Investigația care a dus la sancțiune a fost declanșată în urma unei plângeri formulate de o persoană fizică. Petentul a reclamat faptul că datele sale personale au fost prelucrate fără consimțământul său de către o societate de asigurări. Aceasta fusese mandatată de Banca Transilvania pentru emiterea unei polițe de asigurare împotriva dezastrelor naturale, deși contractul de credit imobiliar al petentului cu banca fusese deja închis prin plată.
Banca Transilvania, luată în vizor de ANSPDCP
În timpul investigației, autoritatea a constatat că, în mod eronat, persoanei vizate i-a fost emisă o nouă poliță de asigurare, asociată contractului de credit deja încheiat. Emiterea acestei polițe s-a realizat fără acordul explicit al petentului și fără consimțământul privind utilizarea datelor sale personale de către societatea de asigurări implicată.
Mai mult, autoritatea de supraveghere a constatat că Banca Transilvania a solicitat aceleiași societăți de asigurări emiterea unui număr semnificativ de polițe de asigurare, utilizând datele personale ale mai multor persoane vizate, inclusiv ale petentului. Astfel, au fost prelucrate fără temei legal date personale esențiale, cum ar fi numele și prenumele, codul numeric personal, numărul de telefon, adresa de e-mail, adresa completă și informații despre locația asigurată.
Conform concluziilor ANSPDCP, aceste practici au încălcat principiile fundamentale ale RGPD privind legalitatea, echitatea și transparența în prelucrarea datelor personale, prevăzute la art. 5 alin. (1) lit. a), raportat la art. 6 alin. (1) din Regulamentul (UE) 2016/679.
Pe lângă amenda aplicată, autoritatea a dispus și o măsură corectivă
Pe lângă amenda aplicată, autoritatea a dispus și o măsură corectivă, în baza art. 58 alin. (2) lit. b) din RGPD. Banca Transilvania este obligată să aducă în conformitate cu prevederile regulamentului toate operațiunile de colectare și prelucrare a datelor personale, astfel încât acestea să nu mai fie utilizate cu încălcarea legalității și a principiilor reglementate de legislația europeană în domeniu.
Printre măsurile obligatorii pe care operatorul trebuie să le implementeze se numără stabilirea unor proceduri scrise clare și instruirea periodică a persoanelor care prelucrează date sub autoritatea băncii, alături de aplicarea unor măsuri tehnice și organizatorice corespunzătoare, menite să prevină repetarea unor astfel de situații.
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) reprezintă garantul respectării drepturilor fundamentale la viaţă privată și la protecţia datelor personale, statuate cu precădere de art. 7 și 8 din Carta Drepturilor Fundamentale a Uniunii Europene, de art. 16 din Tratatul privind Funcționarea Uniunii Europene și de art. 8 din Convenția europeană pentru apărarea drepturilor omului și libertăților fundamentale.
