște prostituate. Apoi, tot în Olanda, drogurile fiind legale, doresc să consum marijuana, hașis și aș încerca și niște ciuperci. (...) Daca nu am hârtie igienica și tot am atâția bani, probabil îmi voi face damblaua și mă voi șterge la fund, ca bogătașii, cu câteva sute de euro. (...)".
Care sunt argumentele ANSPDCP?
Autoritatea de Supraveghere a constatat că declarație clientului băncii a fost distribuită între câțiva angajați pe adresele de e-mail de serviciu. Unul dintre angajați a listat e-mailul ce conținea declarația clientului, precum și e-mailul ce conținea conversația internă între angajații operatorului. Un alt angajat a fotografiat cu telefonul mobil înscrisul listat și l-a distribuit prin intermediul aplicației WhatsApp. Ulterior, înscrisul listat a fost postat și distribuit pe rețeaua de socializare Facebook și pe un site.
Această situație a condus la dezvăluirea și accesul neautorizat la anumite date cu caracter personal (nume și prenume, adrese de e-mail, date comportamentale, preferințe personale, valoare tranzacție financiară, adresa locului de muncă, funcție și locul muncii, număr de telefon de serviciu) a 4 persoane fizice vizate (un client și 3 angajați proprii), deși potrivit art. 5 lit. f) din Regulamentul General privind Protecția Datelor, operatorul avea obligația de a respecta principiul integrității și confidențialității datelor personale.
În cadrul investigației efectuate la Banca Transilvania SA, Autoritatea de Supraveghere a constatat că operatorul nu a luat măsuri suficiente pentru a asigura faptul că orice persoană fizică care acţionează sub autoritatea operatorului (salariații operatorului) şi care are acces la date cu caracter personal nu le prelucrează decât la cererea operatorului.
Dezvăluirea produsă în spațiul public dovedește și ineficiența instruirii interne a angajaților operatorului privind respectarea normelor de protecția datelor cu caracter personal ale persoanelor vizate, deși instruirea angajaților este parte intrinsecă a măsurilor tehnice și organizatorice pe care operatorul era obligat să le adopte în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării, încălcându-se astfel prevederile art. 32 din Regulamentul General privind Protecția Datelor.
În acest context, s-a avut în vedere și că dezvăluirea datelor cu caracter personal în spațiul public (pe internet) a generat o serie de prejudicii de natură morală, precum și alte dezavantaje semnificative de natură economică sau socială pentru persoana fizică afectată de producerea incidentului de securitate (client al Băncii Transilvania).
Care este punctul de vedere al Băncii Transilvania SA?
"Banca Transilvania a aflat decizia Autorităţii Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) şi a contestat-o în instanţă, având în vedere caracterul izolat al abaterii, dar şi întregul context în care s-au întâmplat lucrurile atunci: un e-mail al unui client către bancă, cu un conţinut defăimător, a ajuns în spaţiul public.
Imediat după incident, banca a luat toate măsurile operaţionale posibile în acest context pentru limitarea impactului, iar ulterior a luat măsuri ferme în ceea ce priveşte persoanele implicate.
BT investeşte semnificativ în training, proceduri şi sisteme pentru a proteja informaţiile, precum şi pentru a procesa în siguranţă aproximativ 2 milioane de tranzaţii în fiecare zi. Aceste investiţii se reflectă în NPS-ul (satisfacţia clienţilor) mult peste media pieţei şi în faptul că banca este recunoscută pentru relaţia cu clienţii şi siguranţa operaţiunilor." (punct de vedere oficial transmis redacției dpo-net.ro)
Care este concluzia?
Banca Transilvania SA a recunoscut oficial încălcarea Regulamentului 679/2016 și cu toate acestea, în numai câteva zile de la publicare, a depus o contestație în instanță. Cel mai probabil, obiectul contestației este criteriul care a stat la baza stabilirii cuantumului amenzii de 100,000 euro, raportat în primul rând la numărul de persoane ale căror date au fost publicate online, respectiv 3 angajați și un client. Cu siguranță banca are deja implementate mai multe sisteme și proceduri de lucru referitoare la datele cu caracter personal și un program de training al personalului dar astfel de situații sunt posibile în ciuda acestor eforturi.
Chiar dacă banca ar putea obține, cel puțin teoretic, anularea procesului verbal, acest caz rămâne un foarte bun exemplu atunci când vorbim de riscul reputațional și de cultura organizațională insuficientă privind protecția datelor personale, care nu poate fi dezvoltată prin cursuri clasice. În contextul în care nivelul de conștientizare a importanței datelor cu caracter personal în rândul clienților băncii este în creștere, banca ar putea pierde, pe termen lung, clienți care pun preț pe modul în care banca lor le respectă drepturile ce le revin din Regulamentul 679/2016.