Decizie finală: instanţa a menţinut amenda de 100.000 de euro aplicată Băncii Transilvania de Autoritatea de protecţie a datelor personale

Autoritatea de Supraveghere a Datelor cu Caracter Personal a amendat Banca Transilvania cu o sută de mii de lei pentru divulgarea unor date personale, acum Curtea de Apel Cluj a confirmat amenda printr-o decizie definitivă dată ieri, informează autoritatea.

Prin Hotărârea civilă nr. 9 din 13 aprilie, definitivă, Curtea de Apel Cluj a confirmat amenda în cuantum de 100.000 de euro aplicată de Autoritatea de Supraveghere Băncii Transilvania, pentru încălcarea Regulamentului General privind Protecția Datelor. Aceasta după ce Tribunalul Cluj, instanța de fond, s-a pronunțat de asemenea în favoarea ASDCP. Sentința tribunalului a fost emisă în mai anul trecut și a fost menținută în întregime de instanța de apel, constatându-se faptul că ”cererea de chemare în judecată formulată de reclamata Banca Transilvania SA în contradictoriu cu pârâta Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, se vădeste neîntemeiată și va fi respinsă, procesul-verbal de contravenție nr. 23409 încheiat de pârâtă la data de 26.11.2020 urmând a fi menținut ca deplin legal și temeinic”.

În cauză, pentru a dovedi conduita sa diligentă în ce privește instruirea personalului în domeniul protecției datelor cu caracter personal, reclamanta a depus o serie de reglementări interne precum și dovada organizării unor cursuri având această tematică, ”însă apare important de subliniat ca nu s-a dovedit participarea efectivă a personalului la aceste cursuri și nici aplicarea efectivă a vreunei modalități de verificare a însușirii acestor cunostințe și informații”, a notat instanța. ”De altfel, aspectele invocate de reclamantă în sensul în care ar fi luat măsuri adecvate, în scopul implementării prevederilor din Regulament, sunt contrazise chiar de faptele constatate prin procesul verbal de contravenție și necontestate, care atestă divulgarea intenționată, în mod neautorizat, de către persoanele aflate sub autoritatea Băncii, a unui [set] însemnat de date cu caracter personal (unele din categoria datelor extrem de sensibile) către un număr foarte mare de persoane”. ”Dezinvoltura cu care angajații reclamantei au acționat, transmițând de la unul la altul datele cu caracter personal ale clientului băncii și ulterior, unor terțe persoane, prin intermediul aplicației Whatsapp, atestă nu doar necunoașterea procedurilor de lucru privind prelucrarea datelor cu caracter pesonal cât mai ales (și mai grav) inabilitatea acestora de a identifica și califica datele la care au acces ca find date cu caracter personal, ceea ce denotă o lipsă acută de instruire efectivă”, a mai reținut instanța. ”Așadar, deși reclamanta a depus la dosar, în copie, extrase din diverse proceduri interne aceasta nu a dovedit, pe de o parte, instruirea efectivă a celor trei angajați care au produs incidentul de securitate, iar pe de altă parte, că a aplicat mecanismele de control și evaluare elaborate pentru a se asigura că angajații săi și-au însușit menționatele reglementări interne”.

În consecință, a reținut instanța, documentele prezentate de reclamantă, în dovedirea implementării măsurilor tehnice organizatorice adecvate, ”nu sunt de natură să probeze asigurarea unui nivel de securitate corespunzător privind capacitatea de a asigura confidențialitatea și testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării”.

Alte concluzii:

În ce privește consecințele încălcării, Tribunalul Cluj a reținut că ”acestea au fost corect calificate de către pârâtă ca find grave prin raportare la cantitatea datelor cu caracter personal diseminate de angajații Băncii, natura sensibilă a acestora, modalitatea de diseminare (prin internet, mailul cuprinzand datele clientului Băncii circulând intens în spatiul public, informații sintetice find preluate inclusiv de bloguri, canale TV și site-uri de știri), numărul extrem de mare al persoanelor care au dobandit acces la datele clientului Băncii pentru o perioadă de timp imposibil de determinat, urmare a transmiterii informațiilor prin mijloacele cele mai diverse, toate aceste aspecte fiind în măsură să confere o imagine corectă cu privire la amploarea și gravitatea consecințelor incidentului de securitate.

Reclamanta a recunoscut, de altfel, raportat la modalitatea de transmitere a datelor cu caracter personal, că măsurile întreprinse pentru limitarea consecintelor breșei de securitate nu au fost „fezabile”, amploarea diseminării acestora în spatiul public fiind în mod evident scăpată de sub control.

Pârâta a valorificat corespunzător și criteriile prevăzute la art. 83 alin (2) lit.c)-k), dovada examinării temeince a acestor criterii find tocmai stabilirea unei amenzi într-un cuantum mult inferior maximului admis pentru fapta savârșită de reclamantă. De altfel, procesul-verbal cuprinde în detaliu analiza efectuată de pârâtă cu privire la fiecare dintre criteriile stabilite prin art. 83 alin. (2) pentru individualizarea sancțiunii.”

În final, instanța de fond a concluzionat în mod corect faptul că:

«Pentru toate considerentele de fapt și de drept mai sus expuse tribunalul va concluziona în sensul că amenda în cuantum de 100.000 euro este legală, „eficace, proporțională și disuasivă” și a fost stabilită cu luarea în considerare a naturii, gravității și consecintelor încălcării, precum și tuturor celorlalte criterii prevazute de Regulament, criterii care au fost analizate de pârâtă în mod coerent și obiectiv.»

Autoritatea a subliniat azi că și în alte cazuri similare de încălcare, de către operatori din sfera instituțiilor financiare, a dispozițiilor  regulamentului general al datelor personale referitoare la principiile prelucrării datelor și la măsurile de asigurare a securității acestora, prin hotărâri judecătorești definitive, instanțele au menținut procesele – verbale prin care s-au acordat sancțiuni cu amendă,. E vorba de două amenzi către Vreau Credit, în valoare de 20.000 de euro, și Hora Credit, 14.000 de euro, ambele confirmate de Curtea de Apel București.

Situația încheiată azi prin decizie definitivă datează din vara anului 2020, când un client al băncii, exasperat după ce a fost întrebat ce face cu banii personali, a dat un răspuns care a ajuns să fie viral, după ce mailul a fost trimis la câțiva angajați ai băncii iar de acolo acesta s-a viralizat.

Nici un comentariu

Actual de Cluj