ING Bank, amendată cu 3.000 de euro pentru că a trimis un e-mail unui fost client

ING Bank a fost amendată cu 3.000 de euro pentru încălcarea prevederilor privind datele personale, după ce a trimis un mail unei persoane fizice care renunţase la serviciile băncii încă din 2017.

„Autoritatea Naţională de Supraveghere a finalizat în data de 07.12.2020 o investigaţie la operatorul ING Bank N.V. Amsterdam – Sucursala Bucureşti şi a constatat încălcarea dispoziţiilor art. 5 alin. (1) lit. a)-d) raportat la art. 6 alin. (1) din Regulamentul General privind Protecţia Datelor.

Operatorul ING Bank N.V. Amsterdam – Sucursala Bucureşti a fost sancţionat contravenţional cu amendă în cuantum de 14.619,9 lei (echivalentul a 3.000 EURO).

Sancţiunea a fost aplicată operatorului ca urmare a faptului că acesta a prelucrat datele cu caracter personal ale unei persoane fizice ulterior încheierii relaţiei contractuale cu ING Bank”, a informat autoritatea.

În cursul desfăşurării investigaţiei, Autoritatea Naţională de Supraveghere a constatat că operatorul  a transmis pe adresa de e-mail a unei persoane fizice mesaje referitoare la actualizarea datelor sale cu caracter personal, deşi aceasta solicitase pe data de 24.11.2017 închiderea ultimului produs bancar deţinut, respectiv un cont curent.  

De asemenea, s-a constatat că, urmare a unei erori de sistem, această cerere de închidere a contului curent nu a avut ca efect şi închiderea relaţiei de afaceri cu operatorul, aceasta fiind păstrată în continuare cu status „activ”.  

Această situaţie a condus la prelucrarea datelor cu caracter personal (adresa de e-mail, numele şi prenumele, data de expirare a cărţii de identitate) cu încălcarea prevederilor art. 5 alin. (1) lit. a)-d) din RGPD şi fără îndeplinirea condiţiilor de legalitate a prelucrării, aşa cum sunt prevăzute în art. 6 alin. (1) din RGPD.

În acest context, menţionăm că art. 5 din RGPD reglementează principiile legate de prelucrarea datelor cu caracter personal, conform cărora datele cu caracter personal trebuie să fie:

a) prelucrate în mod legal, echitabil şi transparent faţă de persoana vizată ("legalitate, echitate şi transparenţă");

b) colectate în scopuri determinate, explicite şi legitime şi nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri;

c) adecvate, relevante şi limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate ("reducerea la minimum a datelor")

d) exacte şi, în cazul în care este necesar, să fie actualizate; trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt şterse sau rectificate fără întârziere ("exactitate");