Investigația, finalizată în luna martie 2026, a vizat operatorul ING Bank NV Amsterdam – Sucursala București S.A., iar în urma verificărilor, autoritatea a constatat încălcarea mai multor prevederi ale Regulamentul (UE) 2016/679 privind securitatea datelor. Ca urmare, banca a fost sancționată contravențional cu o amendă în valoare de 20.388 lei (echivalentul a 4.000 de euro).

Controlul a fost declanșat după ce o persoană a depus o plângere, reclamând faptul că datele sale bancare au fost divulgate fără consimțământ. Mai exact, un angajat al unei unități ING Bank din Focșani a înmânat unei terțe persoane extrase de cont aparținând clientei, fără acordul acesteia.

În cadrul investigației, autoritatea a constatat că operatorul nu a implementat măsuri tehnice și organizatorice suficiente pentru a asigura confidențialitatea datelor personale. Această deficiență a permis generarea și eliberarea unui extras de cont către o persoană neautorizată.

Documentul conținea informații sensibile, inclusiv numele și prenumele titularei, adresa, codul IBAN și istoricul tranzacțiilor efectuate. Autoritatea a calificat situația drept o divulgare neautorizată de date cu caracter personal, încălcând astfel dispozițiile legale privind securitatea prelucrării datelor.

Pe lângă sancțiunea financiară, ANSPDCP a dispus și o măsură corectivă. Banca este obligată să își alinieze operațiunile la cerințele GDPR, prin implementarea unor măsuri tehnice și organizatorice adecvate. Acestea includ, printre altele, instruirea periodică a angajaților și colaboratorilor care prelucrează date personale, pentru a preveni astfel de incidente.