Emailul aparent banal care s-a lăsat cu amendă de 5.000 de euro. Cum a fost încălcată legislația GDPR de o bancă românească

O simplă eroare de trimitere a unui email s-a transformat într-un caz serios de încălcare a legislației GDPR și a adus unei bănci din România o amendă de 5.000 de euro. Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a constatat că instituția bancară a gestionat necorespunzător datele unor foști clienți, încălcând mai multe principii fundamentale de protecție a datelor.

Incidentul a pornit de la transmiterea unei informări privind fraudele online către un număr mare de destinatari. Problema a apărut pentru că, pe lângă clienții activi ai băncii, în lista de trimitere au fost incluse și adresele de email ale unor foști clienți, care nu mai aveau o relație contractuală cu banca. Această simplă omisiune a dus la deschiderea unei investigații detaliate și, în final, la aplicarea sancțiunii.

De ce a fost considerată o încălcare a GDPR

În timpul investigației, ANSPDCP a constatat că banca păstra datele foștilor clienți pentru o perioadă îndelungată – zece ani de la încetarea relației contractuale, respectiv cinci ani pentru persoanele cărora le fuseseră refuzate cereri de credit. Deși legislația bancară și normele BNR impun obligații privind stocarea documentelor și monitorizarea tranzacțiilor, acestea nu justifică utilizarea ulterioară a datelor în scopuri precum transmiterea de emailuri sau alte forme de prelucrare activă.

Astfel, banca a încălcat principiile de legalitate, transparență și limitare a scopului, prevăzute de articolul 5 din Regulamentul general privind protecția datelor (GDPR). De asemenea, instituția nu a asigurat măsuri tehnice și organizatorice adecvate pentru a preveni prelucrarea neautorizată a datelor, încălcând articolele 6 și 32 din regulament.

Horoscop zilnic 6 decembrie 2025: Vești importante pentru o zodie, surprize pentru alte două

Cerere de căsătorie surpriză la „Mireasa”. Un cuplu contestat s-a logodit, după câteva săptămâni de relație: „Promit că o să încerc să te fac fericit”

Concret, ANSPDCP a concluzionat că operatorul a prelucrat ilegal datele unor persoane cu care nu mai avea relații contractuale active, fără un temei legal valabil și fără garanții suficiente privind securitatea informațiilor.

Amenda și măsurile corective impuse

Pentru aceste abateri, banca a primit o amendă de 24.842 de lei, echivalentul a 5.000 de euro. Pe lângă sancțiunea financiară, autoritatea a impus și o măsură corectivă: instituția trebuie să monitorizeze activitățile de prelucrare a datelor desfășurate de angajați și să implementeze proceduri interne mai stricte pentru a preveni incidente similare.

Acest caz arată încă o dată că majoritatea breșelor de securitate și a încălcărilor GDPR nu sunt cauzate de atacuri informatice sofisticate, ci de erori umane sau lipsa unor controale interne eficiente. În același timp, reamintește companiilor din domeniul bancar și nu numai că obligațiile legale privind arhivarea datelor nu le dau dreptul să folosească aceste date în alte scopuri decât cele strict prevăzute.

Lecții pentru mediul de afaceri

Pentru firme, incidentul subliniază importanța instruirii continue a angajaților în domeniul protecției datelor. Un simplu email trimis greșit poate genera sancțiuni de mii de euro și poate afecta reputația companiei. În plus, este esențial ca organizațiile să își actualizeze permanent politicile interne și să implementeze proceduri clare pentru limitarea accesului la datele foștilor clienți.

Într-un context în care ANSPDCP aplică constant sancțiuni pentru nerespectarea GDPR, acest caz ar trebui privit ca un avertisment. Respectarea principiilor de legalitate, transparență și securitate în prelucrarea datelor nu este o opțiune, ci o obligație legală pentru toate companiile care activează în România.