BCR, amendă de 2.000 de euro pentru nerespectarea GDPR
Banca Comercială Română (BCR) a fost sancționată contravențional de ANSPDCP cu o amendă de 9.855,8 lei (echivalentul a 2.000 euro) pentru prelucrarea datelor personale ale unei persoane fără temei legal și încălcarea GDPR.
Investigația a fost demarată ca urmare a primirii unei plângeri prin care s-a reclamat faptul că BCR a utilizat, fără acord, datele personale ale unei persoane fizice, în cadrul unor proceduri de executare silită pentru debite rezultate dintr-un contract de credit despre care acesta nu avea cunoștință.
Petentul a reclamat, așadar, folosirea fără consimțământ a datelor sale personale, în alte scopuri decât cele autorizate de dumnealui, precum și utilizarea unei adrese care nu mai era de actualitate și pentru care petentul a considerat că banca a accesat ilegal o bază de date. De asemenea, a reclamat lipsa informării cu privire la sursa de colectare a acestor informații conform art. 14 din RGPD, precum și lipsa primirii unui răspuns cu privire la mai multe cereri adresate de acesta BCR.
BCR, în eroare
În cursul desfășurării investigației Autoritatea Națională de Supraveghere a constatat că BCR a prelucrat datele personale ale petentului fără temei legal, prin atribuirea eronată a calității de garant în 2019, extragerea unor date neactualizate, utilizarea și dezvăluirea datelor sale personale, în cadrul unor proceduri de notificare efectuate prin intermediul unui executor judecătoresc, care priveau restanțele la un contract de credit acumulate de o societate comercială, clientă a băncii, cu care petentul nu avea niciun fel de relație, cu încălcarea art. 5 alin. (1) lit. a) și d) și art. 5 alin. (2), precum și a art. 6 din RGPD.
Autoritatea Națională de Supraveghere a aplicat operatorului Banca Comercială Română și măsura corectivă de a asigura conformitatea cu RGPD a operațiunilor de colectare și prelucrare ulterioară a datelor personale, prin implementarea unor metode eficiente de respectare a caracterului exact și actual al datelor.
În această privință, considerentul (39) RGPD statuează că „Orice prelucrare de date cu caracter personal ar trebui să fie legală şi echitabilă. (…) Ar trebui să fie luate toate măsurile rezonabile pentru a se asigura că datele cu caracter personal care sunt inexacte sunt rectificate sau şterse.”