În luna octombrie 2024, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a aplicat o amendă de 20.000 de euro băncii Raiffeisen Bank pentru încălcarea prevederilor Regulamentului General privind Protecția Datelor (GDPR). Incidentul a adus în atenția publicului trei situații majore de utilizare neautorizată a datelor personale, toate fiind rezultatul unor nereguli comise de angajați ai instituției bancare.
Un credit nesolicitat și bani retrași ilegal: Abuzul de încredere al unui angajat
Unul dintre cele mai grave cazuri semnalate implică un client al băncii care a descoperit că, fără acordul său, i-a fost contractat un credit.
Mai mult, clientul a constatat retrageri de bani din conturile sale personale, toate realizate fără autorizație.
Investigațiile desfășurate de ANSPDCP au arătat că un angajat al băncii a folosit în mod ilegal cererea de credit a clientului, chiar dacă acesta renunțase anterior la solicitarea respectivă. Documentele aferente cererii, conținând informații personale precum CNP-ul, adresa, numărul de telefon și istoricul financiar, au fost utilizate în mod abuziv. Pe lângă creditul nesolicitat, angajatul a efectuat retrageri de numerar și transferuri bancare, acționând astfel împotriva intereselor clientului.
Această situație a scos la lumină o problemă sistemică legată de lipsa unor măsuri eficiente pentru prevenirea accesului neautorizat la datele personale. Raiffeisen Bank nu a implementat suficiente controale pentru a asigura că datele sunt procesate doar la cererea operatorului.
Divulgarea de informații confidențiale prin rețele de socializare
Un al doilea incident grav a fost raportat de Raiffeisen Bank după ce doi angajați au transmis informații confidențiale despre tranzacțiile unui client către un fost coleg al băncii. Acesta din urmă, la rândul său, a împărtășit datele unor rude ale clientului. Modul de comunicare utilizat – rețelele de socializare precum Facebook, Messenger și WhatsApp – a amplificat vulnerabilitățile, expunând date precum numele, CNP-ul, adresa, numerele de cont și detalii despre tranzacții.
Investigațiile au relevat că lipsa unor mecanisme stricte de control a accesului la date a permis acestui tip de abuz. În loc să se asigure că doar persoanele autorizate pot accesa astfel de informații, banca a permis scurgerea de date personale prin intermediul angajaților săi.
Acest incident ridică întrebări importante despre cultura organizațională a Raiffeisen Bank și măsurile insuficiente luate pentru a proteja confidențialitatea datelor clienților.
Produse nesolicitate și dispariția unor sume de bani din conturi
Al treilea caz investigat de ANSPDCP implică un client care a descoperit existența unor produse financiare pe care nu le solicitase și dispariția unor sume de bani din conturile sale. Angajatul responsabil a efectuat numeroase operațiuni ilegale, incluzând:
- Modificarea repetată a datelor de contact ale clientului;
- Utilizarea neautorizată a serviciului Smart Mobile;
- Deschiderea de conturi curente și de economii fără acordul clientului;
- Solicitarea de credite și semnarea documentației aferente;
- Răscumpărarea unor unități de fond și utilizarea cardurilor de debit.
Acțiunile s-au desfășurat pe o perioadă extinsă, din 2015 până în martie 2023, afectând mai mulți clienți. Acest caz demonstrează încă o dată vulnerabilitățile grave ale sistemului de control intern al băncii, care nu a reușit să detecteze și să prevină comportamentele frauduloase ale angajatului.
Măsuri corective și responsabilități viitoare
În urma investigațiilor, ANSPDCP a aplicat nu doar sancțiunea financiară, ci și o serie de măsuri corective menite să prevină repetarea unor astfel de incidente. Printre acestea se numără:
- Implementarea unui plan procedural pentru testarea și evaluarea periodică a acțiunilor legate de datele personale.
- Notificarea și obținerea acordului clienților pentru orice modificare a datelor.
- Informarea regulată a angajaților despre riscurile prelucrării neautorizate a datelor personale.
Urmărește-ne și pe Google News
Rețele de socializare: Instagram, Facebook și Twitter
MENȚIUNE:
Informaţiile publicate de Vesteazilei.ro pot fi preluate doar în limita a 500 de caractere şi cu citarea sursei cu link activ.
Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor.