Banca Transilvania, amendată de Autoritatea pentru Protecția Datelor după ce un angajat a accesat neautorizat conturile unui client

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a sancționat Banca Transilvania S.A. cu o amendă de 26.172 de lei, echivalentul a 5.000 de euro, după ce a constatat că un angajat al băncii a accesat neautorizat extrasele unor conturi bancare ale unui client, în afara atribuțiilor de serviciu.
Investigația ANSPDCP a fost finalizată în luna iunie 2026 și a pornit de la plângerea unei persoane fizice. Aceasta a reclamat că datele sale personale asociate contului bancar au fost prelucrate fără acordul său.
Potrivit autorității, verificările au arătat că un angajat al Băncii Transilvania, la solicitarea unui terț, a accesat în mod neautorizat extrase ale unor conturi aparținând persoanei vizate. Accesarea s-a făcut în afara atribuțiilor de serviciu și în scop personal.
Datele afectate au inclus numele și prenumele clientului, numărul contului bancar (IBAN), tipul de cont, codul de client, informații despre tranzacții și soldul conturilor.
ANSPDCP: Banca nu a asigurat un nivel adecvat de securitate
Autoritatea pentru Protecția Datelor a constatat că Banca Transilvania nu a implementat măsuri tehnice și organizatorice suficiente pentru a asigura un nivel de securitate corespunzător riscului prezentat de prelucrarea datelor.
Concret, ANSPDCP arată că banca trebuia să se asigure că angajații care acționează sub autoritatea sa și care au acces la datele personale ale clienților nu le prelucrează decât la cererea operatorului și în limitele atribuțiilor de serviciu.
Lipsa acestor măsuri a permis, potrivit autorității, accesarea neautorizată, în scop personal, a datelor clientului.
Încălcarea Regulamentului european privind protecția datelor
Banca Transilvania a fost sancționată pentru încălcarea articolului 32 alineatele (1), (2) și (4) din Regulamentul general privind protecția datelor — GDPR. Aceste prevederi se referă la securitatea prelucrării datelor și la obligația operatorilor de a lua măsuri adecvate pentru protejarea informațiilor personale.
În stabilirea sancțiunii, ANSPDCP a avut în vedere criteriile prevăzute de articolul 83 alineatul (2) din Regulamentul (UE) 2016/679, care vizează, printre altele, natura, gravitatea și durata încălcării, precum și măsurile luate de operator.
Pe lângă amendă, autoritatea a dispus și o măsură corectivă. Banca Transilvania trebuie să asigure conformitatea operațiunilor de prelucrare a datelor personale cu GDPR, prin implementarea unor măsuri tehnice și organizatorice adecvate, astfel încât să fie prevenit accesul ilegal, în interes personal, al angajaților la datele persoanelor fizice.
Potrivit ANSPDCP, Banca Transilvania a achitat amenda contravențională aplicată.