GDPR: O bancă, amendată pentru executarea silită a unui client care nu avea nicio legătură cu creditul imputat

O persoană fizică a reclamat Autorităţii Naţionale de Supraveghere a Prelucării Datelor cu Caracter Personal (ANSPDCP) că datele sale personale au fost folosite de către bancă fără consimţământ, în alte scopuri decât cele autorizate de el, precum şi că aceste date nu mai erau de actualitate, respectiv utilizarea unei adrese mai vechi.

În urma investigaţiei, ANSPDCP a constatat că banca a prelucrat datele personale ale respectivului client fără a avea temei legal, prin atribuirea eronată a calităţii de garant într-un credit şi extragerea unor date neactualizate. De asemenenea, banca a utilizat şi dezvăluit datele personale ale clientului în cadrul unor proceduri de notificare efectuate prin intermediul unui executor judecătoresc care priveau restanţele la un contract de credit acumulate de o societate comercială, clientă a băncii, cu care respectivul client nu avea niciun fel de relaţie.
 
Sancţiunea aplicată băncii de Autoritatea de Supraveghere a fost de 2.000 de euro, precum şi impunerea luării unor măsuri corective, care au rolul de a asigura intrarea în legalitate în privinţa protecţiei datelor cu caracter personal ale clienţilor.

În contextul acestei sancţiuni, reamintim că GDPR-ul stabileşte că datele cu caracter personal pe care o firmă le prelucrează despre cineva trebuie să reflecte mereu realitatea. Astfel, datele cu caracter personal trebuie să fie „exacte și, în cazul în care este necesar, să fie actualizate; trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate fără întârziere («exactitate»)”, stă scris în regulamentul GDPR.

Asta înseamnă că firmele care operează cu date cu caracter personal trebuie să se asigure că datele prelucrate coincid cu realitatea atât la momentul prelucrării, cât şi pe tot parcursul stocării şi folosirii lor.

De ce este așa de important ca datele prelucrate să fie exacte? Pe lângă situaţia care a făcut obiectul amenzii date de instituţia supraveghetoare a aplicării GDPR în România, pot apărea diverse consecinţe negative ulterior prelucrării unor date inexacte sau a unor date neactualizate. De exemplu, dacă o bancă are acces la anumite baze de date, în funcție de care decide acordarea unui împrumut sau termenii acelui împrumut, s-ar putea ca datele conținute în acea bază de date să nu reflecte situația reală a clientului, de la momentul solicitării împrumutului. Drept consecinţă, s-ar putea ca persoana vizată să riște condiții de creditare mai puțin favorabile sau chiar să-i fie respinsă cererea de acordare a împrumutului.

La sfârşitul anului trecut, o altă bancă românească a primit o amendă din partea ANSPDP cu 100.000 euro pentru dezvăluirea ilegală a unui document ce conţinea o explicitare, în detaliu, a unor activităţi pur personale ale clientului vizat, ce includea planuri de a vizita Olanda, pentru a consuma droguri şi altele. Problema scoasă în evidenţă de acea amendă este că multe firme se confruntă cu lipsa pregătirii și instruirii angajaților în ceea ce privește păstrarea confidențialității datelor personale.