Vreau Credit SRL îți verifica condițiile de creditare prin intermediul angajaților Raiffeisen Bank
10 minute • Ana-Maria Udriste • 10 octombrie 2019
Angajații Raiffeisen Bank trimiteau solicitări Biroului de Credit pe baza buletinelor primite de la Vreau Credit SRL prin WhatsApp
Acest fapt a ieșit la iveală după ce Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a amendat Raiffesen Bank S.A. și Vreau Credit S.R.L. pentru încălcarea legislației privind protecția datelor
Disclaimer: acest articol reprezintă exclusiv opinia personală a autorului său și nu angrenează publicația Avocatoo în niciun fel.
E și GDPR-ul ăsta bun la ceva
Trecând peste titlul de cancan, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (în continuare ”ANSDPCP”) a oferit publicului astăzi un comunicat de presă (accesibil aici) prin care a anunțat că a amendat Raiffeisen Bank S.A. cu 150.000 euro și Vreau Credit S.R.L. cu 20.000 euro, pentru încălcarea Regulamentului privind protecția datelor cu caracter personal (în continuare ”GDPR”).
Din punct de vedere tehnico-juridic, avem următoarele contravenții:
Raiffeisen Bank S.A. a încălcat securitatea prelucrării datelor personale
Mai exact, nu a respectat următoarele prevederi din GDPR:
(1) Având în vedere stadiul actual al dezvoltării, costurile implementării și natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscul cu diferite grade de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice, operatorul și persoana împuternicită de acesta implementează măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc, incluzând printre altele, după caz:
(a) pseudonimizarea și criptarea datelor cu caracter personal;
(b) capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continue ale sistemelor și serviciilor de prelucrare;
(c) capacitatea de a restabili disponibilitatea datelor cu caracter personal și accesul la acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică;
(d) un proces pentru testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.
(2) La evaluarea nivelului adecvat de securitate, se ține seama în special de riscurile prezentate de prelucrare, generate în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod.
(3) Aderarea la un cod de conduită aprobat, menționat la articolul 40, sau la un mecanism de certificare aprobat, menționat la articolul 42, poate fi utilizată ca element prin care să se demonstreze îndeplinirea cerințelor prevăzute la alineatul (1) din prezentul articol.
(4) Operatorul și persoana împuternicită de acesta iau măsuri pentru a asigura faptul că orice persoană fizică care acționează sub autoritatea operatorului sau a persoanei împuternicite de operator și care are acces la date cu caracter personal nu le prelucrează decât la cererea operatorului, cu excepția cazului în care această obligație îi revine în temeiul dreptului Uniunii sau al dreptului intern.
Comunicatul de presă nu ne oferă mai multe detalii cu privire la litera propriu-zisă pe care a fost sancționată banca, dar cel mai probabil va reieși din context.
Vreau Credit S.R.L. a încălcat securitatea datelor cu caracter personal și nici nu a notificat autoritatea
Pe lângă articolul 32 anterior amintit, Vreau Credit S.R.L. a fost sancționată și pentru că, deși știa de breșa de securitate din decembrie 2018 ȘI trebuia să notifice ANSPDCP având în vedere datele personale implicate, nu a făcut-o.
Când trebuie să notifici ANSDPCP dacă ai o breșă de securitate?
Vizual, procedura de notificare arată așa:
Exemple clare despre ce înseamnă riscurile, cum se analizează și cum se face o informare a persoanelor vizate afectate găsiți în pachetul avocatoo conceput ca o bază de pornire pentru a implementa o procedură de răspuns în cazul breșelor de securitate și nu intrăm în amănunte.
După cum putem vedea, avem mai multe situații în care trebuie să notificăm fie persoanele vizate, fie autoritatea, fie ambele.
Tot mergând pe vizual, suntem aici:
Raiffeisen Bank a notificat ANSPDC. Vreau Credit S.R.L. nu. Trebuia?
Când am citit prima oară comunicatul de presă, mi s-a părut oarecum ciudat că unul din operatori a notificat breșa de securitate către ANSPDCP, iar celălalt nu.
În virtutea logicii evenimentelor, dacă există două părți implicate, iar una din ele decide să notifice către o autoritate o breșă de securitate, este evident că partea care nu a notificat riscă să fie sancționată și pentru acest aspect. Cu excepția cazului în care demonstrează că nu ar fi trebuit să notifice.
Ca să vedem dacă Vreau Credit S.R.L. avea obligația să notifice ANSDPCP despre breșa de securitate, trebuie să analizăm dacă reprezinta încălcare poate genera un risc pentru drepturile și libertățile persoanelor fizice sau nu.
Când vom face această analiză, vom avea în vedere următoarele aspecte orientative:
- tipul încălcării
- dacă datele personale au fost criptate
- dacă au fost criptate, puterea criptării
- cât de mult au fost datele pseudonimizate (ie. dacă persoanele fizice pot fi identificate în mod rezonabil din datele existente)
- datele personale incluse sunt sau nu sensibile, (ie. nume, adresă, date personale, date biometrice)
- volumul datelor implicate
- numărul persoanelor vizate afectate
- natura încălcării, (ie. fruct, accident etc.)
- orice alți factori ar putea fi relevanți.
Ce date personale au fost implicate?
Ca să înțelegem dacă trebuia sau nu ca Vreau Credit S.R.L. să notifice ANSDPC, ne uităm la datele implicate și la mecanismul acestora de transmitere.
