Sancțiunea a fost aplicată după ce doi angajați ai Raiffeisen au efectuat interogări în sistemul Biroului de Credite pentru obținerea datelor necesare pentru stabilirea eligibilității la creditare a acestor persoane, cu ajutorul unor simulări de prescoring. Mai mult, angajații s-au folosit de date din documentele de identitate, efectuând 1194 simulări, cu privire la 1177 persoane fizice. Totodată, pentru alte 124 de persoane fizice s-a efectuat și consultarea bazei de date a ANAF.
Simulările de prescoring au fost efectuate cu ajutorul aplicației informatice utilizate de Raiffeisen Bank în activitatea de creditare. Angajații Raiffeisen Bank au transmis decizia negativă de creditare către angajații Vreau Credit, încălcând numeroase norme de proceduri interne.
Sancțiunea a fost aplicată ca urmare a faptului că nu s-au luat măsurile corespunzătoare pentru a se asigura că persoanele fizice care acționează sub autoritatea băncii și care are acces la date cu caracter personal, nu le prelucrează decât la cererea sa.
Mai mult, Raiffeisen nu a implementat măsuri tehnice şi organizatorice adecvate pentru asigurarea unui nivel de securitate corespunzător și nici nu a evaluat riscurile pe care le prezintă prelucrarea.
Această situație a condus la accesul neautorizat la datele cu caracter personal prelucrate prin aplicația informatică utilizată de Raiffeisen Bank S.A. în activitatea de creditare și la divulgarea neautorizată a datelor cu caracter personal de către angajați ai băncii.
De cealaltă parte, Vreau Credit S.R.L. a fost sancționat pentru încălcarea securității datelor, dar și pentru faptul că până la finalizarea investigației a evitat să notifice autoritățile de supraveghere încălcarea securității datelor cu caracter personal, deși constatase incidentul de securitate încă din luna decembrie 2018. Acest lucru a condus la încălcarea confidențialității datelor cu caracter personal ale clienților proprii, precum și la prelucrarea ilegală a datelor cu caracter personal ale acestora.
În ceea ce privește Raiffeisen Bank S.A., Autoritatea Naţională de Supraveghere a demarat o investigație, ca urmare a transmiterii de către bancă a unei notificări privind încălcarea securității datelor cu caracter personal prin completarea formularului privind încălcarea securității conform Regulamentului (UE) 2016/679.
Discussion about this post