Na stronie internetowej Krajowego Organu Nadzorczego Rumunii pojawiła się w lipcu informacja o nałożeniu kary na bank, która to kara stanowi pierwszą po wejściu w życie RODO.
Treść informacji w języku angielskim, której tłumaczenie przedstawiono poniżej, jest dostępna tutaj: https://www.dataprotection.ro/index.jsp?page=Comunicat_Amenda_Unicredit&lang=en.
27 czerwca 2019 r. Krajowy Organ Nadzorczy zakończył postępowanie wobec Unicredit Bank S.A. oraz ustalił, że naruszyła ona postanowienia art. 25 (1) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Na administratora została nałożona kara w wysokości 613,912 lei, co stanowi równowartość 130 000 euro.
Kara została nałożona na Unicredit Bank S. A., w związku z niezapewnieniem odpowiednich środków technicznych i organizacyjnych, zarówno w odniesieniu do określenia sposobu przetwarzania danych jak i samych operacji przetwarzania, zaprojektowanych w celu skutecznego wdrożenia zasad ochrony danych, takich jak minimalizacja danych oraz braku zintegrowania koniecznych środków bezpieczeństwa z operacjami przetwarzania, tak aby spełnić wymogi RODO oraz chronić prawa osób, których dane dotyczą. Doprowadziło to do udostępnienia danych dotyczących osobistego numeru identyfikującego i adresu płatnika (w odniesieniu do sytuacji gdy płatnik dokonuje transakcji z konta, otworzonego w innej instytucji kredytowej – transakcje zewnętrzne oraz depozyty pieniężne) , a także danych dotyczących adresu płatnika (w odniesieniu do sytuacji gdy płatnik dokonywał transakcji z konta otwartego w Unicredit Bank S. A. – transakcje wewnętrzne) w dokumentach zawierających szczegóły płatności oraz udostępnionych przez Internet beneficjentom płatności, w odniesieniu do 337 042 osób, których dane dotyczą, w okresie od 25 maja 2018 r. do 10 grudnia 2018 r.
Kara została nałożona w następstwie powiadomienia przesłanego w dniu 22 listopada 2018 r., do Krajowego Organu Nadzorczego, w którym wskazano, że dane dotyczące osobistego numeru identyfikacyjnego oraz adresu osób dokonujących płatności na konta Unicredit Bank S.A. za pomocą transakcji internetowych zostały udostępnione beneficjentom transakcji za pomocą wyciągów z konta.
Zgodnie z art. 5 (1) litera c) RODO („Zasady dotyczące przetwarzania danych osobowych”), administrator ma obowiązek przetwarzać dane ograniczone do tego, co niezbędne do celów, w których są przetwarzane.
Jednocześnie, motyw 78 Rozporządzenia stanowi: „Ochrona praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych wymaga wdrożenia odpowiednich środków technicznych i organizacyjnych, by zapewnić spełnienie wymogów niniejszego rozporządzenia. Aby móc wykazać przestrzeganie niniejszego rozporządzenia, administrator powinien przyjąć wewnętrzne polityki i wdrożyć środki, które są zgodne w szczególności z zasadą uwzględniania ochrony danych w fazie projektowania oraz z zasadą domyślnej ochrony danych. Takie środki mogą polegać m.in. na minimalizacji przetwarzania danych osobowych, jak najszybszej pseudonimizacji danych osobowych, przejrzystości co do funkcji i przetwarzania danych osobowych, umożliwieniu osobie, której dane dotyczą, monitorowania przetwarzania danych, umożliwieniu administratorowi tworzenia i doskonalenia zabezpieczeń. Jeżeli opracowywane, projektowane, wybierane i użytkowane są aplikacje, usługi i produkty, które opierają się na przetwarzaniu danych osobowych albo przetwarzają dane osobowe w celu realizacji swojego zadania, należy zachęcać wytwórców tych produktów, usług i aplikacji, by podczas opracowywania i projektowania takich produktów, usług i aplikacji wzięli pod uwagę prawo do ochrony danych osobowych i z należytym uwzględnieniem stanu wiedzy technicznej zapewnili administratorom i podmiotom przetwarzającym możliwość wywiązania się ze spoczywających na nich obowiązków ochrony danych. Zasadę uwzględniania ochrony danych w fazie projektowania i zasadę domyślnej ochrony danych należy też brać pod uwagę w przetargach publicznych.”
Departament ds. Prawnych oraz Komunikacji
Warto przeczytać: