Actualizat în 8 Jul, 2019.

Operatorul UNICREDIT BANK S.A. a primit prima amendă pentru încălcarea Regulamentul (UE) 2016/679, mai exact articolul 25 alineatul (1) ”Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit…”

În urma unei plângeri către Autoritatea Națională de Supraveghere din data de 22.11.2018 privind prelucrarea neadecvată a CNP-ului și a adresei persoanelor care făceau tranzacții on-line. Din textul comunicatului de presă al Autorității Naționale de Supraveghere se poate înțelege că în situația în care persoanele fizice efectuau tranzacții: plăti / încasări, transfer de sume, persoana care primea fondurile primea și informații suplimentare legate de cel care a efectuat plata – în acest caz adresa si CNP-ul plătitorului.

Aspectele care era problematice în acest caz erau următoarele:

–  operatorul a încălcat principiul minimizării datelor cu caracter personal în raport cu scopurile

– informațiile divulgate reprezentau o scurgere de date cu caracter personal

– persoana vizată nu a fost informată cu privire la transmiterea acestor date spre terțe persoane

– nu s-a respectat principiul privacy by design și privacy by default în direcția conformării aplicațiilor / platformei de plăți a operatorului vizat de sancțiune.

Astfel operatorul UNICREDIT BANK S.A. nu s-a conformat la cerința Regulamentului de a aplica măsurile tehnice și organizatorice adecvate încă de la începutul stabilirii mijloacelor de prelucrare cât și în momentul prelucrării. Acest lucru a dus la o breșă de securitate care a afectat un număr de 337.042 de persoane fizice în perioada mai 2018 –  decembrie 2018.

Autoritatea a aplica în acest caz o amendă de 613.912 lei, echivalentul sumei de 130.000 Euro.

Pe această cale, ținem sa amintim operatorilor de date cu caracter personal, că au obligația de a se asigura că prelucrează doar datele cu caracter personal care sunt adecvate scopului prelucrării, că este nevoie de elaborarea de politici interne care să asigure o prelucrare adecvata din momentul colectării și pe tot parcursul procesării datelor. Este nevoie de o transparența totală față de persoana vizată pentru ca aceasta să își poată exercita oricând drepturile de care beneficiază.

Privacy by design and Privacy by default, sau principiul protejării datelor cu caracter personal de la elaborarea, proiectarea, selectarea și utilizarea aplicațiilor care se bazează pe prelucrarea datelor cu caracter personal este unul foarte important de urmat având în vederea tehnologizarea la scară cât mai mare a procesărilor de date.

Auditarea și conformarea corectă scade semnificativ riscul unei amenzi. Tocmai de aceea am dezvoltat primul soft românesc de auditarea GDPR prin care poți implementa, verifica sau finaliza alinierii la Regulamentul General privind Protecția Datelor. Îl puteți testa gratuit accesând pagina noastră: https://gdprcomplet.ro/software/gdpr-audit/

Informațiile privind amendarea UNICREDIT BANK S.A. se regăsesc aici:

https://www.dataprotection.ro/?page=Comunicat_Amenda_Unicredit&lang=ro