un blog de Radu Dumitru

►► canalele mele de YouTube: youtube.com/RaduDumitru (personal) și youtube.com/NwraduBlog (tech) ◄◄

Unicredit Bank a primit prima amendă din România pentru nerespectarea GDPR-ului

4 Jul 2019  ·

TEHNOLOGIE  ·

21 comentarii

Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal a anunțat astăzi prima amendă dată în România pentru nerespectarea regulamentului GDPR privind protecția datelor: 130.000 de euro la Unicredit Bank.

Ce anume făcea greșit Unicredit?

Aceasta a condus la dezvăluirea în documentele ce conţin detaliile tranzacţiilor şi care sunt puse on-line la dispoziţia clienţilor beneficiari ai plăţilor, a datelor privind CNP-ul și adresa plătitorului (pentru situaţiile în care plătitorul efectua tranzacţia dintr-un cont deschis la o alta instituţie de credit – tranzacţii externe şi depuneri la casierie), respectiv a datelor privind adresa plătitorului (pentru situaţiile în care plătitorul efectua tranzacţia dintr-un cont deschis la UNICREDIT BANK SA – tranzacţii interne), pentru un număr de 337.042 persoane vizate, în perioada 25 mai 2018 – 10.12.2018

Sancțiunea a fost aplicată ca urmare a unei sesizări a Autorității Naţionale de Supraveghere din data de 22.11.2018 prin care se semnala faptul că datele privind CNP-ul și adresa persoanelor care efectuau plăți la UNICREDIT BANK S.A., prin intermediul tranzacțiilor on-line, erau dezvăluite către beneficiarul tranzacției, prin formularele de extras de cont/detalii.

Adică o problemă destul de serioasă, mi se pare mie. Dacă tu făceai cuiva o plată, persoana sau firma care primea banii îți afla și CNP-ul și adresa, ceea ce n-ar trebui să afle, că poate nu vrei să-ți sune apoi la ușă sau să știe astfel de date despre tine. Având în vedere că problema a afectat 337.042 de persoane, amenda pare chiar mică; pentru o bancă suma de 130.000 de euro nu-i vreo mare scofală.

Totuși, 130.000 de euro. Când riști asemenea amenzi (și acestea pot merge spre milioane de euro), dintr-o dată costurile cu pregătirea temeinică pentru implementarea GDPR nu mai par mari, oricât ar costa un consultant bun și apoi timpul investit de o armată de oameni în verificarea și refacerea unor proceduri.

Mă gândesc că, în situația de aici, pur și simplu nu s-a gândit nimeni că acele date ajung la beneficiarul plății. Asta înseamnă să nu iei la analizat fiecare procedură și fiecare sistem în parte ca să te asiguri că sunt conforme. Și observați că totul a pornit de la o sesizare primită de ANSPDCP. Poate că tu, compania, nu observi astfel de probleme și n-ai chef să le iei la verificat. Nu-i nimic, în timp le observă alții și ar putea fi deranjați de ele.

Am explicat aici recent de ce este bun GDPR-ul, dincolo de faptul că te enervează pe diverse site-uri cerându-ți acordul pentru cookie-uri și publicitate relevantă.

sursa: Tudor Galoș, care știe bine GDPR-ul, dacă aveți nevoie de un specialist.

    21 comentarii

  1. 337.042 de persoane, amenda pare chiar mică; pentru o bancă suma de 130.000 de euro nu-i vreo mare scofală.

    E o gluma, nu e mica. E abuziv de mica iar aia ANSPDCP ar trebui sa puna lacatul si sa plece, probabil sunt niste spagari. Pai cum ramane cu “4% of annual global turnover or €20 million – whichever is greater.. CA-ul lor in 2017 era de vreo 180mil eur, parca. Macar puteau sa le dea amenda la “whichever is smaller”, lol. Ca tot iesea de vreo 11 milioane de euro asa.
    Da 130 000 ? De circa 100 de ori mai putin? Pai asta e bataie de joc si invitatie la incalcat legea.

      (Citează)

    • Si eu sunt curioasa cum au ajuns la suma asta. Or fi calculat 4% din valoarea comisionului aferent respectivelor tranzactii?

        (Citează)

    • niciunul dintre voi nu citeste textele complet.

      Inaintea textului citat exista: ” Infringement of the EU GDPR can result in administrative fines of up to ”

      acel UP TO inseamna maxim.

      inseamna ca tehnic le pot da amenda de 0.01 centi. ca e “UP TO 4% of annual global turnover or €20 million – whichever is greater”

        (Citează)

  2. asa-i cand oferi servicii bancare la maimute, te dau in gat.
    care ati facut reclamatie ba sugarilor?

    oricum amendarea asta e degeaba, nu asta e scopul gdpr.
    amenda ar fi trebuit la ceva firma care strange la gramada date personale, si apoi le tine publice.
    sau ceva site care sa fi scapat date personale.

    nu o functionalitate de la banca la care NU S-A GANDIT NIMENI ca vine un bou si o vede ca breach in gdpr.

      (Citează)

    • Domnu’ taximetrist, scopul GDPR e tocmai sa se gandeasca cineva din firma la protectia datelor, sa nu mai ajunga peste tot fara aprobarea posesorului. Si daca cineva o vede ca breach in GDPR, inseamna ca e breach in GDPR, nu? Si o lege are sens daca devierile de la lege sunt pedepsite, nu?

        (Citează)

  3. Este la fel si la ING. Chiar ieri am trimis cuiva niste bani intr-un cont de AlphaBank.
    La detalii tranzactii din contul AlphaBank apare numele, cnp-ul si adresa mea, plus alte date care nu stiu ce inseamna.

