ANSPDCP a amendat recent o bancă importantă din România pentru divulgarea datelor unor clienți. La cât s-a ridicat sancțiunea

Adaugă-ne ca sursă preferată

„ANSPDCP a finalizat în luna mai 2026 o investigaţie la Unicredit Bank SA şi a constatat încălcarea dispoziţiilor art. 32 alin. (1) lit. b), alin. (2) şi (4) şi art. 33 alin. (1) din Regulamentul (UE) 2016/679 (privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date, n.r.). Ca atare, Unicredit Bank SA a fost sancţionată contravenţional cu două amenzi în cuantum de 62.714 lei (echivalentul a 12.000 euro), astfel: cu amendă în cuantum de 52.270 lei (echivalentul sumei de 10.000 euro) pentru încălcarea dispoziţiilor art. 32 alin. (1) lit. b) şi alin. (2) şi (4) din Regulamentul (UE) 2016/679, pentru neimplementarea unor măsuri tehnice şi organizatorice adecvate; cu amendă în cuantum de 10.454 lei (echivalentul sumei de 2.000 euro) pentru încălcarea dispoziţiilor art. 33 alin. (1) din Regulamentul (UE) 2016/679, pentru netransmiterea în termenul legal a notificării încălcării de securitate”, se arată în comunicatul Autorităţii postat pe site, relatează Agerpres.

Investigaţia a fost demarată ca urmare a transmiterii unei petiţii de către o persoană fizică prin care a semnalat posibile încălcări ale Regulamentului (UE) 2016/679.

Ca urmare a investigaţiei efectuate, a rezultat că operatorul, în vederea reînnoirii poliţelor de asigurare de către clienţii care aveau această obligaţie, în contextul expirării acestora, a transmis notificări eronate către un număr mare de clienţi, atât prin mesageriile de mobil sau online banking, cât şi prin e-mail. Dezvăluirea a fost cauzată de o eroare legată de procesarea unui fişier necesar pregătirii notificărilor, notează ANSPDCP.

În cadrul investigaţiei, s-a constatat că operatorul nu a implementat măsuri tehnice şi organizatorice adecvate pentru a se asigura că orice persoană fizică care acţionează sub autoritatea operatorului sau a persoanei împuternicite de operator şi care are acces la datele cu caracter personal nu le prelucrează decât la cererea operatorului având în vedere asigurarea unui nivel de securitate corespunzător riscului prelucrării, incluzând capacitatea de a asigura confidenţialitatea datelor.

În consecinţă, această încălcare a condus la divulgarea neautorizată a datelor personale (precum numele, prenumele, adresa clientului, adresa şi valoarea imobilului asigurat, calitatea de client al băncii pentru produs de creditare cu ipoteca, data de expirare şi costurile poliţei de asigurare) pentru un număr semnificativ de persoane vizate (clienţi), prin transmiterea în mod eronat, a notificărilor privind expirarea poliţelor de asigurare către alte persoane decât destinatarii de drept, din cauza prelucrării manuale necorespunzătoare a unui fişier.

„Totodată, în cursul investigaţiei, s-a constatat că un operator nu a notificat încălcarea securităţii datelor cu caracter personal în termen de 72 de ore de la data la care a luat cunoştinţă de incidentul de încălcare a securităţii, notificarea fiind transmisă cu întârziere, deşi operatorul avea informaţii concrete privind încălcarea confidenţialităţii datelor personale, fiind astfel încălcate dispoziţiile art. 33 alin. (1) din Regulamentul (UE) 2016/679”, se mai arată în comunicat.