ING Bank a precizat, marți, pentru StartupCafe.ro, că a plătit amenda de 4.000 EUR aplicată în România pentru încălcarea regulamentului european de protecție a datelor personale (GDPR), în urma unui „incident punctual”.
Reamintim că Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a amendat ING după ce a constatat că, la Focșani, un angajat al băncii a divulgat către o persoană terță extrasul de cont al unei cliente, conținând informații despre tranzacții și alte date personale.
Acum, ING a transmis următoarele:
„Amenda a fost plătită în urma deciziei ANSPDCP, care a vizat un incident punctual, identificat în contextul unor circumstanțe specifice, conform celor trecute în comunicatul ANSPDCP.
Recurent, dar și în urma acestui incident, am reiterat colegilor din rețea care sunt obligațiile aplicabile conform reglementărilor GDPR și am subliniat că, dincolo de relațiile pe care le construiesc cu clienții și comunitatea locală, cunoscându-le familia și prietenii, secretul bancar și legislația rămân esențiale în gestionarea datelor cu caracter personal.
În plus, recent a fost implementat un flux operațional actualizat care limitează accesul colegilor din ING Office-uri la extrasele de cont ale clienților, astfel încât aceste incidente nu vor mai putea fi posibile”.
ANSPDCP a primit o plângere din partea unei cliente a băncii, privind „încălcarea legislației în materie de protecție a datelor”.
Clienta a reclamat că un angajat al ING Bank N.V. Focșani a înmânat unei persoane terțe extrase de cont care îi aparțineau, fără acordul reclamantei.
„În cadrul investigației, s-a constatat că operatorul nu a implementat măsuri tehnice și organizatorice adecvate și suficiente pentru a asigura confidențialitatea datelor personale ale petentei, fapt care a condus la generarea și eliberarea unui extras aferent contului curent în lei deținut de aceasta către un terț. Aceasta constituie o divulgare neautorizată a datelor petentei (nume, prenume, adresă, cont IBAN, tranzacții efectuate) către o terță persoană, fiind încălcate astfel prevederile art. 32 alin. (1) lit. b) și d), precum și ale alin. (2) și (4) din GDPR”, a transmis Autoritatea care aplică GDPR în România.
Pe lângă amenda de 4.000 de euro, ANSPDCP a dispus și o măsură corectivă, prin care a obligat ING „să asigure conformitatea operațiunilor de prelucrare a datelor cu caracter personal cu dispozițiile GDPR, prin implementarea unor măsuri tehnice și organizatorice adecvate, astfel încât să fie evitată divulgarea ilegală sau neautorizată a datelor către terțe persoane”.
Astfel, banca a fost pusă să își instruiască periodic angajații și colaboratorii care prelucrează date sub autoritatea sa, a decis ANSPDCP, în baza Regulamentului General de Protecție a Datelor Personale (GDPR).