Secţiuni » Arii de practică » Business » Cyberlaw
Cyberlaw
CărţiProfesionişti

ANSPDCP. Operator sancționat cu 100.000 EURO pentru dezvăluirea în spațiul public a declarației ref. modul în care clientul intenționa să utilizeze o anumită sumă de bani. UPDATE: Curtea de Apel Cluj confirmă sancțiunea
14.04.2022 | JURIDICE.ro

Secţiuni: C. contravențional, Cyberlaw, Data protection, Selected
JURIDICE - In Law We Trust

Miercuri, 13 aprilie 2022, Curtea de Apel Cluj a confirmat amenda în cuantum de 100.000 de euro aplicată de Autoritatea de Supraveghere Băncii Transilvania, potrivit unui comunicat.

De asemenea, aceeași soluție favorabilă Autorității de Supraveghere a fost pronunțată și la fond, prin Sentința civilă nr. 1309 din 6 mai 2021 a Tribunalului Cluj, menținută în întregime de instanța de apel, constatându-se faptul că ”cererea de chemare în judecată formulată de reclamata Banca Transilvania SA în contradictoriu cu pârâta Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, se vădește neîntemeiată și va fi respinsă, procesul-verbal de contravenție nr. 23409 încheiat de pârâtă la data de 26.11.2020 urmând a fi menținut ca deplin legal și temeinic.”

Pentru a hotărî astfel, «Tribunalul subliniază că Regulamentul a introdus un nivel mult mai ridicat de responsabilizare a operatorului de date în comparație cu Directiva 95/46/CE privind protecția datelor, iar articolele 25 și 32 din Regulament prevăd că operatorii „au în vedere stadiul actual al tehnologiei, costurile implementării și natura, domeniul de aplicare, contextul, scopurile prelucrării, precum și riscurile cu grade diferite de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice pe care le prezintă prelucrarea”».

De asemenea, instanța a reținut în mod corect următoarele aspecte:

”În cauză, pentru a dovedi conduita sa diligentă în ce privește instruirea personalului în domeniul protecției datelor cu caracter personal reclamanta a depus o serie de reglementări interne precum și dovada organizării unor cursuri având această tematică, însă apare important de subliniat ca nu s-a dovedit participarea efectivă a personalului la aceste cursuri și nici aplicarea efectivă a vreunei modalități de verificare a însușirii acestor cunoștințe și informații.

De altfel, aspectele invocate de reclamantă în sensul în care ar fi luat măsuri adecvate, în scopul implementării prevederilor din Regulament, sunt contrazise chiar de faptele constatate prin procesul verbal de contravenție și necontestate, care atestă divulgarea intenționată, în mod neautorizat, de către persoanele aflate sub autoritatea Băncii, a unui [set] însemnat de date cu caracter personal (unele din categoria datelor extrem de sensibile) către un număr foarte mare de persoane.

Dezinvoltura cu care angajații reclamantei au acționat, transmițând de la unul la altul datele cu caracter personal ale clientului băncii și ulterior, unor terțe persoane, prin intermediul aplicației Whatsapp, atestă nu doar necunoașterea procedurilor de lucru privind prelucrarea datelor cu caracter personal cât mai ales (și mai grav) inabilitatea acestora de a identifica și califica datele la care au acces ca find date cu caracter personal, ceea ce denotă o lipsă acută de instruire efectivă.

Așadar, deși reclamanta a depus la dosar, în copie, extrase din diverse proceduri interne aceasta nu a dovedit, pe de o parte, instruirea efectivă a celor trei angajați care au produs incidentul de securitate, iar pe de altă parte, că a aplicat mecanismele de control și evaluare elaborate pentru a se asigura că angajații săi și-au însușit menționatele reglementări interne.

Așa fiind, înscrisurile prezentate de reclamantă, în dovedirea implementării măsurilor tehnice organizatorice adecvate, nu sunt de natură să probeze asigurarea unui nivel de securitate corespunzător privind capacitatea de a asigura confidențialitatea și testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.”

În ce privește consecințele încălcării, Tribunalul Cluj a reținut că acestea au fost corect calificate de către pârâtă ca find grave prin raportare la cantitatea datelor cu caracter personal diseminate de angajații Băncii, natura sensibilă a acestora, modalitatea de diseminare (prin internet, mailul cuprinzând datele clientului Băncii circulând intens în spațiul public, informații sintetice find preluate inclusiv de bloguri, canale TV și site-uri de știri), numărul extrem de mare al persoanelor care au dobândit acces la datele clientului Băncii pentru o perioadă de timp imposibil de determinat, urmare a transmiterii informațiilor prin mijloacele cele mai diverse, toate aceste aspecte fiind în măsură să confere o imagine corectă cu privire la amploarea și gravitatea consecințelor incidentului de securitate.

Reclamanta a recunoscut, de altfel, raportat la modalitatea de transmitere a datelor cu caracter personal, că măsurile întreprinse pentru limitarea consecințelor breșei de securitate nu au fost „fezabile”, amploarea diseminării acestora în spațiul public fiind în mod evident scăpată de sub control.

