Divulgare neautorizata a datelor cu caracter personal ale unei persoane fizice (client) pe retelele de socializare

Astfel, institutia bancara ne-a informat cu privire la faptul ca, in urma unei sesizari efectuata de catre un client (tert de situatie), a luat la cunostinta despre producerea unui incident de securitate, constand in dezvaluirea in spatiul public (on-line) a declaratiei solicitata de operator unui client al sau cu privire la modul in care intentiona sa utilizeze o anumita suma de bani pe care acesta dorea sa o ridice din contul sau. Aceasta declaratie a fost distribuita intre cativa angajati ai bancii pe adresele de e-mail de serviciu . Unul dintre angajati a listat e-mailul ce continea declaratia clientului, precum si e-mailul ce continea conversatia interna intre angajatii operatorului. Un alt angajat a fotografiat cu telefonul mobil inscrisul listat si l-a distribuit prin intermediul aplicatiei WhatsApp. Ulterior, inscrisul listat a fost postat si distribuit pe reteaua de socializare Facebook si pe un site.

Din investigatia efectuata in acest caz, a rezultat ca institutia bancara a incalcat prevederile art. 32 alin. (1) si alin. (2) din Regulamentul (UE) 2016/679, deoarece nu a implementat masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator riscului prelucrarii. Aceasta a condus la divulgarea neautorizata si accesul neautorizat la datele cu caracter personal (nume si prenume, adrese de e-mail, date comportamentale, preferinte personale, valoare tranzactie financiara, adresa locului de munca, functia si locul muncii, numar de telefon de serviciu) a 4 persoane fizice vizate (un client si 3 angajati proprii), prin dezvaluirea in spatiul public a unei conversatii, prin intermediul postei electronice (clasificata de ``uz intern``) intre angajatii proprii, listata, fotografiata cu telefonul mobil si dezvaluita pe retelele de socializare, desi potrivit art. 5 lit. f) din Regulamentul (UE) 2016/679, operatorul avea obligatia de a respecta principiul ``integritate si confidentialitate``.

Totodata, s-a constatat ca dezvaluirea produsa probeaza ineficienta instruirii interne a angajatilor operatorului privind obligatiile acestora referitoare la protectia datelor cu caracter personal ale persoanelor vizate, inclusiv a masurilor pe care operatorul era obligat sa le ia, potrivit art. 32 alin. (4) din Regulamentul (UE) 2016/679, pentru a asigura faptul ca orice persoana care actioneaza sub autoritatea sa nu prelucreaza date cu caracter personal decat la cererea sa.

De asemenea, ca urmare a sesizarii primite din partea persoanei vizate afectata de incidentul de securitate, Autoritatea nationala de supraveghere a constatat ca, dezvaluirea datelor cu caracter personal in spatiul public a generat o serie de prejudicii de natura morala, precum si alte dezavantaje semnificative de natura economica sau sociala pentru aceasta.

In urma investigatiei efectuate, Autoritatea nationala de supraveghere a sanctionat operatorul cu amenda in cuantum de 487.380,00 lei (echivalentul a 100.000 EURO), pentru incalcarea prevederilor art. 32 alin. (1) si alin. (2) din Regulamentul (UE) 2016/679.