Raiffeisen Bank Romania a fost sancționată cu trei amenzi, în sumă totală de 138.572 lei (28.000 euro), pentru că ar fi încălcat de mai multe ori dispozițiile Regulamentului General privind Protecția Datelor, a anunțat Autoritatea Națională de Supraveghere a Prelucăririi Datelor cu Caracter Personal (ANSPDCP).
Profit.ro va organiza, pe 12 decembrie, conferința Profit Financial.forum - Piețele financiare și provocările noilor crize - Ediția a V-a, la care vor participa cei mai mari jucători din piața financiar-bancară.
Videoconferința, programată la Grand Hotel Marriott București, va fi organizată cu sprijinul Agista, Alpha Bank, Banca Transilvania, CEC Bank, ING Bank, NNDKP și UniCredit Bank, urmând să fie transmisă în direct și la PROFIT NEWS TV
"Autoritatea a finalizat în cursul lunii septembrie 2022 o investigație la operatorul Raiffeisen Bank SA și a constatat multiple încălcări ale dispozițiilor Regulamentului General privind Protecția Datelor (GDPR/RGPD). Operatorul a fost sancționat contravențional cu două avertismente și cu trei amenzi în cuantum total de 138.572 lei (echivalentul sumei de 28.000 euro), astfel:
1. Amendă în cuantum de 98.980,00 lei, echivalentul a 20.000 euro, pentru încălcarea art. 32 alin. (4) coroborat cu art. 32 alin. (1) și alin. (2) din RGPD;
28 noiembrie - Profit Financial.forum
2. Avertisment pentru încălcarea prevederilor art. 32 alin. (1) și art. 32 alin. (2) din RGPD;
3. Amendă în cuantum de 14.847,00 lei, echivalentul a 3.000 euro, pentru încălcarea art. 32 alin. (4) coroborat cu art. 32 alin. (1) și alin. (2) din RGPD;
4. Amendă în cuantum de 24.745,00 lei, echivalentul a 5.000 euro, pentru încălcarea art. 25 alin. (1) din RGPD;
5. Avertisment pentru încălcarea prevederilor art. 32 alin. (4) coroborat cu art. 32 alin. (1) și alin. (2) din RGPD", se arată în anunțul instituției.
Investigația a fost demarată ca urmare a transmiterii de către Raiffeisen Bank a unui număr de 17 notificări cu privire la producerea unor încălcări a securității datelor cu caracter personal, raportat la dispozițiile Regulamentului General privind Protecția Datelor.
"Astfel, în cursul investigației s-au constatat, în principal, următoarele:
S-au efectuat interogări de către Raiffeisen Bank SA în sistemul de evidență administrat de Biroul de Credit S.A., respectiv în cel administrat de Agenția Națională de Administrare Fiscală (ANAF) și, de asemenea, s-au utilizat sistemele informatice ale operatorului Raiffeisen Bank S.A. pentru a simula decizii de creditare ("prescoring") pentru un broker extern de credite.
În două situații s-a procedat la efectuarea de operațiuni de prescoring pentru clienți sau potențiali clienți, însă interogarea în Sistemul Biroului de Credit s-a realizat fără ca documentația aferentă interogării să fie semnată de solicitanții respectivi. S-a constatat că incidentele notificate Autorității naționale de supraveghere au vizat un număr de cel puțin 169 persoane fizice", se mai spune în anunț.
Raiffeisen Bank a notificat autorității un incident referitor la acordarea de credite unor clienți, persoane fizice, prin intermediul unei entități având calitatea de persoană împuternicită a băncii. La baza notificării au stat informații potrivit cărora clienților li s-ar fi aprobat credite de nevoi personale fără ca aceștia să le fi solicitat și fără să fi semnat documentele aferente.
"Prin urmare, s-a reținut faptul că Raiffeisen Bank nu a luat măsuri pentru a asigura că orice persoană fizică care acționează sub autoritatea băncii și are acces la date cu caracter personal nu le prelucrează decât la cererea băncii și nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării. Aceasta a condus la accesul neautorizat și/sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate prin aplicațiile informatice utilizate de Raiffeisen Bank în activitatea de creditare", scrie în anunț.
