De ce a fost anulata amenda de 80.000 de euro primita de ING dupa dublarea platilor facute cu cardul

Autor: Paul Nedelcu - Redactor
Vineri, 12 Februarie 2021, ora 04:12
9487 citiri
De ce a fost anulata amenda de 80.000 de euro primita de ING dupa dublarea platilor facute cu cardul

Autoritatea Nationala de Supraveghere a Datelor cu Caracter Personal (ANSPDCP) a amendat in noiembrie 2019 ING Bank cu 80.000 de euro pentru incalcarea regulamentului GDPR. ING a contestat amenda in instanta, iar Tribunalul Bucuresti a anulat sanctiunea. Sentinta nu este definitiva.

In noiembrie 2019, ANSPDCP anunta ca a amendat ING Bank cu 80.000 de euro pentru ca "a incalcat prevederile art. 25 alin. (1) coroborat cu art. 5 alin. 1 lit. f) din RGPD". Investigatia asupra bancii a fost declansata dupa ce platile cu cardul ale mai multor clienti au fost dublate.

"Operatorul nu a asigurat respectarea principiului protectiei datelor incepand cu momentul conceperii si cel al protectiei implicite a datelor (privacy by design si privacy by default), intrucat nu a procedat la adoptarea de masuri tehnice si organizatorice corespunzatoare, privind integrarea de garantii adecvate in sistemul automatizat de prelucrare a datelor in cadrul procesului de decontare al tranzactiilor cu cardul, fiind afectat un numar de 225.525 de clienti ale caror operatiuni de plata au fost dublate in perioada 8-10.10.2018", anunta Autoritatea de Supraveghere a Datelor cu Caracter personal dupa aplicarea amenzii.

Sanctiunea, contestata in instanta

Printr-un proces deschis la Tribunalul Bucuresti, ING a dat in judecata ADSPDCP cerand anularea amenzii de 80.000 de euro. In proces, ING a aratat ca "incidentul operational din data de 08.10.2018 vizat de investigatie se refera la dublarea anumitor operatiuni de plata efectuate cu carduri bancare emise de Ing Bank, ca urmare a unei erori umane ce a condus la procesarea de doua ori a fisierului de plati".

Banca a mai aratat in proces ca pentru decontarea platilor cu cardul sunt procesate fisiere de plati individualizate pentru fiecare zi calendaristica continand tranzactiile cu cardul aferente zilei respective.

In cazul tranzactiilor efectuate in zilele de sambata si duminica sau in zilele de sarbatoare legala, tranzactiile sunt inregistrate in cadrul cate unui astfel de fisier si fisierele respective sunt procesate in cursul zilei de luni sau in prima zi lucratoare ulterioara sarbatorii legale, astfel ca in aceste zile sunt procesate mai multe astfel de fisiere in aceeasi zi.

ING a mai aratat ca incidentul cu dublarea platilor a avut loc din cauza ca in aplicatia interna doi angajati au procesat un fisier de plati in paralel. "Cei doi angajati ai ING Bank sunt persoane autorizate si au atributii de procesare a fisierelor de plati, conform fisei postului, iar incidentul operational nu a afectat datele cu caracter personal apartinand persoanelor ale caror tranzactii au fost dublate", au sustinut reprezentantii bancii in proces.

De ce a fost anulata amenda

In urma procesului, Tribunalul Bucuresti a anulat amenda de 80.000 de euro aplicata ING, care a primit si o amenda de 20.000 de lei de la Protectia Consumatorului, aratand ca "din inscrisurile depuse la dosar reiese ca datele cu caracter personal ale clientilor ING au ramas neafectate de incidentul operational".

"Acesta nu a determinat divulgarea datelor cu caracter personal ale clientilor ING Bank catre terte parti neautorizate si nici vreun alt fel de acces neautorizat la datele cu caracter personal ale clientilor ING Bank. Aspectul legat de dublarea acelorasi informatii corecte, a caror exactitate nu a fost in vreun fel alterata/deteriorata dublarea informatiei nu echivaleaza cu alterarea/deteriorarea informatiei, acest fapt rezultand din faptul ca ING a reusit in aproximativ 12 ore de la incident sa reverseze tranzactiile dublate", arata Tribunalul Bucuresti.

Judecatorii au mai aratat ca avand in vedere ca datele cu caracter personal ale clientilor ING Bank nu au fost afectate, nu exista un prejudiciu, iar in ce priveste riscurile de natura operationala, efectele acestora au fost inlaturate prin masurile de atenuare si remediere luate.

"Instanta retine ca ING Bank a luat masuri adecvate pentru a asigura securitatea activitatilor de prelucrare a datelor cu caracter personal, dat fiind faptul ca anterior datei de 08.10.2018 nu au mai existat alte astfel de incidente operationale.

In situatia in care la nivelul ING Bank nu ar fi fost implementate masuri tehnice sau organizatorice adecvate potrivit principiului stabilit la art. 5 alin. (1) lit. f) din RGPD, reclamanta nu ar fi putut sa identifice imediat incidentul operational, sa procedeze la analiza acestuia si sa evalueze riscurile, sa informeze clientii ING Bank prin mai multe canale de comunicare si sa remedieze in aproximativ 6 ore efectele produse de respectivul incident", a mai aratat Tribunalul Bucuresti, in sentinta de anulare a amenzii, care nu este definitiva, fiind atacata cu apel la Curtea de Apel Bucuresti.

Citeste si:
Moartea lui Emi Pian, fostul lider al Duduienilor, naște controverse juridice: Cuțitul e obiect tăietor sau contondent?
Moartea lui Emi Pian, fostul lider al Duduienilor, naște controverse juridice: Cuțitul e obiect tăietor sau contondent?
Procesul ucigașului lui Florin Mototolea zis „Emi Pian” s-a complicat cu o veritabilă problemă de drept: e sau nu tentativă de omor dacă lovești adversarul cu partea netăioasă a lamei...
Google plăteşte 90 de milioane de dolari pentru a scăpa de un proces legat de comisioanele percepute de la dezvoltatorii de aplicaţii
Google plăteşte 90 de milioane de dolari pentru a scăpa de un proces legat de comisioanele percepute de la dezvoltatorii de aplicaţii
Pentru a determina dezvoltatorii din Statele Unite să renunţe la un proces care vizează comisionul perceput pentru aplicaţiile distribuite prin Play Store, Google plăteşte 90 de milioane de...