Măsura vine în urma unei plângeri a unei persoane fizice, care a reclamat că i-au fost prelucrate datele cu caracter personal fără să-și fi dat acordul, în cadrul unei polițe de asigurare împotriva dezastrelor naturale de către o societate de asigurări, mandatată de operatorul Banca Transilvania S.A.
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a impus o amendă de 24.883 de lei (aproximativ 5.000 euro) Băncii Transilvania pentru nerespectarea reglementărilor stabilite de Regulamentul (UE) 2016/679. Investigarea acestui caz a fost inițiată ca urmare a unei plângeri depuse de o persoană fizică, care a semnalat că datele sale cu caracter personal au fost prelucrate fără consimțământul său, în cadrul unei polițe de asigurare împotriva dezastrelor naturale emise de o companie de asigurări, autorizată de Banca Transilvania.
În timpul investigației s-a constatat că persoana reclamantă, deși a încheiat și achitat integral un credit imobiliar la Banca Transilvania, a primit o poliță de asigurare împotriva dezastrelor naturale, legată de contractul de credit încheiat, care era deja stins. Acest lucru s-a întâmplat fără consimțământul explicit al petentului și fără permisiunea de a utiliza datele sale personale de către societatea de asigurări implicată. În plus, s-a aflat că Banca Transilvania a solicitat companiei de asigurări să emită mai multe polițe de asigurare, folosind datele cu caracter personal ale mai multor persoane, inclusiv ale petentului.
Astfel, în urma acestei situații, au fost prelucrate ilegal datele personale ale petentului, cum ar fi numele, prenumele, CNP-ul, numărul de telefon, adresa de e-mail, locuința asigurată și locația asigurată. Acest proces de prelucrare a datelor nu a respectat principiul „legalității, echității și transparenței” impus de Regulamentul General privind Protecția Datelor (RGPD), deoarece nu exista un temei legal pentru utilizarea acestor informații.
Pentru această încălcare, Banca Transilvania a fost sancționată cu amendă conform articolelor 5 alin. (1) lit. a) și 6 alin. (1) din RGPD. De asemenea, autoritatea a dispus măsuri corective, conform articolului 58 alin. (2) lit. b) din același regulament.
În acest sens, banca trebuie să implementeze măsuri pentru a asigura conformitatea cu RGPD în procesul de colectare și prelucrare a datelor personale. Printre aceste măsuri se numără stabilirea unor proceduri clare și instruirea periodică a angajaților implicați în procesarea datelor, pentru a preveni viitoare încălcări ale principiilor de legalitate.