      (Citează)

    • La mine nu-i la fel. Probabil ai trimis la detaliile de plata CNP-ul. Fac multe transferuri din ING spre alte banci si nu apare in celelalte banci nimic in afara de numele celui care a facut tranzactia.

        (Citează)

    • Si atunci adresa de unde apare? Am scris doar un scurt text “bla blabla” la detalii atat, iban-ul, suma numele si atat, cand faci transfer din home bank altceva nu apare de completat.

        (Citează)

    • Am testat acum din nou cu o alta persoana. Un transfer mic de 10 lei din ING homebank intr-un cont alphabank. La detalii tranzactii de la alpha bank apare cnp-ul si adresa persoanei care a trimis banii. Se poate face reclamatie undeva?

        (Citează)

  4. matthers:
    “UP TO 4% of annual global turnover or €20 million – whichever is greater”

    Din acel “whichever is greater” eu inteleg ca amenda este suma mai mare dintre (i) 4% din cifra de afaceri globala si (ii) 20mil. euro.

      (Citează)

    • A.: Din acel “whichever is greater” eu inteleg ca amenda este suma mai mare dintre (i) 4% din cifra de afaceri globala si (ii) 20mil. euro.

      you can use UP TO 99% of the internet….but you’re not….

      daca as putea avea o super putere, mi-ar place sa fac oamenii de pe internet care comenteaza din auzite, fara sa cerceteze informatia in minim 2 surse legit(nu click.ro si cancan.ro) sa-si piarda dreptul la orice postare pe internet.

      Va rog frumos oameni, cititi ce semnatati, cercetati ce vreti sa vorbiti. Fie ca e internetul sau barfa la munca.

        (Citează)

  5. A.: Din acel “whichever is greater” eu inteleg ca amenda este suma mai mare dintre (i) 4% din cifra de afaceri globala si (ii) 20mil. euro.

    Not really. De fapt este :
    UP TO 4% of [ (annual global turnover) OR (€20 million )– whichever is greater]

    Adica 4% din varianta maxima, nu maximul dintre (4% cifra-afaceri) sau (20mil)

      (Citează)

  6. Eu sper doar ca aceasta institutie sa nu devina/fie un fel de CNA, o maciuca in mana celor la putere care sa loveasca doar in cine trebuie.

      (Citează)

  7. 130 000 de euro pentru Unicredit e ca 130 000 de lei vechi pentru mine.

      (Citează)

  8. nu ai inteles nimic, stai jos.

    Mishu:
    Eu sper doar ca aceasta institutie sa nu devina/fie un fel de CNA, o maciuca in mana celor la putere care sa loveasca doar in cine trebuie.

      (Citează)

  9. Nu are neapărat legătură cu amendarea Unicredit, dar pentru a oferi și contextul necesar.
    Utilizarea CNP la instrumentele de plată are și o explicație practică. Deși nu este element obligatoriu pe factură, multe firme cer CNP pentru că:

    – așa a înțeles contabilul lor din Codul Fiscal;

    – Pentru că nu se validează declarația 394 pe care orice firmă trebuie să o facă. Din această cauză, pentru a nu sta să bibilească și să piardă timp pentru a „hăcui” „aplicația”, o bună parte preferă pur și simplu să pună CNP.

      (Citează)

    • Declaratia 394 se valideaza la persoane fizice doar pe baza judetului, nu trebuie hackuit nimic. Daca contabilul respectiv stie altceva, este timpul sa fie schimbat

        (Citează)

  10. Si ontopic, cumva. Unicredit are un grup tinta de clienti, axat pe o categorie aparte de persoane juridice. Gama lor de produse pentru persoane fizice este foarte restransa.

      (Citează)

  11. Am lucrat la Unicredit pana la sfarsitul anului trecut pe partea de IT si eu am fost parte din echipa care a testat GDPRul pentru reprezentantii clientilor unicredit (deci nu are treaba cu motivul pentru care au fost amendati )
    Nu am vazut o firma in care sa se lucreze atat de haosat, nu stie stanga ce face dreapta, managerii mari sunt interesati doar sa livreze, nu sa livreze si ce trebuie. Nu ma mira ca au aparut astfel de nereguli. Ma mira ca asta e abia prima care apare.

      (Citează)

  12. haosat??
    si vezi ce iti umbla gura aia sloboda.

    sorin: haosat

      (Citează)

    Alătură-te discuției, lasă un mesaj

    E-mail-ul nu va fi publicat. Fără înjurături și cuvinte grele, că vorbim prietenește aici. Gândiți-vă de două ori înainte de a publica. Nu o luați pe arătură doar pentru că aveți un monitor în față și nu o persoană reală.

    Apăsați pe Citează pentru a cita întreg comentariul cuiva sau selectați întâi anumite cuvinte și apăsați apoi pe Citează pentru a le prelua doar pe acelea. Link-urile către alte site-uri, dar care au legătură cu subiectul discuției, sunt ok.


    Prin trimiterea comentariului acceptați politica de confidențialitate a site-ului.



    Vreți un avatar în comentarii? Mergeți pe gravatar.com (un serviciu Wordpress) și asociați o imagine cu adresa de email cu care comentați.

    Dacă ați bifat să fiți anunțați prin email de noi comentarii sau posturi, veți primi inițial un email de confirmare. Dacă nu validați acolo alegerea, nu se va activa sistemul și după un timp nu veți mai primi nici alte emailuri

    Comentariile nu se pot edita ulterior, așa că verificați ce ați scris. Dacă vreți să mai adăugați ceva, lăsați un nou comentariu.

sus