Raiffeisen a încasat trei amenzi în valoare de 28.000 de euro pentru încălcări de securitatea datelor personale: „Pentru România este o amendă destul de serioasă”

Amenzi în valoare totală de 28.000 de euro pentru Raiffeisen Bank  și două avertismente după ce date cu caracter personal ale unor clienți s-au strecurat în formularele bancii, unele mailuri au fost încurcate între doi clienți cu solicitări similare, sau verificările adresate la Biroul de Credit nu erau semnate de clienții respectivi.

Autoritatea Națională de Supraveghere anunță că a finalizat în cursul lunii septembrie 2022 o investigație la operatorul Raiffeisen Bank SA și a constatat multiple încălcări ale dispozițiilor Regulamentului General privind Protecția Datelor.  Impact.ro a stat de vorbă cu Tudor Galoș, consultant în protecția Datelor Personale pentru a vedea cât de grave sunt aceste încălcări și dacă în România amenzile sunt pe măsură.

„Autoritatea din Spania a dat amenzi de milioane, sute de mii de euro unor bănci”

O primă problemă care se ridică este cuantumul amenzilor care a fost aplicat în acest caz. Tudor Galoș spune că pentru țara noastră amenda este destul de mare deși la nivel european, statele au avut sancțiuni mult mai drastice în privința băncilor, care au ajuns chiar și la milioane de euro. La nivel european există un set de recomandări în privința calculului acestor amenzi, dar acestea nu sunt norme impuse ci doar un ghid, iar statele pot decide care dintre recomandări sunt aplicate.

„E greu de spus amenda corectă, pentru că până acum nu a existat un ghid de amenzi și asta este o problemă la nivel european, GDPR funcționează în felul următor, legea este la fel în fiecare țară, însă fiecare țară are autonomie în modul în care autoritățile aplică amenzile. Amenda nu este definitivă, este doar în instanță, dacă tu o contești. Fiecare autoritate stabilește propriile sale amenzi, după criteriile sale proprii.

De curând European Data Protection Board, de la Bruxelles, a stabilit niște recomandări pentru modul în care să se calculeze amenda și există acolo un întreg algoritm pentru modul în care este aplicat dar care poate fi înțeles de către fiecare autoritate. Însă chiar și ei spun că autoritatea națională are autonomie totală.

Am văzut în ultima vreme amenzi, să spunem, mici, față de amenzile date în alte țări. Autoritatea din Spania a dat amenzi de milioane, sute de mii de euro unor bănci.

Dacă este să ne raportăm la amenzile date altor companii în ultima vreme, este o amendă măricică. Ea pare mică în comparație cu alte țări dar pentru România este o amendă destul de serioasă.”, spune consultantul.

Ce au riscat clienții ale căror date au fost expuse?

Pentru a contracta un credit sau a accesa contul cuiva nu mai este suficientă o copie după buletin sau câteva informații despre datele personale ale persoanei respective. Însă aceste informații pot fi folosite pentru a crea alte tipuri de conturi în numele cuiva sau a trimite anunțuri false în numele persoanei ale cărei date au fost expuse din cauza unei astfel de erori la o bancă.

Impact.ro

BOALA de care sufera Charles! Ce s-a văzut pe mâinile lui în România. IMAGINI SOC

Impact.ro

Regele Charles, EVERVAT în România. A EXPLODAT: `Prea multe...`

„Legat de gravitatea faptelor și aici folosesc termenul de accountability, un termen care definește responsabilitate și tragerea la răspundere. Tu trebuie să înțelegi că acolo nu sunt numai niște cifre și numere, sunt vieți ale oamenilor.

În momentul în care tu ai o scurgere de date, care poate să fie din cauza unei aplicații, din cauza unui mail trimis aiurea, tu trebuie să realizezi că o afectezi într-un mod negativ. Toate aceste lucruri pot fi prevenite dacă organizațiile iau în serios acest lucru. Încă se fac după ureche, configurarea unor sisteme informatice, aplicații, mmodul în care tu înțelegi să prelucrezi datele personale, cât de mult îți pasă de partea de conformitate, și într-un final cât respect arăți oamenilor.”, spune Tudor Galoș.

Neregulile descoperite la bănci

Practic banca a încurcat mailurile clienților, a conceput formulare drept exemplu care conțineau prea multe informații despre persoana care servea drept model sau a cerut Biroului de Credit date despre o persoană fără ca aceasta să își fi dat acordul.

În cursul investigației s-au constatat, în principal, următoarele:

• S-au efectuat interogări de către Raiffeisen Bank SA în sistemul de evidență administrat de Biroul de Credit S.A., respectiv în cel administrat de Agenția Națională de Administrare Fiscală (ANAF) și, de asemenea, s-au utilizat sistemele informatice ale operatorului Raiffeisen Bank S.A. pentru a simula decizii de creditare („prescoring”) pentru un broker extern de credite.
• În două situaţii, s-a procedat la efectuarea de operațiuni de prescoring pentru clienți sau potențiali clienți, însă interogarea în Sistemul Biroului de Credit s-a realizat fără ca documentația aferentă interogării să fie semnată de solicitanții respectivi. S-a constatat că incidentele notificate Autorității naţionale de supraveghere au vizat un număr de cel puțin 169 persoane fizice.
• Operatorul Raiffeisen Bank SA a notificat Autorității un incident referitor la acordarea de credite unor clienți, persoane fizice, prin intermediul unei entități având calitatea de persoană împuternicită a operatorului. La baza notificării au stat informații potrivit cărora clienților li s-ar fi aprobat credite de nevoi personale fără ca aceștia să le fi solicitat și fără să fi semnat documentele aferente.

