ANSPDCP constată, tot mai multe abateri ale unor firme de vânzări, în ceea ce privește protecția datelor clienților
De foarte multe ori aceste date ajung pe mâna unor escroci, care le folosesc în scopuri ilicite
Nu e o noutate faptul că, cel puțin o dată pe săptămână, la cele mai diverse ore ale zilei, și cu o insistență agasantă, suntem deranjați de un EL sau o EA, de la o firmă de produse naturiste sau de la una de cosmetice, care ne invită la un eveniment, petrecut undeva în orașul în care trăim sau în cel vecin sau la o prezentare de modă, de produse, de…. Și, de fiecare dată, tu, om onest și la locul tău, te întrebi: ”De unde Dracul îmi cunoaște ăsta /asta numărul de telefon?!”
Cei care urmăresc fluxul național de știri ale diverselor publicații vor afla cum. Numai anul acesta presa națională a publicat o serie de abateri grave, de la păstrarea confidențialității datelor având caracter personal, pe care ignoranții, din unele firme, bănci sau instituții, oameni puși să opereze cu datele noastre, încalcă flagrant Regulamentul Autorității Naționale de Supraveghere a Datelor(ANSPDCP) având caracter personal. E vorba despre cei care trebuie să ia măsuri de protejare a datelor noastre și nu o fac.
Exemple de încălcare flagrantă a legislației
Iată câteva exemple descoperite de ANSPDCP doar anul trecut.
În 30 noiembrie 2024, aflăm de pe site-ul avocat.net că o bancă din România a fost amendată de instituția amintită cu 20 mii euro, din cauza accesului neautorizat al unor angajați , la datele având caracter personal. Culmea ignoranței sau relei-intenții a fost faptul că toate datele clienților fuseseră publicate pe site-ul băncii. Ba, mai mult, unul dintre cazurile descoperite de inspectorii ANSPDCP a implicat un angajat care a utilizat ilegal cererea de credit a unui client, chiar dacă acesta renunțase la cerere.
Angajatul respectiv a retras numerar de la ATM-uri și a efectuat transferuri bancare în numele mai multor persoane, afectând o gamă largă de date personale, inclusiv ”numele, prenumele, codul numeric personal, adresa de domiciliu/reședință și de corespondență, numărul de telefon fix/mobil, data nașterii, numele și adresa angajatorului, tipul de produs, starea produsului/contului, data acordării, termenul de acordare, sumele acordate, sumele datorate, data scadenței, valuta, frecvența plăților, suma plătită, rata lunară, sumele restante, numărul de rate restante, numărul de zile de întârziere, categoria de întârziere, data închiderii produsului, numărul de interogări, istoric tranzacții, contracte direct debit, depozite, cont economii, fonduri de investiții”, așa cum rezultă din ancheta ANSPDCP.
Firmă de telefonie care a lăsat la vedere datele personale ale clienților
O altă situație a fost aceea în care firma de telefonie Orange România SA a fost și ea sancționată, din cauza faptului că nu s-a conformat legislației privind confidențialitatea și siguranța datelor având caracter personal, date care aparțineau clienților companiei.
Firma a fost amendată și ea pentru că nu și-a instruit angajații care intră în contact cu datele clienților și nu cunosc obligațile pe care le au în folosirea acestor date.
Informații personale ”la liber” pe rețelele de socializare
Într-un alt caz, doi angajați au divulgat către un fost coleg, informații confidențiale despre tranzacțiile unui client prin intermediul rețelelor sociale Facebook, Messenger și WhatsApp. Astfel că aceste informații au ajuns, ulterior, la rudele clientului.
Un alt incident a implicat un angajat care a efectuat operațiuni ilegale în numele mai multor clienți și și-a permis, inclusiv modificarea datelor de contact, utilizarea serviciului Smart Mobile, deschiderea de conturi, solicitarea de credite, efectuarea de plăți și răscumpărarea de unități de fond.
Ancheta ANSPDCP a arătat faptul că operatorul economic nu avea o procedură de instruire și testare, periodic, a angajaților cu acces la datele personale ale clienților, că nu procedaseră la notificarea clientului și obținerea acordului scris al acestuia de a opera cu datele sale.
Într-o altă anchetă s-a constatat faptul că un anume operator care deținea un site de facturare on-line a servicilor sale a fost victima unui ataca cibernetic, prin care i-a fost furată baza de date a clienților, cu numele, prenumele, codul numeric personal, adresa de domiciliu, telefonul, adresa de e-mail, numărul de cont bancar.
Ce prevede legea?
Conform prevederilor legislației românești, inspirată din cea europeană, se impune și în România implementarea unor măsuri riguroase de păstrare a secretului acestor date, sub sancțiune penală, nu numai în instituțiile bacnare(IFN-uri), ci în toate instituțiile care au acces la datele personale ale unui client/angajat, acccesul fiind limitat strict la datele necesare îndeplinirii atribuțiilor de serviciu. De aceea firmele/instituțiile au obligația legală de verificare sistematică a modului în care angajații accesează și utilizează datele având caracter personal ale clienților sau angajaților lor.
