ANSPDCP: Amendă de 20.000 euro pentru accesul neautorizat la datele clienților. Nu orice angajat trebuie să aibă acces la aceste informații

O recentă investigație a Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), soldată cu amendarea companiei vizate, arată că firmele trebuie să fie atente în selecționarea angajaților care au acces la datele cu caracter personal ale clienților. Simplul fapt de a fi angajat nu trebuie să presupună, în mod automat, dreptul de a avea acces la astfel de informații.

Astfel, unul dintre operatorii bancari importanți din România a fost amendat cu echivalentul a 20.000 de euro (99.466 lei), după ce inspectorii ANSPDCP au constatat că angajații băncii au accesat și divulgat neautorizat datele cu caracter personal ale clienților.

Ancheta a fost inițiată în urma unor notificări primite chiar de la banca în cauză cu privire la încălcări ale securității datelor, după cum reiese dintr-un comunicat de presă al instituției.

Unul dintre cazurile descoperite de inspectorii ANSPDCP a implicat un angajat care a utilizat ilegal cererea de credit a unui client, chiar dacă acesta renunțase la cerere.

Angajatul respectiv a retras numerar de la ATM-uri și a efectuat transferuri bancare în numele mai multor persoane, afectând o gamă largă de date personale, inclusiv ”numele, prenumele, codul numeric personal, adresa de domiciliu/reședință și de corespondență, numărul de telefon fix/mobil, data nașterii, numele și adresa angajatorului, tipul de produs, starea produsului/contului, data acordării, termenul de acordare, sumele acordate, sumele datorate, data scadenței, valuta, frecvența plăților, suma plătită, rata lunară, sumele restante, numărul de rate restante, numărul de zile de întârziere, categoria de întârziere, data închiderii produsului, numărul de interogări, istoric tranzacții, contracte direct debit, depozite, cont economii, fonduri de investiții”.

Într-un alt caz, doi angajați au divulgat către un fost angajat al băncii informații confidențiale despre tranzacțiile unui client prin intermediul rețelelor sociale Facebook, Messenger și WhatsApp. În final, aceste informații au ajuns ulterior la rudele clientului.

Un alt incident a implicat un angajat care a efectuat operațiuni ilegale în numele mai multor clienți, inclusiv modificarea datelor de contact, utilizarea serviciului Smart Mobile, deschiderea de conturi, solicitarea de credite, efectuarea de plăți și răscumpărarea de unități de fond.

Ancheta a relevat faptul că operatorul economic nu avea un plan procedurat care să includă un proces de testare, evaluare și apreciere periodică a tuturor acțiunilor de introducere sau actualizare a datelor cu caracter personal pentru persoanele vizate (clienți), inclusiv de notificare și obținere a acordului clientului în orice formă asupra oricărei modificări a datelor cu caracter personal efectuate de către angajații operatorului.

Cazul prezentat evidențiază necesitatea implementării unor măsuri riguroase de securitate în toate companiile care procesează date cu caracter personal, nu doar pentru cele din sectorul bancar.  În primul rând, companiile trebuie să implementeze un sistem strict de acces diferențiat la datele clienților, astfel încât angajații să aibă acces doar la informațiile necesare îndeplinirii atribuțiilor lor specifice.

În al doilea rând, este esențială monitorizarea sistematică a modului în care angajații accesează și utilizează datele personale, inclusiv prin sisteme automate de detectare a comportamentelor suspecte. 

În final, după cum reiese din măsurile impuse de ANSPDCP în acest caz, companiile trebuie să dezvolte proceduri clare de notificare și aprobare pentru orice modificare a datelor clienților, precum și programe regulate de instruire a personalului privind protecția datelor și consecințele legale ale utilizării neautorizate a acestora.