UPDATE Reacţia ING Bank: Banca a „amestecat” între ele datele unor poliţe de asigurare ale clienţilor

Conform surselor citate, dintr-o eroare de soft la ING bank a avut loc un incident care ţine de protecţia datelor cu caracter personal. Mai exact, din greşeală, emailuri cu datele personale ale celor care au poliţe de asigurare intermediate prin ING Bank au ajuns pe emailurile altor persoane, încălcându-se astfel, chiar dacă nu voit, legislaţia GDPR.

Reprezentanţii oficiali ai băncii au precizat pentru ECONOMICA.NET că este vorba de o analiză în curs. „Dorim să subliniem faptul că protecţia datelor cu caracter personal şi prelucrarea acestora în parametrii stabiliţi de lege reprezintă o prioritate pentru ING Bank România. În acest context, mentionam faptul că, având în vedere natura incidentului, la nivelul ING Bank România au fost dispuse măsuri şi parcurse etapele de analiză şi identificare a factorilor care au generat incidentul precum şi faptul că au fost îndeplinite acţiunile ulterioare acestei analize, conform obligaţiilor legale aplicabile în materia protecţiei datelor cu caracter personal», au declarat reprezentanţii băncii..

Conform legii, în momentul apariţiei unui incident pe protecţia datelor cu caracter personal, instituţia implicată este obligată să facă o analiză a fenomenului şi să stabilească cât de puternic este impactul respectivului incident. Dacă incidentul este minor, instituţia nu este obligată să notifice Autoritatea şi să găsească soluţii pentru rezolvarea incidentului în mod favorabil clienţilor. Dacă este vorba de unul cu un impact mai mare este obligată să anunţe Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCR) şi chiar clientul, în cazul unui impact major.

În cazul primei amenzi aplicate de ANSPDCR sancțiunea s-a dat din cauza faptului că datele privind CNP-ul și adresa persoanelor care efectuau plăți la UNICREDIT BANK S.A., prin intermediul tranzacțiilor on-line, erau dezvăluite către beneficiarul tranzacției, prin formularele de extras de cont/detalii. „Potrivit art. 5 alin. 1 lit. c) din RGPD („Principii legate de prelucrarea datelor cu caracter personal”), operatorul avea obligația de a prelucra date limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate datele”, şi-a motivat Autoritatea decizia.

La ING Bank este vorba de poliţe de asigurare care conţin pe lângă CNP şi alte detalii privind datele de identificare ale clientului şi date privind sănătatea persoanei în cauză, dateconsiderate sensibile pentru care se cer măsuri suplimentare de rrotecţie. Dacă analiza ING Bank va decide că este vorba de un incident cu impact foarte mic, banca fiind oricum doar intermediar în transmiterea acestor poliţe, incidental poate fi rezolvat şi închis doar prin dispunerea de măsurii reparatorii care să împiedice repetarea acestuia.

UPDATE Reacţia ING Bank

Conform surselor citate, dintr-o eroare umana la nivelul uneia dintre entitatile ING Bank (Amsterdam Broker de Asigurare) a avut loc un incident care ţine de protecţia datelor cu caracter personal. Mai exact, din greşeală, emailuri cu datele personale ale celor care au poliţe de asigurare intermediate au ajuns pe emailurile altor persoane, încălcându-se astfel, chiar dacă nu voit, legislaţia GDPR.

Reprezentanţii oficiali ai băncii au precizat pentru ECONOMICA.NET că este vorba de o analiză în curs. „Dorim să subliniem faptul că protecţia datelor cu caracter personal şi prelucrarea acestora în parametrii stabiliţi de lege reprezintă o prioritate pentru ING Bank România. În acest context, mentionam faptul că, având în vedere natura incidentului, la nivelul ING Bank România au fost dispuse măsuri şi parcurse etapele de analiză şi identificare a factorilor care au generat incidentul precum şi faptul că au fost îndeplinite acţiunile ulterioare acestei analize, conform obligaţiilor legale aplicabile în materia protecţiei datelor cu caracter personal», au declarat reprezentanţii băncii.

Conform legii, în momentul apariţiei unui incident pe protecţia datelor cu caracter personal, instituţia implicată este obligată să facă o analiză a fenomenului şi să stabilească cât de puternic este impactul respectivului incident. Dacă incidentul este minor, instituţia nu este obligată să notifice Autoritatea şi să găsească soluţii pentru rezolvarea incidentului în mod favorabil clienţilor. Dacă este vorba de unul cu un impact mai mare este obligată să anunţe Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDC) şi chiar clientul, în cazul unui impact major.

În cazul primei amenzi aplicate de ANSPDCR sancțiunea s-a dat din cauza faptului că datele privind CNP-ul și adresa persoanelor care efectuau plăți la UNICREDIT BANK S.A., prin intermediul tranzacțiilor on-line, erau dezvăluite către beneficiarul tranzacției, prin formularele de extras de cont/detalii. „Potrivit art. 5 alin. 1 lit. c) din RGPD („Principii legate de prelucrarea datelor cu caracter personal”), operatorul avea obligația de a prelucra date limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate datele”, şi-a motivat Autoritatea decizia.

Incidentul a afectat un numar mic de poliţe de asigurare de locuinta care conţin pe lângă CNP şi alte detalii privind datele de identificare ale clientului . Dacă analiza ING Bank va decide că este vorba de un incident cu impact foarte mic, incidentul poate fi rezolvat şi închis doar prin dispunerea de măsurii reparatorii care să împiedice repetarea acestuia.