Autoritatea Națională de Supraveghere a penalizat două marii companii pentru încălcarea Regulamentulului General privind Protecţia Datelor. Giganții au fost amendați cu zeci de mii de euro pentru infracțiunile comise. Ce făceau cu datele românilor aflați în următoarele rânduri.
Companiile ING Bank şi TAROM au fost amendate cu 20.000 de euro, respectiv 80.000 de euro, pentru încălcarea Regulamentulului General privind Protecția Datelor.
Astfel, compania SC CNTAR TAROM SA a fost amendată cu 20.000 euro pentru că „nu a implementat măsuri tehnice și organizatorice adecvate pentru a se asigura că orice persoană fizică care acționează sub autoritatea acestuia și care are acces la date cu caracter personal, nu le prelucrează decât la cererea sa. Corelat cu acest aspect, operatorul nu a luat nici măsuri adecvate pentru a asigura un nivel de securitate corespunzător riscului generat de divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod”, potrivit unui comunicat al Autorităţii Naţionale de Supraveghere.
TAROM a fost amendată pentru că un angajat al companiei a accesat neautorizat aplicația de rezervări și a fotografiat o listă ce conținea date cu caracter personal a 22 pasageri/clienți TAROM și le-a divulgat neautorizat în mediul on-line. Anual până la 3 milioane de pasageri aleg să zboare cu Tarom.
În ceea ce privește ING Bank N.V. Amsterdam – Sucursala București, compania a încălcat regulamentul privind protecția datelor. Mai exact, în momentul conceperii și cel al protecției implicite a datelor, nu a adoptat măsurile tehnice și organizatorice corespunzătoare, privind integrarea de garanții adecvate în sistemul automatizat de prelucrare a datelor în cadrul procesului de decontare al tranzacțiilor cu cardul. Drept urmare, au fost afectați 225.525 de clienți ale căror operațiuni de plată au fost dublate în perioada 8-10.10.2018. ING Bank are peste 1,2 milioane de clienți.
„Având în vedere stadiul actual al tehnologiei, costurile implementării, și natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscurile cu grade diferite de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice pe care le prezintă prelucrarea, operatorul, atât în momentul stabilirii mijloacelor de prelucrare, cât și în cel al prelucrării în sine, pune în aplicare măsuri tehnice și organizatorice adecvate, cum ar fi pseudonimizarea, care sunt destinate să pună în aplicare în mod eficient principiile de protecție a datelor, precum reducerea la minimum a datelor, și să integreze garanțiile necesare în cadrul prelucrării, pentru a îndeplini cerințele prezentului regulament și a proteja drepturile persoanelor vizate”, se arată în comunicatul Autorităţii.
UPDATE
Reacția celor de la ING.
„Confirmam luarea la cunostinta a demersului de sanctionare a ING Bank Romania de catre Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal in contextul incidentului operational din luna octombrie 2018, cand o parte din tranzactiile cu cardurile emise ING au fost dublate.
Urmare a acestui incident, clientii afectati au fost informati imediat, tranzactiile dublate au fost stornate in cursul aceleiasi zile, fiind totodata revizuite și actualizate unele reguli operaționale interne, în sensul întăririi acestora. Incidentul operațional nu a condus la o afectare a datelor cu caracter personal”, anunță reprezentanții băncii.