Si la comunicatul de presă ANSDPCP din care aflăm că:
Pe scurt, doi angajați din cadrul Raiffeisen Bank voiau să ajute niște prieteni de la Vreau Credit S.R.L. și trimiteau pentru aceștia solicitări la Biroul de Credit ca să îi ajute la efectuarea prescoringului pentru clienți.
Datele dintr-un document de identitate se referă la:
- CNP (cod numeric personal);
- serie și număr de document;
- adresă domiciliu;
- data nașterii;
- locul nașterii.
Verificările la Biroul de Credit se fac pe baza CNP-ului, ce este un identificator la nivel național, potrivit Legii nr. 190/2018 (am scris mai multe în detaliu despre prelucrarea CNP-ului și GDPR aici).
Identificator la nivel național înseamnă că este unic și aparține unei singure persoane. Mai mult de atât, dacă prelucrezi CNP-ul pe baza interesului legitim, ești obligat să ai și un DPO. Destul de importantă chestia asta cu CNP-ul, nu? Vorba aceea, te poți trezi că ai un credit de care nu știai, pentru că cineva a semnat pentru tine.
Citește și: Tot ce trebuie să știi despre numirea unui DPO.
Dacă e să luam lista de mai sus, constatăm că:
- tipul încălcării – breșă internă, făcută de angajați
- dacă datele personale au fost criptate – nu
- dacă au fost criptate, puterea criptării
- cât de mult au fost datele pseudonimizate (ie. dacă persoanele fizice pot fi identificate în mod rezonabil din datele existente) – persoanele pot fi identificate
- datele personale incluse sunt sau nu sensibile, (ie. nume, adresă, date personale, date biometrice) – sunt
- volumul datelor implicate – minim 1177 de elemente de date personale sensibile
- numărul persoanelor vizate afectate – 1177 persoane
- natura încălcării, (ie. furt, accident etc.) – divulgare internă
- orice alți factori ar putea fi relevanți.
Astfel că da, autoritatea trebuia să fie notificată.
2 angajați îți aduc o amendă
Raiffeisen Bank are câteva mii de angajați. Pentru că doi dintre aceștia au vrut să-și ajute prietenii din altă parte, acum a primit o amendă de 150.000 euro pentru nerespectarea securității datelor cu caracter personal.
Și întrebarea: dacă datele a 1177 persoane au fost transmise prin intermediul WhatsApp, câte alte date mai circulă ”la liber”? Și nu doar la Raiffeisen Bank, ci în general.
Ce trebuie să facă o companie cu privire la angajații săi în legătură cu GDPR?
Cum spuneam, GDPR vine să responsabilizeze companiile. Imaginea unei organizații se vede în primul rând prin angajații săi, pentru că aceștia reprezintă interfața cu clientul/consumatorul.
Angajații nu pot ști obligațiile ce le revin în temeiul legislației dacă organizația nu îi instruiește în acest sens. Este obligația companiei să adopte măsurile necesare pentru ca angajații să cunoască legislația privind protecția datelor, să înțeleagă impactul și scopul acesteia și să prelucreze în mod responsabil aceste date.
Mai jos găsești o listă de acțiuni pe care o companie ar trebui să le aibă în vedere – ea nu este exhaustivă, dar poate fi folosită ca punct de pornire, alături de documentele din pachetul avocatoo pentru angajați:
- să le facă training-uri interne, în care să le explice ce este GDPR, ce sunt datele personale și cum să le manipuleze;
- să semneze acorduri de confidențialitate cu fiecare în parte;
- să îi facă conștienți despre importanța și gravitatea încălcării securității datelor cu caracter personal;
- să introducă sancțiuni în Regulamentele de Ordine Interioară pentru încălcarea obligațiilor privind securitatea datelor cu caracter personal;
- să adopte măsuri prin care aceștia pot să manipuleze în siguranță datele personale;
- să adopte politici decente, aplicabile și în viața reală, nu doar pe hârtie, de tipul BYOD (bring-your-own-device), politică de acces pe nivel sau clean desk policy etc.
- să implementeze sisteme de verificare și monitorizare periodică a fluxurilor de date și să acorde acces preferențial în funcție de task-urile specifice.
Pe lângă asta, o companie ar trebui să aibă o politică de prelucrare a datelor pe care să o aducă la cunoștința tuturor persoanelor implicate în procesul de prelucrare, să efectueze analize de impact atunci când este necesar și să informeze angajații despre monitorizarea video la locul de muncă dacă decide să implementeze un asemenea sistem.
Cui îi e frică de GDPR?
Noi ne-am luat o amendă, alături de alți jucători din piață.
GDPR a fost privit ca o glumă nevinovată de mulți. Sau ca un instrument de făcut bani într-un timp scurt.
Ce nu a fost înțeles este faptul că GDPR vine să te responsabilizeze. Să îți dai seama ca întreprindere că nu este în regulă ca datele personale să circule liber și să nu fie protejate. Să conștientizezi ca persoană fizică faptul că datele tale sunt importante. Și trebuie ocrotite.
Dacă ai ajuns până aici, înseamnă că te-ai întrebat dacă ești sau nu conform GDPR și ce poți face pentru a diminua riscurile. Misiunea avocatoo.ro este să îți explice GDPR-ul, nu doar să îți pună niște documente în brațe. Lasă-ne pe noi să ne ocupăm de problemele tale, iar tu să te ocupi de afacerea ta.
5 răspunsuri