ANSPDCP anunță că printr-o hotărâre pronunțată ieri, 13 aprilie 2022, Curtea de Apel Cluj a confirmat amenda în cuantum de 100.000 de euro aplicată de Autoritatea de Supraveghere Băncii Transilvania, fiind astfel respinsă calea de atac formulată de BT împotriva sentinței Tribunalului Cluj.
Amenda fusese aplicată urmare a desfășurării unei investigații demarată după primirea unor sesizări cu privire la încălcarea confidențialității și securității datelor personale.
S-a constatat de către Autoritatea de Supraveghere că a avut loc dezvăluirea în spațiul public (on-line) a declarației solicitată de operator unui client al său cu privire la modul în care intenționa să utilizeze o anumită sumă de bani pe care acesta dorea să o ridice din contul său. Această declarație a fost distribuită între câțiva angajați ai Băncii Transilvania pe adresele de e-mail de serviciu. Unul dintre angajați a listat e-mailul ce conținea declarația clientului, precum și e-mailul ce conținea conversația internă între angajații operatorului. Un alt angajat a fotografiat cu telefonul mobil înscrisul listat și l-a distribuit prin intermediul aplicației WhatsApp. Ulterior, înscrisul listat a fost postat și distribuit pe rețeaua de socializare Facebook și pe un site.
În sentința pronunțată de Tribunalul Cluj se menționează, printre altele:
„Dezinvoltura cu care angajații reclamantei au acționat, transmițând de la unul la altul datele cu caracter personal ale clientului băncii și ulterior, unor terțe persoane, prin intermediul aplicației WhatsApp, atestă nu doar necunoașterea procedurilor de lucru privind prelucrarea datelor cu caracter personal cât mai ales (și mai grav) inabilitatea acestora de a identifica și califica datele la care au acces ca fiind date cu caracter personal, ceea ce denotă o lipsă acută de instruire efectivă.
Așadar, deși reclamanta a depus la dosar, în copie, extrase din diverse proceduri interne aceasta nu a dovedit, pe de o parte, instruirea efectivă a celor trei angajați care au produs incidentul de securitate, iar pe de altă parte, că a aplicat mecanismele de control și evaluare elaborate pentru a se asigura că angajații săi și-au însușit menționatele reglementări interne.
Așa fiind, înscrisurile prezentate de reclamantă, în dovedirea implementării măsurilor tehnice organizatorice adecvate, nu sunt de natură să probeze asigurarea unui nivel de securitate corespunzător privind capacitatea de a asigura confidențialitatea și testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.”
(ANSPDCP – Comunicat de presă din 14 aprilie 2022)
foto:bill-oxford/unsplash.com