Prin urmare, s-a reținut faptul că Raiffeisen Bank S.A. nu a luat măsuri pentru a asigura că orice persoană fizică care acționează sub autoritatea operatorului și are acces la date cu caracter personal nu le prelucrează decât la cererea operatorului și nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării. Aceasta a condus la accesul neautorizat și/sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate prin aplicațiile informatice utilizate de Raiffeisen Bank S.A. în activitatea de creditare.

• Operatorul a notificat un incident cu privire la încălcarea securităţii datelor care a constat în faptul că, în derularea procesului de actualizare a datelor unei cliente, s-a introdus în sistem o adresă de e-mail greșită și s-a transmis altei persoane fizice un document cu multiple date personale aparținând clientului băncii.
• Un alt incident a constat în faptul că operatorul Raiffeisen Bank SA a transmis, prin e-mail, date confidențiale către o altă persoană decât persoana vizată.
• O altă notificare a unui incident produs la nivelul operatorului a vizat faptul că s-a transmis pe o adresă de e-mail eronată a unei alte persoane fizice, un document intitulat ”Formular pentru definire date personale” și care conținea numeroase date personale ale unui client al băncii.
• Un incident similar s-a produs ca urmare a faptului că doi clienți ai operatorului au depus sesizări asemănătoare, iar în momentul pregătirii e-mailului de răspuns la sesizarea primului client, operatorului a anexat în emailul transmis acestuia documente cu date personale aparținând celuilalt client. Cauza transmiterii greșite a documentelor a fost reprezentantă de asemănarea dintre tipologia sesizărilor și momentul succesiv de trimitere a răspunsului.
• Un alt incident cu privire la încălcări a securității datelor, notificat de operator, a privit o situație ce implică și suspiciuni de frauda internă în creditare și a constat în:

a) efectuarea de operațiuni specifice pentru acordarea unui credit pentru un client persoană fizică, fără prezența solicitantului la sediul agenției.

b) solicitarea de facilități de credit de tip Card de Credit, completarea și semnarea documentației aferente facilității de tip card de credit, solicitarea de facilități de credit de tip credit de nevoi personale, completarea și semnarea documentației aferente facilității de tip credit de nevoi personale, actualizarea datelor persoanelor vizate în aplicația Băncii prin modificarea numărului de telefon al persoanelor vizate cu numărul de telefon al angajatului băncii și prin introducerea unei adrese de email fictive.

• Un incident similar, notificat de operator și investigat de Autoritatea națională de supraveghere, a constat în prelucrarea de date de către operator în legătură cu acordarea a trei facilități de credit (Flexicredit, refinanțare Flexicredit respectiv Card de Cumpărături), în numele unei persoanei fizice, client al băncii, dar fără ca acesta să fi solicitat, în realitate acele credite.
• O altă încălcare a securității datelor cu caracter personal, notificată de operatorul din domeniul bancar, a constat în divulgarea neautorizată a datelor cu caracter personal ale unor clienți din contul Smart Mobile (serviciul de mobile banking pus la dispoziție de către Raiffeisen Bank) al acestora către alți clienți ai operatorului.

În contextul celor de mai sus, în cadrul investigației s-a constatat că operatorul Raiffeisen Bank S.A. nu a luat măsuri pentru a asigura că orice persoană fizică care acționează sub autoritatea sa și are acces la date cu caracter personal nu le prelucrează decât la cererea operatorului. Aceasta a condus la accesul neautorizat la datele cu caracter personal ale clienților Raiffeisen Bank S.A., (de exemplu, nume, prenume, adresa de domiciliu, cetățenie, naționalitate, imaginea persoanei, codul numeric personal, numărul și seria cărții de identitate, email, nr. telefon, date din Sistemul Biroului de Credit, date din sistemul de evidență administrat de ANAF, date din contul Smart Mobile) și la divulgarea neautorizată a acestor date, de către operator.

Subliniem că, potrivit art. 5 alin. (1) lit. f) din RGPD, Raiffeisen Bank S.A. avea obligația de a prelucra datele cu caracter personal într-un mod care asigură securitatea adecvată a acestora, inclusiv protecţia împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare („integritate și confidențialitate”).

Operatorul a fost sancționat contravențional cu două avertismente și cu trei amenzi în cuantum total de 138.572 lei (echivalentul sumei de 28.000 EURO), astfel:

1. Amendă în cuantum de 98.980,00 RON, echivalentul a 20000 EURO pentru încălcarea art. 32 alin. (4) coroborat cu art. 32 alin. (1) și alin. (2) din RGPD;

2. Avertisment pentru încălcarea prevederilor art. 32 alin. (1) și art. 32 alin. (2) din RGPD;

3. Amendă în cuantum de 14.847,00 RON, echivalentul a 3000 EURO, pentru încălcarea art. 32 alin. (4) coroborat cu art. 32 alin. (1) și alin. (2) din RGPD;

4. Amendă în cuantum de 24.745,00 RON, echivalentul a 5000 EURO, pentru încălcarea art. 25 alin. (1) din RGPD;

5. Avertisment pentru încălcarea prevederilor art. 32 alin. (4) coroborat cu art. 32 alin. (1) și alin. (2) din RGPD.

Investigația a fost demarată ca urmare a transmiterii de către operatorul Raiffeisen Bank SA a unui număr de 17 notificări cu privire la producerea unor încălcări a securității datelor cu caracter personal, raportat la dispozițiile Regulamentului General privind Protecția Datelor.