Amendă de 5.000 euro aplicată de ANSPDCP unei bănci, după ce a trimis din greșeală e-mailuri către foști clienți

Potrivit celui mai recent raport de activitate al ANSPDCP, incidentul a avut la bază o eroare operațională umană produsă în momentul generării bazei de date pentru trimiterea informării. Mai exact, un angajat al operatorului a inclus, pe lângă clienții activi utilizatori de carduri și Internet/Mobile Banking, și adresele de e-mail ale unor foști clienți ai băncii.

În cadrul investigației, autoritatea a constatat că operatorul bancar stochează datele persoanelor fizice cărora le-au fost refuzate cererile de împrumut timp de cinci ani, iar în cazul clienților existenți sau foști, păstrează datele pentru o perioadă de zece ani de la încetarea relației contractuale.

ANSPDCP a reținut că, deși există obligații legale privind păstrarea și arhivarea documentelor și înregistrărilor pentru cinci ani după încetarea relației contractuale, respectiv obligații privind monitorizarea tranzacțiilor în temeiul legislației bancare și al normelor Băncii Naționale a României (BNR), acestea nu justifică prelucrarea ulterioară a datelor personale (altele decât simpla stocare) pentru persoanele cu care banca nu mai are relații contractuale active.

Astfel, s-a constatat încălcarea art. 5 alin. (1) lit. a), b) și f) și alin. (2) din Regulamentul (UE) 2016/679 (GDPR), prin raportare la art. 6 alin. (1) și art. 32 alin. (4) din același Regulament.

La fel, potrivit ANSPDCP, banca a prelucrat nelegal datele (adresele de e-mail) foștilor clienți într-un scop incompatibil cu cel prevăzut de Legea nr. 129/2019 pentru prevenirea și combaterea spălării banilor și finanțării terorismului și Regulamentul BNR nr. 2/2019, respectiv păstrarea/arhivarea datelor, fără a avea un temei legal și fără a asigura măsuri de securitate adecvate.

Pentru aceste fapte, operatorul din domeniul bancar a fost sancționat cu o amendă de 24.842 lei (echivalentul a 5.000 de euro).

Mai mult, autoritatea a dispus și o măsură corectivă, constând în monitorizarea activităților de prelucrare a datelor cu caracter personal desfășurate de persoanele aflate sub autoritatea operatorului, conform procedurilor interne de lucru.