Autoritatea Națională de Supraveghere a finalizat în luna martie 2023 o investigație la operatorul Banca Transilvania SA și a constatat încălcarea dispozițiilor art. 5 alin. (1) lit. a) și alin. (2), art. 12 și art. 13, coroborat cu art. 83 alin. (5) lit. a) și b) din Regulamentul (UE) 2016/679.

Ca atare, operatorul a fost sancționat contravențional cu amendă în cuantum de 9841,80 lei (echivalentul sumei de 2 000 EURO).

Investigația a fost demarată ca urmare a unei plângeri transmisă de o persoană fizică ce a semnalat o posibilă încălcare a dispozițiilor Regulamentului (UE) 2016/679.

Astfel, petentul (client) a solicitat Băncii Transilvania SA eliberarea unui card pe numele unei rude, cu posibilitatea accesării de către acesta doar a contului în EURO. La momentul ridicării cardului, clientul și persoana care avea drept de operare pe contul în euro utilizau o anumită aplicație de Internet Mobile Banking a Băncii Transilvania care permitea restricționarea vizualizării unor conturi.

În cadrul investigației, din cererea de actualizare date (Achiziție produse/servicii bancare) pentru o nouă aplicație mobilă destinată prestării de servicii a rezultat că se aplică în continuare restrângerea dreptului de operare doar la contul în euro pentru ruda desemnată de client. În această situație, a reieșit că petentul și-a manifestat în mod clar voința în ceea ce privește posibilitatea de vizualizare doar pe contul în euro.

Cu toate acestea, după activarea serviciului Internet Mobile Banking pentru utilizarea noii aplicații, ruda petentului a putut accesa neautorizat toate conturile titularului.

Ca atare, s-a constatat că operatorul nu a făcut dovada că, la momentul utilizării datelor clientului său, a furnizat acestuia, într-o formă concisă, transparentă, inteligibilă și ușor accesibilă, informații privind destinatarii sau categoriile de destinatari ai datelor cu caracter personal, astfel cum prevede art. 13 alin. (1) lit. e) coroborat cu art. 12 din Regulamentul (UE) 2016/679.

Prin urmare, operatorul nu a făcut dovada informării persoanei vizate (clientului) cu privire la faptul că, în cadrul noii aplicații, datele bancare aferente tuturor conturilor sale, urmau să fie dezvăluite către persoana desemnată (ruda acestuia).

În același timp, operatorului i s-au aplicat și următoarele măsuri corective:

-să ia măsuri adecvate pentru respectarea prevederilor art. 5 alin. (1) lit. a) și ale art. 12 și 13 din Regulamentul (UE) 2016/679, raportat la prelucrarea datelor cu caracter personal în cadrul serviciilor acordate clienților, inclusiv a serviciilor de Internet/Mobile Banking;

-să adopte măsuri tehnice adecvate, destinate să pună în aplicare în mod eficient principiile de protecție a datelor și să integreze garanțiile necesare în cadrul prelucrării, atât în momentul stabilirii mijloacelor de prelucrare, cât și în cel al prelucrării în sine, pentru a îndeplini cerințele Regulamentul (UE) 2016/679 și a proteja drepturile persoanelor vizate, în conformitate cu prevederile art. 25 din Regulamentul (UE) 2016/679. În acest sens, s-a dispus implementarea de măsuri tehnice și organizatorice adecvate care să asigure că, în toate cazurile, sunt prelucrate numai date cu caracter personal care sunt necesare pentru scopul specific al prelucrării și în acord cu manifestarea de voință liberă, specifică, informată și lipsită de ambiguitate a persoanelor vizate (clienți).

Direcția juridică și comunicare

A.N.S.P.D.C.P.