GUEST WRITER | Marta Popa, Senior Partner Voicu & Filipescu | Începe o nouă eră în aplicarea Regulamentului general privind protecția datelor: Unicredit Bank S.A. este sancționată cu amendă de 130.000 EUR

După mai bine de un an de zile de la intrarea în vigoare a Regulamentului general privind protecţia datelor1, Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (Autoritatea Națională de Supraveghere) din România a aplicat prima sancțiune financiară.

Compania vizată este Unicredit Bank S.A., una dintre cele mai mari bănci locale. Ancheta finalizată pe data de 27.06.2019 a concluzionat faptul că Unicredit Bank S.A a încălcat prevederile art. 25 alin. (1) din Regulamentul general privind protecţia datelor.

Operatorul a fost sancţionat contravenţional cu amendă în cuantum de 613.912 Ron, echivalentul în Euro al sumei de 130.000 Euro, pentru neasigurarea protecției datelor începând cu momentul conceperii măsurilor tehnice și organizatorice adecvate. În concret, sancțiunea, intervenită ca urmare a unei sesizări a Autorităţii Naţionale de Supraveghere din data de 22.11.2018, a fost aplicată pentru că datele privind CNP-ul şi adresa persoanelor care efectuau plăţi la Unicredit Bank S.A., prin intermediul tranzacţiilor on-line, erau dezvăluite către beneficiarul tranzacţiei, prin formularele de extras de cont/detalii pentru un număr de 337.042 persoane vizate, în perioada 25.05.2018 – 10.12.2018.

Unicredit Bank S.A. avea obligaţia de a prelucra date limitate doar la ceea ce este necesar în raport de scopurile în care sunt prelucrate datele, potrivit art. 5 alin. 1 lit. c) din RGPD (”Principii legate de prelucrarea datelor cu caracter personal”). În același sens, autoritatea a considerat că Unicredit trebuia să aibă în vedere și considerentul (78) din Regulamentul general privind protecţia datelor.

Conform noului regulament, operatorul ar fi trebuit să adopte politici interne şi să pună în aplicare măsuri care să respecte în special principiul protecţiei datelor începând cu momentul conceperii şi cel al protecţiei implicite a datelor, cum ar fi:

  • reducerea la minimum a prelucrării datelor cu caracter personal,
  • pseudonimizarea acestor date cât mai curând posibil,
  • transparenţa în ceea ce priveşte funcţiile şi prelucrarea datelor cu caracter personal,
  • abilitarea persoanei vizate să monitorizeze prelucrarea datelor,
  • abilitarea operatorului să creeze elemente de siguranţă şi să le îmbunătăţească.

Până la sfârşitul lunii august 2019, Voicu Filipescu organizează o campanie specială de servicii GDPR, ce are ca scop:

  • Furnizarea de training-uri de conștientizare de către clienţi a prevederilor GDPR;
  • Furnizarea de servicii de auditare a gradului de conformare la GDPR, din punct de vedere al măsurilor tehnice și organizaționale (privacy by design și privacy by default).