UniCredit Bank, una dintre cele mai mari bănci din România ca active, a fost amendată cu 15.000 de euro pentru că a divulgat datele cu caracter personal prelucrate ale unor clienți. Totodată, banca italiană a divulgat informații legate de tranzacțiile clienților. Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, a anunțat că banca și-a plătit amenda.
„Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, a finalizat, în luna decembrie 2024, o investigație la operatorul Unicredit Bank SA și a constatat încălcarea prevederilor art. 25 alin. (1) din Regulamentul General privind Protecția Datelor (RGPD). Ca atare, operatorul a fost sancționat cu amendă în cuantum de 74.652 lei, echivalentul a 15.000 EURO”, scrie instituția într-un comunicat oficial.
Care sunt motivele pentru care UniCredit a primit amendă
Conform autorității, investigația a fost demarată ca urmare a transmiterii de către operator a două notificări de încălcăre a securității datelor cu caracter personal în temeiul RGPD.
În cadrul investigației efectuate s-a constatat faptul că, într-o primă situație, încălcarea securității prelucrării datelor s-a produs ca urmare a funcționării eronate a aplicației operatorului prin care se creează numele de utilizator, fără a efectua o testare prealabilă într-un mediu de test.
Această situație a condus la divulgarea neautorizată a unor date cu caracter personal prelucrate ale unor clienți, cum ar fi: nume, prenume, informații despre contul current, tranzacții cont, sold cont, tranzacții card, sold card.
În cea de-a doua situație, încălcarea securității prelucrării datelor s-a produs ca urmare a implementării de către operator a unei soluții de comunicare a clienților cu banca, fără a efectua testarea prealabilă adecvată în mediul de test, ceea ce a condus la divulgarea neautorizată a datelor cu caracter personal (numele titularului de card, numărul de telefon, data tranzacției, valuta, adresa de email, suma tranzacției, motivul de refuz la plată) ale unui număr semnificativ de clienți ai UniCredit Bank SA.
Care sunt măsurile luate de autoritate
Ca atare, raportat la criteriile de individualizare a sancțiunilor prevăzute de art. 83 din RGPD, s-a stabilit sancționarea cu amendă pentru încălcarea prevederilor art. 25 alin. (1) din RGPD, întrucât operatorul nu a implementat, atât în momentul stabilirii mijloacelor de prelucrare, cât și în cel al relucrării în sine, măsuri tehnice și organizatorice adecvate, destinate să pună în aplicare în mod eficient principiile de protecție a datelor și să integreze garanțiile necesare în cadrul prelucrării, scrie instituția.
În același timp, s-a dispus față de operator și măsura corectivă de a implementa tehnic și organizatoric un plan de testare a tuturor componentelor/aplicațiilor ce se doresc a fi introduse în cadrul activităților care includ prelucrări de date cu caracter personal prin analizarea tuturor funcționalităților acestora într-un mediu de test, care să simuleze scenariul real din mediul de producție.
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal menționează că Unicredit a achitat amenda aplicată.
