Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal a finalizat o investigatie la Banca Transilvania SA si a constatat, potrivit unui comunicat, incalcarea unor dispozitii din Regulamentul (UE) 2016/679, respectiv art. 5 alin. (1) lit. a) si alin. (2), art. 12 si art. 13, coroborat cu art. 83 alin. (5) lit. a) si b).
In aceste conditii, operatorul a fost sanctionat contraventional cu amenda in cuantum de 9841,80 lei (echivalentul sumei de 2.000 EURO).
Investigatia a fost demarata ca urmare a unei plangeri transmisa de o persoana fizica ce a semnalat o posibila incalcare a dispozitiilor Regulamentului (UE) 2016/679.
Astfel, petentul (client) a solicitat Bancii Transilvania SA eliberarea unui card pe numele unei rude, cu posibilitatea accesarii de catre acesta doar a contului in EURO. La momentul ridicarii cardului, clientul si persoana care avea drept de operare pe contul in euro utilizau o anumita aplicatie de Internet Mobile Banking a Bancii Transilvania care permitea restrictionarea vizualizarii unor conturi.
In cadrul investigatiei, din cererea de actualizare date (Achizitie produse/servicii bancare) pentru o noua aplicatie mobila destinata prestarii de servicii a rezultat ca se aplica in continuare restrangerea dreptului de operare doar la contul in euro pentru ruda desemnata de client. In aceasta situatie, a reiesit ca petentul si-a manifestat in mod clar vointa in ceea ce priveste posibilitatea de vizualizare doar pe contul in euro.
Cu toate acestea, dupa activarea serviciului Internet Mobile Banking pentru utilizarea noii aplicatii, ruda petentului a putut accesa neautorizat toate conturile titularului.
Ca atare, s-a constatat ca operatorul nu a facut dovada ca, la momentul utilizarii datelor clientului sau, a furnizat acestuia, intr-o forma concisa, transparenta, inteligibila si usor accesibila, informatii privind destinatarii sau categoriile de destinatari ai datelor cu caracter personal, astfel cum prevede art. 13 alin. (1) lit. e) coroborat cu art. 12 din Regulamentul (UE) 2016/679.
Prin urmare, operatorul nu a facut dovada informarii persoanei vizate (clientului) cu privire la faptul ca, in cadrul noii aplicatii, datele bancare aferente tuturor conturilor sale, urmau sa fie dezvaluite catre persoana desemnata (ruda acestuia).
In acelasi timp, operatorului i s-au aplicat si masuri corective. (I.P.)