Pârâta a valorificat corespunzător și criteriile prevăzute la art. 83 alin (2) lit.c)-k), dovada examinării temeinice a acestor criterii find tocmai stabilirea unei amenzi într-un cuantum mult inferior maximului admis pentru fapta săvârșită de reclamantă. De altfel, procesul-verbal cuprinde în detaliu analiza efectuată de pârâtă cu privire la fiecare dintre criteriile stabilite prin art. 83 alin. (2) pentru individualizarea sancțiunii.”

În final, instanța de fond a concluzionat în mod corect faptul că:

«Pentru toate considerentele de fapt și de drept mai sus expuse tribunalul va concluziona în sensul că amenda în cuantum de 100.000 euro este legală, „eficace, proporțională și disuasivă” și a fost stabilită cu luarea în considerare a naturii, gravității și consecințelor încălcării, precum și tuturor celorlalte criterii prevazute de Regulament, criterii care au fost analizate de pârâtă în mod coerent și obiectiv.»

***

Joi, 6 mai 2021, Tribunalul Cluj a „respins contestaţia formulată de reclamanta B.T. SA în contradictoriu cu pârâta Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal. Menţine procesul-verbal de constatare /sancţionare nr. 23409 încheiat de pârâtă la data de 26.11.2020. Cu drept de apel în termen de 30 de zile de la comunicare.”

:: Hotărârea

***

Joi, 17 decembrie 2020, Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal a informat că a finalizat o investigație în data de 26 noiembrie 2020 la operatorul Banca Transilvania SA și a constatat încălcarea dispozițiilor art. 32 alin. (1) și (2) coroborate cu art. 5 lit. f), potrivit unui comunicat.

Operatorul a fost sancționat contravențional cu amendă în cuantum de 487.380 lei (echivalentul a 100.000 EURO).

Investigația a fost demarată în urma primirii unor sesizări cu privire la încălcarea confidențialității și securității datelor personale.

S-a constatat că a avut loc dezvăluirea în spațiul public (on-line) a declarației solicitată de operator unui client al său cu privire la modul în care intenționa să utilizeze o anumită sumă de bani pe care acesta dorea să o ridice din contul său. Această declarație a fost distribuită între câțiva angajați ai Băncii Transilvania pe adresele de e-mail de serviciu. Unul dintre angajați a listat e-mailul ce conținea declarația clientului, precum și e-mailul ce conținea conversația internă între angajații operatorului. Un alt angajat a fotografiat cu telefonul mobil înscrisul listat și l-a distribuit prin intermediul aplicației WhatsApp. Ulterior, înscrisul listat a fost postat și distribuit pe rețeaua de socializare Facebook și pe un site.

Această situație a condus la dezvăluirea și accesul neautorizat la anumite date cu caracter personal (nume și prenume, adrese de e-mail, date comportamentale, preferințe personale, valoare tranzacție financiară, adresa locului de muncă, funcție și locul muncii, număr de telefon de serviciu) a 4 persoane fizice vizate (un client și 3 angajați proprii), deși potrivit art. 5 lit. f) din Regulamentul General privind Protecția Datelor, operatorul avea obligația de a respecta principiul integrității și confidențialității datelor personale.

În cadrul investigației efectuate la Banca Transilvania SA, Autoritatea de supraveghere a constatat că operatorul nu a luat măsuri suficiente pentru a asigura faptul că orice persoană fizică care acţionează sub autoritatea operatorului (salariații operatorului) şi care are acces la date cu caracter personal nu le prelucrează decât la cererea operatorului.

Dezvăluirea produsă în spațiul public dovedește și ineficiența instruirii interne a angajaților operatorului privind respectarea normelor de protecția datelor cu caracter personal ale persoanelor vizate, deși instruirea angajaților este parte intrinsecă a măsurilor tehnice și organizatorice pe care operatorul era obligat să le adopte în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării, încălcându-se astfel prevederile art. 32 din Regulamentul General privind Protecția Datelor.

În acest context, s-a avut în vedere și că dezvăluirea datelor cu caracter personal în spațiul public (pe internet) a generat o serie de prejudicii de natură morală, precum și alte dezavantaje semnificative de natură economică sau socială pentru persoana fizică afectată de producerea incidentului de securitate (client al Băncii Transilvania).

Cuvinte cheie: , , , ,
Vă invităm să publicaţi şi dvs., chiar şi opinii cu care nu suntem de acord. JURIDICE.ro este o platformă de exprimare. Publicarea nu semnifică asumarea de către noi a mesajului. Totuşi, vă rugăm să vă familiarizaţi cu obiectivele şi valorile Societătii de Stiinţe Juridice, despre care puteti ciţi aici. Pentru a publica vă rugăm să citiţi Condiţiile de publicare, Politica privind protecţia datelor cu caracter personal şi să ne scrieţi la adresa de e-mail redactie@juridice.ro!

JURIDICE.ro foloseşte şi recomandă My Justice

JURIDICE CORPORATE
JURIDICE MEMBERSHIP
Juristi
JURIDICE pentru studenti









Subscribe
Notify of

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

0 Comments
Inline Feedbacks
View all comments
Important: Descurajăm publicarea de comentarii defăimatoare. Vor fi validate doar comentariile care respectă Politica JURIDICE.ro şi Condiţiile de publicare.


Secţiuni        Selected     Noutăţi     Interviuri        Arii de practică        Articole     Jurisprudenţă     Legislaţie        Cariere     Evenimente     Profesionişti