Investigația a fost declanșată după reclamația unei persoane fizice.
"Ca urmare a investigației efectuate, a rezultat că operatorul, în vederea reînnoirii polițelor de asigurare de către clienții care aveau această obligație, în contextul expirării acestora, a transmis notificări eronate către un număr mare de clienți, atât prin mesageriile de mobil sau online banking, cât și prin e-mail.
Dezvăluirea a fost cauzată de o eroare legată de procesarea unui fișier necesar pregătirii notificărilor", susține ANSPDCP.
În cadrul investigației, s-a constatat că operatorul nu a implementat măsuri tehnice și organizatorice adecvate pentru a se asigura de faptul că orice persoană fizică care acționează sub autoritatea operatorului sau a persoanei împuternicite de operator și care are acces la datele cu caracter personal nu le prelucrează decât la cererea operatorului având în vedere asigurarea unui nivel de securitate corespunzător riscului prelucrării, incluzând capacitatea de a asigura confidențialitatea datelor, mai arată autoritatea.
"În consecință, această încălcare a condus la divulgarea neautorizată a datelor personale (precum numele, prenumele, adresa clientului, adresa și valoarea imobilului asigurat, calitatea de client al băncii pentru produs de creditare cu ipoteca, data de expirare și costurile poliței de asigurare) pentru un număr semnificativ de persoane vizate (clienți), prin transmiterea în mod eronat, a notificărilor privind expirarea polițelor de asigurare către alte persoane decât destinatarii de drept, din cauza prelucrării manuale necorespunzătoare a unui fișier.
Totodată, în cursul investigației, s-a constatat că operator nu a notificat încălcarea securității datelor cu caracter personal în termen de 72 de ore de la data la care a luat cunoștință de incidentul de încălcare a securității, notificarea fiind transmisă cu întârziere, deși operatorul avea informații concrete privind încălcarea confidențialității datelor personale", se mai arată în comunicatul ANSPDCP.
Un urma investigației, Unicredit Bank a fost sancționată contravențional cu două amenzi în cuantum de 62.714 lei (echivalentul a 12.000 EURO), astfel:
- cu amendă în cuantum de 52.270 lei (echivalentul sumei de 10.000 euro) pentru încălcarea dispozițiilor art. 32 alin. (1) lit. b) și alin. (2) și (4) din Regulamentul (UE) 2016/679, pentru neimplementarea unor măsuri tehnice și organizatorice adecvate;
- cu amendă în cuantum de 10.454 lei (echivalentul sumei de 2.000 euro) pentru încălcarea dispozițiilor art. 33 alin. (1) din Regulamentul (UE) 2016/679, pentru netransmiterea în termenul legal a notificării încălcării de securitate.
