Raiffeisen Bank, amendată. Angajaţi ai băncii ar fi folosit datele unor clienţi pentru tranzacţii ilegale

Raiffeisen Bank a fost amendată de autorităţi cu 20.000 de euro după ce angajaţi ai băncii ar fi folosit datele confidenţiale ale unor clienţi, unul dintre aceştia reclamând că în numele lui s-a luat un împrumut deşi renunţase la cererea de credit, a anunţat Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal.

ANSPDCP a finalizat, în luna octombrie 2024, o investigaţie la operatorul Raiffeisen Bank S.A. şi a constatat încălcarea prevederilor art. 32 alin. (4) coroborat cu art. 32 alin. (1) lit. b) şi d) şi alin. (2) din Regulamentul (UE) 2016/679 (GDPR).

Investigaţia a fost demarată ca urmare a faptului că Raiffeisen Bank S.A. a transmis Autorităţii Naţionale de Supraveghere trei notificări cu privire la producerea unor încălcări a securităţii datelor cu caracter personal.

Potrivit instituţiei, operatorul [Raiffeisen Bank] a fost sesizat de către un client care reclama contractarea unui credit în numele său. În cadrul investigaţiei s-a constatat că un angajat al operatorului a utilizat în mod nelegal cererea de credit a clientului, precum şi celelalte documente aferente acestei cereri, deşi clientul anunţase Raiffeisen Bank S.A. că renunţă la această cerere.

Angajatul operatorului a efectuat tranzacţii de retragere numerar de la ATM şi operaţiuni de transfer bancar în numele mai multor persoane vizate, fiind afectate următoarele categorii de date cu caracter personal: numele, prenumele, codul numeric personal, adresa de domiciliu/reşedinţa şi de corespondenţă, numărul de telefon fix/mobil, data naşterii, numele şi adresa angajatorului, ip-ul de produs, starea produsului/contului, data acordării, termenul de acordare, sumele acordate, sumele datorate, data scadenţei, valuta, frecvenţa plaţilor, suma plătită, rata lunară, sumele restante, numărul de rate restante, numărul de zile de întârziere, categoria de întârziere, data închiderii produsului, numărul de interogări, istoric tranzacţii, contracte direct debit, depozite, cont economii, fonduri de investiţii, se mai arată în comunicatul ANSPDCP.

Ca atare, continuă ANSPDCP, s-a constatat că operatorul Raiffeisen Bank S.A. nu a luat măsuri pentru a asigura că orice persoană fizică care acţionează sub autoritatea sa şi are acces la date cu caracter personal nu le prelucrează decât la cererea operatorului, ceea ce a condus la accesul neautorizat şi/sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate prin aplicaţiile informatice utilizate de operator în activitatea de creditare de către angajatul acestuia.

De asemenea, Raiffeisen Bank S.A. a notificat faptul că doi angajaţi ai săi au furnizat informaţii confidenţiale despre tranzacţiile unui client către un fost angajat al băncii prin utilizarea reţelelor Facebook, Messenger şi WhatsApp, care la rândul său le-a transmis mai departe unor rude ale clientului. În cadrul investigaţiei s-a constatat că Raiffeisen Bank S.A. nu a luat măsuri pentru a asigura că orice persoană fizică care acţionează sub autoritatea sa şi are acces la date cu caracter personal nu le prelucrează decât la cererea operatorului, ceea ce a condus la accesul neautorizat şi divulgarea neautorizată a datelor clientului (nume, prenume, CNP, adresa de domiciliu/corespondenţă, număr de cont, data tranzacţiilor, suma tranzacţiilor, beneficiarii plăţilor).

Conform ANSPDCP, într-un alt caz, operatorul a fost sesizat de către un client care reclama existenţa unor produse nesolicitate de către acesta, precum şi lipsa unor sume de bani din contul său. Din verificările interne a rezultat că un angajat al Raiffeisen Bank S.A. a efectuat numeroase operaţiuni nelegale în numele mai multor clienţi ai operatorului, precum: modificarea repetată a datelor de contact (telefon şi e-mail); utilizarea serviciului Smart Mobile; deschiderea unor conturi curente; deschiderea unor conturi de economii; constituirea şi lichidarea unor depozite; solicitarea unor produse de creditare, completarea şi semnarea documentaţiei aferente (credit/card de credit); întocmirea şi semnarea unor ordine de plată; răscumpărarea de unităţi de fond; solicitarea şi utilizarea a trei carduri de debit.

În cadrul investigaţiei s-a constatat că, începând din anul 2015 până în luna martie a anului 2023, au fost accesate şi divulgate neautorizat datele cu caracter personal a mai multor clienţi ai Raiffeisen Bank S.A. ca urmare a acţiunilor efectuate de un angajat al operatorului în scopul obţinerii unor produse financiare în numele persoanelor vizate afectate.

În consecinţă, raportat la criteriile de individualizare a sancţiunii prevăzute de art. 83 alin. (2) din Regulamentul (UE) 2016/679, operatorul Raiffeisen Bank S.A. a fost sancţionat cu amendă în cuantum de 99.466 lei, echivalentul a 20.000 euro, pentru încălcarea prevederilor art. 32 alin. (4) coroborat cu art. 32 alin. (1) lit. b) şi d) şi alin. (2) din GDPR, mai transmite ANSPDCP.

În acelaşi timp, în temeiul art. 58 alin. (2) lit. d) din Regulamentul (UE) 2016/679, s-au dispus următoarele măsuri corective

- implementarea tehnică şi organizatorică a unui plan procedurat care să includă un proces de testare, evaluare şi apreciere periodică a tuturor acţiunilor de introducere/actualizare date cu caracter personal pentru persoanele vizate (clienţi), inclusiv notificarea şi acordul clientului în orice formă asupra oricărei modificări a datelor cu caracter ce pot fi efectuate de către angajaţii operatorului Raiffeisen Bank SA;

- în vederea asigurării informării regulate privind riscurile prelucrării neautorizate a datelor cu caracter personal de către angajaţi, se impune diseminarea acestor informaţii, la un interval de cel mult 6 luni, inclusiv cu necesitatea probării luării la cunoştinţă de către fiecare dintre angajaţii care au acces la date cu caracter personal şi atribuţii în activitatea curentă de prelucrare a datelor clienţilor.