Prima amendă dată în România pentru nerespectarea GDPR: Unicredit trebuie să achite 130.000 euro

După un an, o lună și câteva zile de la intrarea în vigoare a GDPR, autoritățile competente de la noi au aplicat prima amendă pentru nerespectarea prevederilor europene unice referitoare la protecția datelor personale.

Mai precis, conform unui comunicat de presă al ANSPDCP, ce a fost publicat azi pe site-ul autorității, Unicredit Bank a fost amendată acum câteva zile cu suma de 130.000 de euro. Sancțiunea a fost aplicată în urma unei investigații începute la finele anului trecut, deoarece banca n-a luat măsuri adecvate pentru protejarea datelor personale ale clienților săi.

„Aceasta a condus la dezvăluirea, în documentele ce conțin detaliile tranzacțiilor și care sunt puse online la dispoziția clienților beneficiari ai plăților, a datelor privind CNP-ul și adresa plătitorului (pentru situațiile în care plătitorul efectua tranzacția dintr-un cont deschis la o altă instituție de credit - tranzacții externe și depuneri la casierie), respectiv a datelor privind adresa plătitorului (pentru situațiile în care plătitorul efectua tranzacția dintr-un cont deschis la Unicredit Bank - tranzacții interne), pentru un număr de 337.042 persoane vizate, în perioada 25 mai 2018 - 10.12.2018”, este explicat în comunicat.

Conform ANSPDCP, amenda a fost dată pentru încălcarea alineatului 1 al articolului 25 din GDPR. Prevederea respectivă se referă la faptul că firmele, atât la stabilirea mijloacelor de prelucrare, cât și la prelucrare în sine, trebuie să ia măsuri adecvate (de exemplu, pseudonimizarea) pentru a respecta principiile GDPR (cum este cel de minimizare a prelucrării datelor) și a proteja drepturile persoanelor fizice vizate.

Pentru încălcarea articolului 25 din GDPR, operatorii de date personale riscă amenzi administrative de până la zece milioane de euro sau de până la 2% din cifra de afaceri mondială totală anuală din anteriorul exercițiu financiar.

GDPR reprezintă cadrul legal unic la nivel european în materie de protecție a datelor personale și se aplică, inclusiv în România, din 25 mai 2018.

Recent, într-un raport de activitate referitor la primul an de aplicare a GDPR, cei de la ANSPDCP subliniau că s-au axat mai ales pe îndrumarea operatorilor de date pentru conformarea adecvată la dispozițiile regulamentului european. Astfel, în perioada respectivă s-au aplicat numai avertismente și măsuri corective. Însă de-acum s-a trecut și la aplicarea amenzilor.