Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal finalizat, la sfârşitul lunii iunie, o investigaţie la UNICREDIT BANK S.A. şi a constatat că acesta a încălcat prevederile art. 25 alin. (1) din Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date. Operatorul a fost sancţionat contravenţional cu amendă în cuantum de 613.912 lei, echivalentul în euro al sumei de 130.000 euro.
”Sancţiunea a fost aplicată UNICREDIT BANK S.A. ca urmare a neaplicării măsurilor tehnice şi organizatorice adecvate, atât în momentul stabilirii mijloacelor de prelucrare, cât şi în cel al prelucrării în sine, destinate să pună în aplicare în mod eficient principiile de protecţie a datelor, precum reducerea la minimum a datelor, şi să integreze garanţiile necesare în cadrul prelucrării, pentru a îndeplini cerinţele Regulamentului General privind Protecţia Datelor (RGPD) şi a proteja drepturile persoanelor vizate. Aceasta a condus la dezvăluirea în documentele ce conţin detaliile tranzacţiilor şi care sunt puse on-line la dispoziţia clienţilor beneficiari ai plăţilor, a datelor privind CNP-ul şi adresa plătitorului (pentru situaţiile în care plătitorul efectua tranzacţia dintr-un cont deschis la o alta instituţie de credit - tranzacţii externe şi depuneri la casierie), respectiv a datelor privind adresa plătitorului (pentru situaţiile în care plătitorul efectua tranzacţia dintr-un cont deschis la UNICREDIT BANK SA - tranzacţii interne), pentru un număr de 337.042 persoane vizate, în perioada 25 mai 2018 – 10.12.2018”, se arată într-un comunicat al Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal.
Sancţiunea a fost aplicată ca urmare a unei sesizări a Autorităţii Naţionale de Supraveghere din data de 22.11.2018 prin care se semnala faptul că datele privind CNP-ul şi adresa persoanelor care efectuau plăţi la UNICREDIT BANK S.A., prin intermediul tranzacţiilor on-line, erau dezvăluite către beneficiarul tranzacţiei, prin formularele de extras de cont/detalii. Potrivit art. 5 alin. 1 lit. c) din RGPD (”Principii legate de prelucrarea datelor cu caracter personal”), operatorul avea obligaţia de a prelucra date limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate datele.
