ING și TAROM, amendate cu zeci de mii de euro. Cât de mari au fost problemele?

ING Bank, TAROM, dar și FAN Courier au fost amendate în ultima săptămână. Aceste trei companii au ajuns la o amendă cumulată de 111.000 euro. Problema pe care a avut ING Bank a fost în urmă cu un an.

În octombrie 2018, mai mulți clienți ING Bank s-au trezit cu plăți dublate în cont. Au fost afectate plățile cu cardul realizate în acel weekend și procesate în prima luni. „Banca a identificat situațiile urgente ale unor clienți și a discutat cu aceștia pentru a corecta tranzacțiile și a regla punctual contul clienților cât mai repede cu putință. Eroarea a fost confirmată ca fiind una operațională, fără impact asupra altor procesări ale băncii”, a explicat bancă.

Acum, la final de noiembrie, ING Bank se regăsește alături de TAROM într-un top al amenzilor aplicate pe baza regulamentului GDPR, activ din 2018.

„Confirmăm luarea la cunoștință a demersului de sancționare a ING Bank România de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal în contextul incidentului operațional din octombrie 2018, când o parte din tranzacțiile cu cardurile emise ING au fost dublate. Urmare a acestui incident, clienții afectați au fost informați imediat, tranzacțiile dublate au fost stornate în cursul aceleiași zile, fiind, totodată, revizuite și actualizate unele reguli operaționale interne, în sensul întăririi acestora. Incidentul operațional nu a condus la o afectare a datelor cu caracter personal.”
ING Bank

ING și TAROM, amendate cu 100.000 de euro în total

Amenda primită de ING Bank a fost de 80.000 de euro, aplicată de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal. Au fost afectați peste 225.000 de clienți.

„[…] operatorul nu a asigurat respectarea principiului protecției datelor începând cu momentul conceperii și cel al protecției implicite a datelor (privacy by design și privacy by default), întrucât nu a procedat la adoptarea de măsuri tehnice și organizatorice corespunzătoare, privind integrarea de garanții adecvate în sistemul automatizat de prelucrare a datelor în cadrul procesului de decontare al tranzacțiilor cu cardul, fiind afectat un număr de 225.525 de clienți ale căror operațiuni de plată au fost dublate în perioada 8-10.10.2018, raportat și la prevederile art. 32 alin. (1) lit. d) din RGPD.”
ANSPDCP în comunicatul oficial

De cealaltă parte, TAROM a fost sancționată cu o amendă de 20.000 de euro. Conform ANSPDCP, sancțiunea a fost aplicată pentru că TAROM nu a implementat măsuri tehnice și organizatorice adecvate pentru a se asigura că orice persoană fizică care acționează sub autoritatea acestuia și care are acces la date cu caracter personal nu le prelucrează decât la cererea sa.

„Corelat cu acest aspect, operatorul nu a luat nici măsuri adecvate pentru a asigura un nivel de securitate corespunzător riscului generat de divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod.”
ANSPDCP în comunicatul oficial

După ING Bank și TAROM, nici FAN Courier nu e departe. Firma de curierat a fost amendată cu aproximativ 11.000 de euro.

„Sancțiunea a fost aplicată operatorului întrucât nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurarii unui nivel de securitate corespunzator riscului prelucrării generat în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod, ceea ce a condus la pierderea datelor cu caracter personal (nume, prenume, numar card, cod siguranta card (cvv), adresa titular card, cod numeric personal, serie si număr card identitate, numar cont IBAN, limita credit aprobat, adresa de corespondenta) și la divulgarea/accesarea neautorizată a datelor cu caracter personal, fiind afectate de incidentele de securitate un număr de aproximativ 1100 persoane fizice vizate, deși operatorul avea obligația luării măsurilor de securitate adecvată a datelor cu caracter personal potrivit dispozițiilor art. 5 alin. (1) lit. f din RGPD.”
ANSPDCP în comunicatul oficial