În urma acestei anchete, ANSPDCP a aplicat o amendă de 74.652 lei, echivalentul a 15.000 de euro, pentru nerespectarea normelor privind protecția datelor cu caracter personal. Investigația a fost inițiată ca urmare a transmiterii către autoritate de către Unicredit Bank a două notificări de încălcare a securității datelor cu caracter personal, conform cerințelor RGPD. În cadrul analizei, autoritatea a constatat două incidente majore care au dus la divulgarea neautorizată a unor date personale ale clienților băncii.

Erori în aplicația internă și probleme de securitate în soluția de comunicare cu clienții

În primul caz, încălcarea securității prelucrării datelor a fost cauzată de funcționarea eronată a unei aplicații interne a băncii, utilizată pentru crearea numelui de utilizator. Problema a apărut din cauza faptului că aplicația nu a fost testată corespunzător într-un mediu de test, înainte de a fi utilizată în producție. Acest lucru a dus la divulgarea unor date personale ale clienților, inclusiv numele și prenumele acestora, informații despre conturile curente, tranzacțiile efectuate, soldul conturilor și al cardurilor bancare.

În al doilea caz, Unicredit Bank a implementat o soluție tehnologică destinată comunicării cu clienții, dar fără a efectua o testare adecvată a acesteia în prealabil, într-un mediu de test. Din această cauză, au fost divulgate date personale sensibile ale unui număr semnificativ de clienți, printre care se numărau numele titularilor de carduri, numerele de telefon, datele tranzacțiilor, suma acestora, moneda utilizată, adresele de email, dar și motivele de refuz al plăților.

Sancțiune și măsuri corective

În baza constatărilor, autoritatea a aplicat sancțiunea prevăzută de art. 83 din RGPD, pentru încălcarea articolului 25 alineatul (1) al acestuia. Se subliniază că Unicredit Bank nu a implementat măsuri tehnice și organizatorice adecvate pentru a proteja datele personale ale clienților, nici la momentul stabilirii mijloacelor de prelucrare a datelor, nici pe parcursul procesului de prelucrare propriu-zis. Potrivit RGPD, operatorii de date sunt obligați să aplice principiile de protecție a datelor și să integreze măsuri de siguranță în fiecare etapă a prelucrării.

În plus față de amenda aplicată, ANSPDCP a dispus ca Unicredit Bank să implementeze un plan detaliat de testare a tuturor aplicațiilor și componentelor care includ prelucrări de date personale. Aceste testări vor trebui să se desfășoare într-un mediu de testare care să imite scenariul real din mediul de producție, pentru a preveni incidente similare în viitor.