150.000 euro – cea mai mare amenda pentru nerespectarea GDPR a fost aplicata Raiffeisen Bank

Autoritatea Națională de Supraveghere a finalizat în data de 01.10.2019 două investigații la operatorii Raiffeisen Bank S.A. și Vreau Credit S.R.L. constatând următoarele:

  • Raiffeisen Bank S.A. a încălcat prevederile art. 32 alin. (4) coroborat cu art. 32 alin. (1) și alin. (2) din RGPD – GDPR, ceea ce a condus la aplicarea unei amenzi contravenționale în cuantum de 150.000 Euro
  • Vreau Credit S.R.L. a încălcat prevederile art. 32 alin. (4) coroborat cu art. 32 alin. (1) și alin. (2) din GDPR, precum și ale art. 33 alin. (1) din GDPR, ceea ce a condus la aplicarea unei amenzi contravenționale în cuantum de 20.000 Euro.

În ceea ce privește Raiffeisen Bank S.A., Autoritatea Naţională de Supraveghere a demarat o investigație, ca urmare a transmiterii de către bancă a unei notificări privind încălcarea securității datelor cu caracter personal prin completarea formularului privind încălcarea securității conform Regulamentului (UE) 2016/679.

Rezultatele investigațiilor GDPR de la Raiffeisen Bank

Încălcarea securității a constat în faptul că doi angajați ai Raiffeisen Bank S.A., utilizând datele din documentele de identitate ale unor persoane fizice, transmise de către angajați ai societății Vreau Credit S.R.L. prin intermediul aplicației mobile WhatsApp, au efectuat interogări ale sistemului Biroului de Credit pentru a obține datele necesare în vederea determinării eligibilității la creditare a respectivelor persoane fizice, prin simulări de prescoring.

În acest sens, au fost efectuate 1194 simulări, cu privire la 1177 persoane fizice.

De asemenea, pentru 124 de persoane fizice s-a efectuat și consultarea bazei de date a ANAF.

Simulările de prescoring menționate mai sus au fost efectuate prin intermediul aplicației informatice utilizate de Raiffeisen Bank S.A. în activitatea de creditare, iar decizia negativă de creditare a fost comunicată de către angajații Raiffeisen Bank S.A. către angajații Vreau Credit S.R.L., cu încălcarea procedurilor interne.

Sancțiunea a fost aplicată operatorului ca urmare  a faptului că acesta nu a luat măsurile corespunzătoare pentru a se asigura că orice persoană fizică care acționează sub autoritatea acestuia și care are acces la date cu caracter personal, nu le prelucrează decât la cererea sa, cu excepția cazului în care această obligație îi revine în temeiul dreptului Uniunii sau al dreptului intern.

De asemenea, operatorul nu a implementat măsuri tehnice şi organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător și nu a evaluat riscurile pe care le prezintă prelucrarea, încălcând astfel prevederile GDPR.

Această situație a condus la accesul neautorizat la datele cu caracter personal prelucrate prin aplicația informatică utilizată de Raiffeisen Bank S.A. în activitatea de creditare și la divulgarea neautorizată a datelor cu caracter personal de către angajați ai băncii.

Rezultatele investigațiilor GDPR de la Vreau Credit srl

În ceea ce privește operatorul Vreau Credit S.R.L., acesta a fost sancționat, de asemenea, pentru încălcarea securității datelor, dar și pentru faptul că până la finalizarea investigației nu a notificat autorității de supraveghere încălcarea securității datelor cu caracter personal, fără întârzieri nejustificate, deși constatase producerea acestui incident de securitate încă din luna decembrie 2018, ceea ce a condus la încălcarea confidențialității datelor cu caracter personal ale clienților proprii (persoanele vizate) și la prelucrarea neautorizată/ilegală a datelor cu caracter personal ale acestora.

Informațiile au fost furnizate prin intermediul unui comunicat de presă de către ANSPDCP – Direcția Juridică și Comunicare

Cum întâmpinăm astfel de situații si investigațiile Autorității

Pentru a vă pregăti să tratați corespunzător și sa răspundeți în cazul unei investigații din partea Autorității de Supraveghere vă recomandăm parcurgerea Cursului Incidente de securitate GDPR & CyberSecurity – Abordare, Evaluare, Prevenție, Acțiune, Căi de atac – curs ce vă pregătește pentru astfel de situații sau aplelați la serviciile practicanților din domeniul protecției datelor personale – Consultanță de urgență SOS GDPR.

Citiți acum și despre

Acest articol a fost publicat în Informații utile. Salvează legătura permanentă.



Pentru a evita sancțiuni uriașe financiare și de imagine vă recomandăm să verificați GRATUIT online dacă compania / instituția dvs. trebuie să fie conformă cu prevederile impuse de GDPR (Regulamentul European 679/2016 & Legea 190/2018) și dacă trebuie să externalizați un DPO sau să aveți desemnat intern o persoană pe poziția de DPO Responsabil cu protecția datelor cu caracter personal, specializat ulterior prin urmarea unui Curs DPO Autorizat Certificat.


Dacă întâmpinați greutăți în implementarea GDPR, puteți apela la echipa de specialiști GDPR sau puteți cotracta serviciile profesionale de consultanță GDPR de specialitate.


Pentru a vă sprijini, , echipa de specialiști GDPR vă pune la dipoziție setul de instrumente necesare pentru realizare evaluării de impact DPIA (politica, procedura, formular, raportul privind analiza impactului, soft de realizare evaluare de impact, etc) împreună cu instrucțiuni și sfaturi practice, șabloanele si alte evaluari DPIA completate ca exemplu, pentru a vă ajuta să înțelegeti ce trebuie realizat pentru a desfășura o evaluare de imact conform prevederilor GDPR și prevederilor Deciziei 174/2018 emise de ANSPDCP.