L’autorité de contrôle nationale a finalisé une enquête avec la Banca Comerciala Romana S.A. en avril et a constaté que les dispositions de l’article 5, paragraphe 1, lettres a) et d) avaient été enfreintes, de l’article 5, paragraphe 2) et de l’article 6 du RGPD du règlement général sur la protection des données.
La Banca Comerciala Romana S.A., en tant qu’opérateur, a été sanctionnée par une amende de 9,855,8 lei (l’équivalent de 2.000 euros).
L’enquête a été ouverte à la suite de la réception d’une plainte alléguant que Banca Comerciala Romana S.A. avait, sans consentement, utilisé les données personnelles d’une personne physique dans le cadre d’une procédure d’exécution pour des dettes résultant d’un contrat de crédit dont il n’avait aucune connaissance.
Le demandeur se plaignait donc que ses données personnelles avaient été utilisées sans consentement à des fins autres que celles qu’il avait autorisées, et que l’utilisation d’une adresse qui n’était plus à jour et pour laquelle il considérait que la banque avait accédé illégalement à une base de données. Elle s’est également plainte d’avoir omis de fournir des informations sur la source de la collecte de ces informations conformément à l’article 14 du RGPD, ainsi que sur l’absence de réponse à plusieurs demandes formulées par la BCR S.A.
Au cours de l’enquête, l’Autorité nationale de contrôle a constaté que Banca Comerciala Romana S.A. avait traité les données à caractère personnel du demandeur sans base juridique en attribuant par erreur le statut de garant en 2019, The extraction of unup-les données à jour, l’utilisation et la divulgation de ses données à caractère personnel, dans le cadre des procédures de notification effectuées par l’établissement d’un exécuteur judiciaire, concernant les arriérés d’un contrat de crédit accumulé par une société commerciale, un client bancaire, avec lequel le demandeur n’avait aucune relation, en violation de l’article 5, paragraphe 1, lettres a) et (d) et de l’article 5, paragraphe 2) et de l’article 6 du RGPD.
L’autorité de contrôle nationale a appliqué à l’opérateur Banca Comerciala Romana S.A. et la mesure corrective pour assurer le respect du RGPD des opérations de collecte et de traitement ultérieur des données à caractère personnel en mettant en œuvre des méthodes efficaces de respect de la l’exactitude et l’actualité des données, à partir du moment où les données sont collectées et saisies dans la base de données de l’opérateur et tout au long de la période de traitement; à cette fin, des mesures de sécurité appropriées et efficaces seront envisagées, tant techniquement en termes de suppression de données inexactes/obsolètes qu’en termes d’organisation, grâce à la formation régulière des sous-traitants de données sous l’autorité du responsable du traitement.
À cet égard, le considérant 39 du RGPD stipule que « Tout traitement de données à caractère personnel devrait être licite et loyal. (…) Il y a lieu de prendre toutes les mesures raisonnables afin de garantir que les données à caractère personnel qui sont inexactes sont rectifiées ou supprimées. »
En ce qui concerne la légalité du traitement, le considérant (40) du RGPD indique que: « Pour être licite, le traitement de données à caractère personnel devrait être fondé sur le consentement de la personne concernée ou reposer sur tout autre fondement légitime prévu par la loi, soit dans le présent règlement soit dans une autre disposition du droit national ou du droit de l’Union, ainsi que le prévoit le présent règlement, y compris la nécessité de respecter l’obligation légale à laquelle le responsable du traitement est soumis ou la nécessité d’exécuter un contrat auquel la personne concernée est partie ou pour prendre des mesures précontractuelles à la demande de la personne concernée. »