Încălcarea GDPR prin acces ilegal la conturi
Banca Transilvania a fost sancționată de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) cu o amendă de 26.172 de lei (aproximativ 5.000 de euro) în luna iunie 2026, după ce un angajat a accesat neautorizat extrasele unor conturi bancare ale unui client. Această decizie subliniază importanța stringentă a securității datelor cu caracter personal în sectorul bancar românesc. "Banca nu a asigurat un nivel adecvat de securitate pentru a preveni accesul ilegal, în interes personal, al angajaților la datele persoanelor fizice," a declarat un reprezentant al ANSPDCP, citat în comunicatul oficial al autorității.
Investigația ANSPDCP, finalizată în iunie 2026, a fost demarată în urma plângerii unei persoane fizice care a reclamat prelucrarea fără acord a datelor sale bancare. Verificările au scos la iveală faptul că un angajat al Băncii Transilvania, la solicitarea unui terț și în afara atribuțiilor de serviciu, a accesat informații sensibile. Datele afectate includ numele și prenumele clientului, numărul contului bancar (IBAN), tipul de cont, codul de client, detalii despre tranzacții și soldul conturilor. Atât Digi24, cât și Evenimentul Zilei au relatat despre această situație, confirmând detaliile amenzii și natura încălcării.
Autoritatea a constatat că Banca Transilvania nu a implementat măsuri tehnice și organizatorice suficiente pentru a asigura un nivel de securitate corespunzător riscului prezentat de prelucrarea datelor. Această deficiență a permis accesul neautorizat și utilizarea datelor în scop personal, o încălcare flagrantă a principiilor de confidențialitate. Potrivit ANSPDCP, banca avea obligația de a se asigura că angajații săi care au acces la datele clienților le prelucrează exclusiv la cererea operatorului și în limitele stricte ale atribuțiilor de serviciu.
Sancțiunea a fost aplicată pentru încălcarea articolelor 32 alineatele (1), (2) și (4) din Regulamentul General privind Protecția Datelor (GDPR), Regulamentul (UE) 2016/679, care se referă la securitatea prelucrării datelor. Aceste prevederi impun operatorilor de date să ia măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate corespunzător riscului, inclusiv măsuri pentru a preveni accesul neautorizat la datele cu caracter personal. Criteriile luate în considerare la stabilirea amenzii, conform articolului 83 alineatul (2) din GDPR, au inclus natura, gravitatea și durata încălcării, precum și măsurile corective luate de operator.
Pe lângă amenda pecuniară, ANSPDCP a impus și o măsură corectivă, solicitând Băncii Transilvania să asigure conformitatea operațiunilor de prelucrare a datelor personale cu GDPR. Aceasta implică implementarea unor măsuri tehnice și organizatorice adecvate pentru a preveni pe viitor accesul ilegal și în interes personal al angajaților la datele clienților. Banca Transilvania a achitat deja amenda contravențională aplicată, conform comunicatului ANSPDCP, ceea ce indică o recunoaștere a responsabilității.
Contextul european arată că astfel de încălcări nu sunt izolate. În ultimii ani, numeroase instituții financiare din UE au fost amendate pentru deficiențe similare în protecția datelor. De exemplu, în 2023, o bancă importantă din Germania a primit o amendă de peste 1 milion de euro pentru neaplicarea unor măsuri de securitate adecvate, iar în Franța, autoritatea de protecție a datelor a aplicat sancțiuni semnificative pentru scurgeri de date cauzate de neglijența internă. Aceste cazuri subliniază o tendință generală de intensificare a controalelor și sancțiunilor în materie de GDPR, cu un accent deosebit pe sectorul bancar, unde volumul și sensibilitatea datelor prelucrate sunt extrem de ridicate. În România, incidentele de acest gen au crescut constant, ANSPDCP raportând o creștere de 15% a numărului de plângeri legate de prelucrarea datelor cu caracter personal în 2025 comparativ cu anul anterior.
De ce contează
Acest incident este semnificativ deoarece subliniază vulnerabilitățile persistente în sistemele de protecție a datelor personale, chiar și în instituții financiare de anvergură. Pentru clienți, amenda aplicată Băncii Transilvania reconfirmă dreptul fundamental la confidențialitatea datelor și rolul esențial al ANSPDCP în aplicarea GDPR. Pentru bănci, este un avertisment clar că măsurile de securitate trebuie să fie robuste și constant actualizate, iar instruirea angajaților este crucială. Ignorarea acestor aspecte poate duce nu doar la amenzi substanțiale, ci și la pierderea încrederii clienților și la daune reputaționale semnificative.
Pe viitor, este de așteptat ca ANSPDCP să continue să monitorizeze cu strictețe respectarea GDPR în sectorul bancar. Băncile vor fi probabil nevoite să investească și mai mult în tehnologii de securitate avansate, cum ar fi sistemele de monitorizare a accesului și inteligența artificială pentru detectarea anomaliilor, precum și în programe de formare continuă pentru personalul lor. Rămâne de văzut dacă această amendă va fi un catalizator pentru o revizuire amplă a politicilor interne de securitate la nivelul întregului sistem bancar românesc, având în vedere că incidentele de acest tip pot submina grav încrederea publicului.
Transparența și responsabilitatea în gestionarea datelor personale devin imperative într-o eră digitală în care riscurile cibernetice sunt în continuă creștere.