Anchetă de amploare a fost inițiată la Raiffeisen Bank. Banca a fost amendată cu 20.000 de euro după ce angajații săi au folosit ilegal datele confidențiale ale clienților. Un client a depus o plângere afirmând că s-a contractat un împrumut în numele său, deși renunțase la cererea de credit. Investigația a relevat că un angajat al băncii a utilizat nelegal documentele clientului și a efectuat tranzacții în numele mai multor persoane.
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a finalizat, în luna octombrie 2024, o investigație care a dus la amendarea Raiffeisen Bank cu 20.000 de euro pentru trei situații de încălcare a prevederilor Regulamentului UE privind protecția datelor cu caracter personal (GDPR), conform romaniatv.net.
Într-un prim caz, banca a fost sesizată de un client care a reclamat contractarea unui credit în numele său
În cadrul investigației s-a constatat că un angajat al operatorului a folosit în mod nelegal cererea de credit a clientului, precum și celelalte documente aferente acestei cereri, în ciuda faptului că clientul anunțase Raiffeisen Bank S.A. că renunță la această cerere.
Angajatul operatorului a realizat tranzacții de retragere numerar de la ATM și operațiuni de transfer bancar în numele mai multor persoane, afectând următoarele categorii de date cu caracter personal: numele, prenumele, codul numeric personal, adresa de domiciliu/reședință și de corespondență, numărul de telefon fix/mobil, data nașterii, numele și adresa angajatorului, IP-ul de produs, starea produsului/contului, data acordării, termenul de acordare, sumele acordate, sumele datorate, data scadenței, valuta, frecvența plăților, suma plătită, rata lunară, sumele restante, numărul de rate restante, numărul de zile de întârziere, categoria de întârziere, data închiderii produsului, numărul de interogări, istoricul tranzacțiilor, contracte direct debit, depozite, cont economii, fonduri de investiții.
Astfel, s-a constatat că operatorul Raiffeisen Bank nu a implementat măsuri pentru a asigura că orice persoană fizică care acționează sub autoritatea sa și are acces la date cu caracter personal le prelucrează doar la cererea operatorului, ceea ce a dus la accesul neautorizat și/sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate prin aplicațiile informatice utilizate de operator în activitatea de creditare de către angajatul acestuia.
Doi angajați ai băncii au furnizat informații confidențiale despre tranzacțiile unui client
Într-un alt caz, Raiffeisen Bank a informat că doi angajați ai săi au furnizat informații confidențiale despre tranzacțiile unui client către un fost angajat al băncii prin utilizarea rețelelor Facebook, Messenger și WhatsApp, care la rândul său le-a transmis mai departe unor rude ale clientului.
Investigația a relevat că Raiffeisen Bank S.A. nu a implementat măsuri pentru a asigura că orice persoană fizică care acționează sub autoritatea sa și are acces la date cu caracter personal le prelucrează doar la cererea operatorului, ceea ce a condus la accesul neautorizat și divulgarea neautorizată a datelor clientului (nume, prenume, CNP, adresă de domiciliu/corespondență, număr de cont, data tranzacțiilor, suma tranzacțiilor, beneficiarii plăților).
Produse nesolicitate și lipsa unor sume de bani din conturi
În al treilea caz, banca a fost sesizată de un client care a raportat existența unor produse nesolicitate de către acesta, precum și lipsa unor sume de bani din contul său.
Verificările interne au arătat că un angajat al Raiffeisen Bank a efectuat numeroase operațiuni ilegale în numele mai multor clienți ai operatorului, precum: modificarea repetată a datelor de contact (telefon și e-mail); utilizarea serviciului Smart Mobile; deschiderea unor conturi curente; deschiderea unor conturi de economii; constituirea și lichidarea unor depozite; solicitarea unor produse de creditare, completarea și semnarea documentației aferente (credit/card de credit); întocmirea și semnarea unor ordine de plată; răscumpărarea de unități de fond; solicitarea și utilizarea a trei carduri de debit.
Investigația a concluzionat că, între anul 2015 și luna martie 2023, au fost accesate și divulgate neautorizat datele cu caracter personal ale mai multor clienți ai Raiffeisen Bank, ca urmare a acțiunilor unui angajat al operatorului, în scopul obținerii unor produse financiare în numele persoanelor vizate afectate.
Sancțiuni și măsuri corective impuse
În consecință, conform criteriilor de individualizare a sancțiunii prevăzute de art. 83 alin. (2) din Regulamentul (UE) 2016/679, operatorul Raiffeisen Bank S.A. a fost sancționat cu o amendă de 99.466 lei, echivalentul a 20.000 euro, pentru încălcarea prevederilor art. 32 alin. (4) combinat cu art. 32 alin. (1) lit. b) și d) și alin. (2) din GDPR.
În același timp, pe baza art. 58 alin. (2) lit. d) din Regulamentul (UE) 2016/679, s-au impus următoarele măsuri corective:
- Implementarea tehnică și organizatorică a unui plan procedural care să includă un proces de testare, evaluare și apreciere periodică a tuturor acțiunilor de introducere/actualizare a datelor cu caracter personal pentru persoanele vizate (clienți), inclusiv notificarea și acordul clientului în orice formă asupra oricărei modificări a datelor cu caracter personal ce pot fi efectuate de către angajații operatorului Raiffeisen Bank S.A.;
- Pentru a asigura informarea regulată privind riscurile prelucrării neautorizate a datelor cu caracter personal de către angajați, se impune diseminarea acestor informații la un interval de cel mult 6 luni, inclusiv necesitatea probării luării la cunoștință de către fiecare dintre angajații care au acces la date cu caracter personal și atribuții în activitatea curentă de prelucrare a datelor clienților.
