Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a anunțat că a amendat contravențional sucursala din București a ING Bank cu 80.000 de euro.
Banca a primit amendă deoarece au fost dublate anumite tranzacții din cauza lipsei măsurilor de securitate.
Prima banca amendată în România pentru încălcarea GDPR a fost UniCredit Bank, urmată de Raiffeisen Bank.
Autoritatea a finalizat în data de 04.11.2019 o investigație la ING Bank – Sucursala București, ca urmare a unei sesizări, constatând faptul că operatorul a încălcat prevederile art. 25 alin. (1) coroborat cu art. 5 alin. 1 lit. f) din RGPD, ceea ce a condus la aplicarea unei amenzi contravenționale în cuantum de 80.000 euro.
În acest sens, operatorul nu a asigurat respectarea principiului protecției datelor începând cu momentul conceperii și cel al protecției implicite a datelor (privacy by design și privacy by default), întrucât nu a procedat la adoptarea de măsuri tehnice și organizatorice corespunzătoare, privind integrarea de garanții adecvate în sistemul automatizat de prelucrare a datelor în cadrul procesului de decontare al tranzacțiilor cu cardul, fiind afectat un număr de 225.525 de clienți ale căror operațiuni de plată au fost dublate în perioada 8-10.10.2018, raportat și la prevederile art. 32 alin. (1) lit. d) din RGPD.
În acest context, autoritatea precizează că art 25 alin. (1) din RGPD prevede următoarele:
”Având în vedere stadiul actual al tehnologiei, costurile implementării, și natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscurile cu grade diferite de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice pe care le prezintă prelucrarea, operatorul, atât în momentul stabilirii mijloacelor de prelucrare, cât și în cel al prelucrării în sine, pune în aplicare măsuri tehnice și organizatorice adecvate, cum ar fi pseudonimizarea, care sunt destinate să pună în aplicare în mod eficient principiile de protecție a datelor, precum reducerea la minimum a datelor, și să integreze garanțiile necesare în cadrul prelucrării, pentru a îndeplini cerințele prezentului regulament și a proteja drepturile persoanelor vizate.”
De asemenea, art. 5 alin. (1) lit. f) din RGPD stabilește unul dintre principiile de prelucrare a datelor și anume faptul că datele trebuie ”prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecţia împotriva prelucrării neautorizate sau ilegale şi împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare („integritate şi confidenţialitate”).”
Totodată, potrivit art. 32 alin. (1) lit. d) din RGPD, printre măsurile tehnice şi organizatorice adecvate pe care operatorul trebuie să le ia în vederea asigurării unui nivel de securitate corespunzător riscului, se numără și cea privind existența unui proces pentru testarea, evaluarea şi aprecierea periodice ale eficacităţii măsurilor tehnice şi organizatorice pentru a garanta securitatea prelucrării.
Reacția băncii pentru BankingNews
”Confirmăm luarea la cunoștință a demersului de sancționare a ING Bank România de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal în contextul incidentului operațional din luna octombrie 2018, când o parte din tranzacțiile cu cardurile emise ING au fost dublate. Urmare a acestui incident, clienții afectați au fost informați imediat, tranzacțiile dublate au fost stornate în cursul aceleiași zile, fiind totodată revizuite și actualizate unele reguli operaționale interne, în sensul întăririi acestora. Incidentul operațional nu a condus la o afectare a datelor cu caracter personal”, se menționează în reacția oficială a reprezentanților ING Bank
Citește despre amenda încasată de UniCredit
Prima amendă pentru încălcarea GDPR în România. Unicredit Bank, penalizată cu 130.000 euro
