Autoritatea Națională de Supraveghere a finalizat în cursul lunii octombrie 2022 o investigație la operatorul ING Bank NV Amsterdam Sucursala București și a constatat încălcarea dispozițiilor art. 32 alin. (1) și alin. (2) din Regulamentul General privind Protecția Datelor.
Operatorul a fost sancționat contravențional cu amendă în cuantum de 98.076,00 lei (echivalentul sumei de 20.000 EURO).
Investigația a fost demarată ca urmare a transmiterii de către operator a unei notificări privind încălcarea securității datelor cu caracter personal în temeiul Regulamentului General privind Protecția Datelor.
La baza notificării au stat informații potrivit cărora s-au accesat și divulgat neautorizat datele cu caracter personal ale unor de persoane vizate (date de identificare asociate actului de identitate; date de contact; date de natură bancară (tranzacții și produse deținute, date asociate cardului); user și parolă modul Internet Banking (Home’Bank), având ca și consecință efectuarea de operațiuni de plată de către terțe persoane, cu afectarea datelor cu caracter personal ale acestor persoane vizate.
În cadrul investigației s-a constatat că operatorul ING Bank NV Amsterdam Sucursala București nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prezentat de prelucrare, generat în special, în mod accidental sau ilegal, de divulgarea neautorizată și accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod. Aceasta a condus la divulgarea neautorizată și accesul neautorizat la datele cu caracter personal ale acelor clienți ING Bank NV Amsterdam Sucursala București.
Subliniem că, potrivit art. 5 alin. (1) lit. f) din RGPD, ING Bank NV Amsterdam Sucursala București avea obligația de a prelucra datele cu caracter personal într-un mod care asigură securitatea adecvată a acestora, inclusiv protecţia împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare (“integritate și confidențialitate”).
Te-ar putea interesa și: Ce este GDPR? Regulament explicat în 5 minute
Sursa: comunicat de presă ANSPDCP
