Raiffeisen Bank a fost sancționată cu 20.000 de euro de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, după ce mai mulți clienți au reclamat retrageri neautorizate de fonduri și deschiderea de credite și conturi fără consimțământul lor.
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a amendat Raiffeisen Bank cu suma de 20.000 de euro pentru multiple încălcări ale Regulamentului General privind Protecția Datelor (GDPR). Investigația, finalizată în octombrie 2024, a relevat că angajați ai băncii au accesat și prelucrat ilegal datele personale ale clienților, iar aceștia s-au confruntat cu retrageri neautorizate de bani, deschiderea unor credite și conturi fără consimțământul lor.
Raiffeisen Bank a fost sancționată pentru accesul neautorizat la datele clienților
Raiffeisen Bank a fost amendată pentru trei situații distincte, în care au fost încălcate prevederile GDPR. Un prim caz a fost semnalat de un client care a descoperit că, în numele său, a fost contractat un credit, deși acesta renunțase la cererea inițială.
În urma investigației, s-a descoperit că un angajat al băncii a utilizat documentele clientului pentru a efectua tranzacții ilegale.
Angajatul a efectuat retrageri de numerar și transferuri bancare în numele mai multor persoane, afectând astfel o serie de date personale, precum numele, CNP-ul, adresa și informațiile despre conturi și credite.
Autoritățile au constatat că banca nu a implementat măsurile necesare pentru a proteja datele personale ale clienților.
Divulgarea ilegală a informațiilor confidențiale despre tranzacții
Într-un alt caz, doi angajați ai băncii au fost responsabili pentru divulgarea informațiilor confidențiale ale unui client.
Aceștia au trimis date despre tranzacțiile clientului unui fost angajat, folosind platformele de socializare precum Facebook, Messenger și WhatsApp.
Informațiile transmise includeau date sensibile precum numele, CNP-ul, adresa și suma tranzacțiilor.
S-a constatat că Raiffeisen Bank nu a luat măsuri suficiente pentru a preveni accesul și divulgarea neautorizată a datelor de către angajați.
Produse financiare nesolicitate și retrageri ilegale din conturi
Al treilea caz investigat de ANSPDCP s-a referit la o plângere a unui client care a descoperit existența unor produse financiare nesolicitate, precum și retrageri de bani din contul său.
În cadrul verificărilor interne, s-a constatat că un angajat al Raiffeisen Bank a efectuat multiple operațiuni ilegale, incluzând modificarea datelor de contact ale clienților, deschiderea de conturi curente și economii, solicitarea de credite și completarea documentației necesare.
Ancheta a arătat că acțiunile acestui angajat au avut loc între 2015 și 2023, timp în care datele personale ale mai multor clienți au fost accesate și utilizate fără consimțământul lor.
Măsuri corective impuse băncii
În urma acestor descoperiri, autoritățile au impus o amendă de 20.000 de euro pentru încălcarea reglementărilor GDPR.
De asemenea, Raiffeisen Bank a fost obligată să implementeze măsuri corective, inclusiv un plan procedural pentru testarea și evaluarea periodică a proceselor de prelucrare a datelor personale.
Banca va trebui, de asemenea, să asigure informarea periodică a angajaților despre riscurile prelucrării neautorizate a datelor și să obțină consimțământul explicit al clienților pentru orice modificare a datelor lor personale.