Na stronie internetowej Krajowego Organu Nadzorczego Rumunii pojawiła się informacja
o nałożeniu kolejnej już kary. Tym razem przedmiotem postępowania było niezgodne z prawem przetwarzanie danych osobowych oraz niezastosowanie odpowiednich środków bezpieczeństwa.
Poniżej przedstawiono tłumaczenie informacji, która w języku angielskim jest dostępna tutaj.
W dniu 1 października 2019 r., Krajowy Organ Nadzorczy (Rumunii) zakończył dwa postępowania dotyczące spółek Raiffeisen Bank S.A. oraz Vreau Credit S.R.L. ustalając co następuje:
Raiffeisen Bank S.A. naruszył postanowienia art. 32 ustęp 4 w związku z art. 32 ust. 1 oraz 2 RODO, co doprowadziło do nałożenia administracyjnej kary pieniężnej w wysokości 150 000 Euro.
Vreau Credit S.R.L. naruszyło postanowienia art. 32 ust. 4 w związku z art. 32 ust. 1 oraz 2 RODO, jak również art. 33 ust. 1 RODO, co doprowadziło do nałożenia administracyjnej kary pieniężnej w wysokości 20 000 Euro.
W odniesieniu do Raiffeisen Bank S.A., Krajowy Organ Nadzorczy rozpoczął postępowanie na skutek zgłoszenia naruszenia ochrony danych do organu nadzorczego, poprzez złożenie formularza naruszenia ochrony danych, zgodnie z Rozporządzeniem 679/2016/UE.
Naruszenie bezpieczeństwa polegało na tym, że dwóch pracowników Raiffeisen Bank S.A., wykorzystując dane z dokumentów tożsamości pewnych osób fizycznych, przekazanych przez pracowników spółki Vreau Credit S.R.L za pomocą aplikacji mobilnej WhatsApp, wysłało zapytania do systemu Biura Kredytowego, w celu uzyskania danych, koniecznych do oceny dopuszczalności kwalifikacji tych osób do otrzymania kredytu, za pomocą uprzedniej symulacji (tzw. prescoring).
W tym kontekście przeprowadzono 1194 symulacje w odniesieniu do 1177 osób.
W przypadku 124 osób sprawdzono również bazę danych Krajowej Agencji ds. Administracji Fiskalnej (NAFA).
Ww. uprzednie symulacje zostały przeprowadzone za pomocą aplikacji komputerowej, wykorzystywanej przez Raiffeisen Bank S.A. w działalności związanej z kredytowaniem. Negatywne decyzje kredytowe zostały przekazane przez pracowników Raiffeisen Bank S.A. pracownikom Vreau Credit S.R.L., z naruszeniem wewnętrznych procedur.
Na administratora została nałożona kara, ponieważ nie wdrożył on odpowiednich środków
w celu zapewnienia, że każda osoba działająca z upoważnienia administratora i mająca dostęp do danych osobowych przetwarza je wyłącznie na polecenie administratora, chyba że obowiązek taki spoczywa na niej na mocy prawa Unii lub prawa krajowego.
Administrator nie wdrożył również odpowiednich środków technicznych oraz organizacyjnych w celu zapewnienia odpowiedniego poziomu ochrony oraz nie ocenił ryzyka stanowionego przez przetwarzanie.
Sytuacja ta doprowadziła do nieuprawnionego dostępu do danych osobowych, przetwarzanych przez aplikację komputerową, wykorzystywaną przez Raiffeisen Bank S.A w ramach działań związanych z kredytowanie oraz do nieuprawnionego udostępnienia danych osobowych przez pracowników banku.
W odniesieniu do administratora Vreau Credit S.R.L, to został on również ukarany za naruszenie bezpieczeństwa danych, ale również za fakt, że aż do końca postępowania nie zgłosił on organowi nadzorczemu naruszenia ochrony danych osobowych, bez zbędnej zwłoki, mimo że był on świadomy naruszenia bezpieczeństwa od grudnia 2018 r., co doprowadziło do naruszenia poufności danych osobowych jego klientów (osób, które dane dotyczą) oraz do nieuprawnionego/ nielegalnego przetwarzania ich danych osobowych.
Zapraszamy na szkolenie: Postępowanie z incydentami i zgłaszanie naruszeń ochrony danych osobowych