Banca a notificat un incident cu privire la încălcarea securității datelor care a constat în faptul că, în derularea procesului de actualizare a datelor unei cliente, s-a introdus în sistem o adresă de e-mail greșită și s-a transmis altei persoane fizice un document cu multiple date personale aparținând clientului băncii.
Un alt incident a constat în faptul că banca ar fi transmis, prin e-mail, date confidențiale către o altă persoană decât persoana vizată.
O altă notificare a unui incident produs la nivelul băncii a vizat faptul că s-ar fi transmis pe o adresă de e-mail eronată a unei alte persoane fizice, un document intitulat "Formular pentru definire date personale" și care conținea numeroase date personale ale unui client al băncii.
Un incident similar s-a produs ca urmare a faptului că doi clienți ai băncii au depus sesizări asemănătoare, iar în momentul pregătirii e-mailului de răspuns la sesizarea primului client, banca ar fi anexat în e-mailul transmis acestuia documente cu date personale aparținând celuilalt client. Cauza transmiterii greșite a documentelor a fost reprezentantă de asemănarea dintre tipologia sesizărilor și momentul succesiv de trimitere a răspunsului.
"Un alt incident cu privire la încălcări a securității datelor, notificat de bancă, a privit o situație ce implică și suspiciuni de frauda internă în creditare și a constat în:
a) efectuarea de operațiuni specifice pentru acordarea unui credit pentru un client persoană fizică, fără prezența solicitantului la sediul agenției.
b) solicitarea de facilități de credit de tip Card de Credit, completarea și semnarea documentației aferente facilității de tip card de credit, solicitarea de facilități de credit de tip credit de nevoi personale, completarea și semnarea documentației aferente facilității de tip credit de nevoi personale, actualizarea datelor persoanelor vizate în aplicația Băncii prin modificarea numărului de telefon al persoanelor vizate cu numărul de telefon al angajatului băncii și prin introducerea unei adrese de e-mail fictive", se mai spune in anunț.
Un incident similar, notificat de bancă și investigat de ANSPDCP, a constat în prelucrarea de date de către bancă în legătură cu acordarea a trei facilități de credit (Flexicredit, refinanțare Flexicredit respectiv Card de Cumpărături), în numele unei persoanei fizice, client al băncii, dar fără ca acesta să fi solicitat, în realitate acele credite.
O altă încălcare a securității datelor cu caracter personal, notificată de instituția de credit, ar fi constat în divulgarea neautorizată a datelor cu caracter personal ale unor clienți din contul Smart Mobile (serviciul de mobile banking pus la dispoziție de către Raiffeisen Bank) al acestora către alți clienți ai băncii.
"În contextul celor de mai sus, în cadrul investigației s-a constatat că Raiffeisen Bank nu a luat măsuri pentru a asigura că orice persoană fizică care acționează sub autoritatea sa și are acces la date cu caracter personal nu le prelucrează decât la cererea operatorului. Aceasta a condus la accesul neautorizat la datele cu caracter personal ale clienților Raiffeisen Bank (de exemplu, nume, prenume, adresa de domiciliu, cetățenie, naționalitate, imaginea persoanei, codul numeric personal, numărul și seria cărții de identitate, e-mail, nr. telefon, date din Sistemul Biroului de Credit, date din sistemul de evidență administrat de ANAF, date din contul Smart Mobile) și la divulgarea neautorizată a acestor date, de către bancă. Subliniem că, potrivit articolului 5, aliniatul (1), litera f) din RGPD, Raiffeisen Bank avea obligația de a prelucra datele cu caracter personal într-un mod care asigură securitatea adecvată a acestora, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare", mai scrie în anunț.
Raiffeisen Bank Romania este parte a grupului financiar austriac Raiffeisen și deținea a cincea poziție în clasamentul de profil în funcție de nivelulul activelor la finele anului 2021.
