Autoritatea Națională de Supraveghere a finalizat în luna aprilie o investigație la Banca Comercială Română S.A. și a constatat încălcarea dispozițiilor art. 5 alin. (1) lit. a) și d), art. 5 alin. (2) și a art. 6 din RGPD din Regulamentul General privind Protecția Datelor.

Banca Comercială Română S.A., în calitate de operator, a fost sancționată contravențional cu amendă în cuantum de 9.855,8 lei (echivalentul a 2.000 euro).

Investigația a fost demarată ca urmare a primirii unei plângeri prin care s-a reclamat faptul că Banca Comercială Română S.A. a utilizat, fără acord, datele personale ale unei persoane fizice, în cadrul unor proceduri de executare silită pentru debite rezultate dintr-un contract de credit despre care acesta nu avea cunoștință.

Petentul a reclamat, așadar, folosirea fără consimțământ a datelor sale personale, în alte scopuri decât cele autorizate de dumnealui, precum și utilizarea unei adrese care nu mai era de actualitate și pentru care petentul a considerat că banca a accesat ilegal o bază de date. De asemenea, a reclamat lipsa informării cu privire la sursa de colectare a acestor informații conform art. 14 din RGPD, precum și lipsa primirii unui răspuns cu privire la mai multe cereri adresate de acesta BCR S.A.

În cursul desfășurării investigației Autoritatea Națională de Supraveghere a constatat că Banca Comercială Română S.A. a prelucrat datele personale ale petentului fără temei legal, prin atribuirea eronată a calității de garant în 2019, extragerea unor date neactualizate, utilizarea și dezvăluirea datelor sale personale, în cadrul unor proceduri de notificare efectuate prin intemediul unui executor judecătoresc, care priveau restanțele la un contract de credit acumulate de o societate comercială, clientă a băncii, cu care petentul nu avea niciun fel de relație, cu încălcarea art. 5 alin. (1) lit. a) și d) și art. 5 alin. (2), precum și a art. 6 din RGPD.

Autoritatea Națională de Supraveghere a aplicat operatorului Banca Comercială Română S.A. și măsura corectivă de a asigura conformitatea cu RGPD a operațiunilor de colectare și prelucrare ulterioară a datelor personale, prin implementarea unor metode eficiente de respectare a caracterului exact și actual al datelor, de la momentul colectării datelor și introducerii lor în baza de date a operatorului și pe întreaga perioadă de prelucrare; în acest sens, se va avea în vedere punerea în practică a unor măsuri adecvate și eficiente de securitate, atât din punct de vedere tehnic sub aspectul ștergerii datelor inexacte/care nu mai sunt de actualitate, cât și din punct de vedere organizatoric, prin instruirea regulată a persoanelor ce prelucrează date sub autoritatea operatorului.

În această privință, considerentul (39) RGPD statuează că ”Orice prelucrare de date cu caracter personal ar trebui să fie legală şi echitabilă. (...) Ar trebui să fie luate toate măsurile rezonabile pentru a se asigura că datele cu caracter personal care sunt inexacte sunt rectificate sau şterse. (...)”

În ceea ce privește legalitatea prelucrării, considerentul (40) RGPD prevede că ”Pentru ca prelucrarea datelor cu caracter personal să fie legală, aceasta ar trebui efectuată pe baza consimţământului persoanei vizate sau în temeiul unui alt motiv legitim, prevăzut de lege, fie în prezentul regulament, fie în alt act din dreptul Uniunii sau din dreptul intern, după cum se prevede în prezentul regulament, inclusiv necesitatea respectării obligaţiilor legale la care este supus operatorul sau necesitatea de a executa un contract la care persoana vizată este parte sau pentru a parcurge etapele premergătoare încheierii unui contract, la solicitarea persoanei vizate.”

Direcția juridică și comunicare

A.N.S.P.D.C.P.