Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, a amendat Unicredit Bank cu 74.652 lei, echivalentul a 15.000 euro, după ce a constatat încălcarea prevederilor art. 25 alin. (1) din Regulamentul General privind Protecția Datelor (RGPD).
Instituția a finalizat, în luna decembrie 2024, o investigație.
Investigația a fost demarată ca urmare a transmiterii de către operator a două notificări de încălcăre a securității datelor cu caracter personal în temeiul RGPD.
În cadrul investigației efectuate s-a constatat faptul că, într-o primă situație, încălcarea securității prelucrării datelor s-a produs ca urmare a funcționării eronate a aplicației operatorului prin care se creează numele de utilizator, fără a efectua o testare prealabilă într-un mediu de test.
Această situație a condus la divulgarea neautorizată a unor date cu caracter personal prelucrate ale unor clienți, cum ar fi: nume, prenume, informații despre contul current, tranzacții cont, sold cont, tranzacții card, sold card.
În cea de-a doua situație, încălcarea securității prelucrării datelor s-a produs ca urmare a implementării de către operator a unei soluții de comunicare a clienților cu banca, fără a efectua testarea prealabilă adecvată în mediul de test, ceea ce a condus la divulgarea neautorizată a datelor cu caracter personal (numele titularului de card, numărul de telefon, data tranzacției, valuta, adresa de email, suma tranzacției, motivul de refuz la plată) ale unui număr semnificativ de clienți ai Unicredit Bank SA.
Ca atare, raportat la criteriile de individualizare a sancțiunilor prevăzute de art. 83 din RGPD, s-a stabilit sancționarea cu amendă pentru încălcarea prevederilor art. 25 alin. (1) din RGPD, întrucât operatorul nu a implementat, atât în momentul stabilirii mijloacelor de prelucrare, cât și în cel al relucrării în sine, măsuri tehnice și organizatorice adecvate, destinate să pună în aplicare în mod eficient principiile de protecție a datelor și să integreze garanțiile necesare în cadrul prelucrării.
În același timp, s-a dispus față de operator și măsura corectivă de a implementa tehnic și organizatoric un plan de testare a tuturor componentelor/aplicațiilor ce se doresc a fi introduse în cadrul activităților care includ prelucrări de date cu caracter personal prin analizarea tuturor funcționalităților acestora într-un mediu de test, care să simuleze scenariul real din mediul de producție.
Operatorul a achitat amenda aplicată.
