Banca olandeză ING a fost obligată să de Autoritatea Națională pentru Protecția Consumatorilor (ANPC) să recalculeze dobânzile pentru aproape 100.000 de credite, iar Raiffeisen, cu capital austriac, a fost amendată cu 20.000 de euro pentru încălcarea prevederilor Regulamentului UE privind protecția datelor cu caracter personal (GDPR).
ANPC a obligat ING să recalculeze dobânzile pe baza OUG 50/2010. Banca este acuzată că a obligat clienții să plătească două marje de dobândă, deși legea spune că poate fi utilizată una singură. Creditele vizate de ANPC sunt cele acordate de ING Bank în urmă cu peste 14 ani, iar marja de dobândă care ar fi ilegală a fost aplicată în urma crizei economice de atunci pentru aproximativ 90.000 de credite.
Dobânda aplicată creditelor ING ar fi trebuit să fie compusă din dobânda de referință a băncii și marja băncii. Banca a luat însă decizia că dobânda să fie calculată ca EURIBOR/ROBOR + marja băncii + procent fix (calculat ca diferență între dobânda de referință a băncii și EURIBOR/ROBOR), potrivit unui material publicat de Ziare.com
ANPC vrea să oblige ING Bank să excludă procentul fix din formula de calcul a dobânzii „așadar să mențină o formulă de dobândă compusă din EURIBOR / ROBOR + marjă” și „să restituie toate sumele presupus încasate fără temei legal de la fiecare consumator prejudiciat, ca urmare a introducerii procentului fix, sume actualizate la data restituirii”.
ING Bank a contestat decizia și a cerut suspendarea măsurilor ANPC până la rezolvarea pe fond a dosarului, proces care poate dura mai mulți ani. Banca olandeză estimează că, pentru recalculare, ar fi necesare 291.000 ore de lucru, care ar crea un cost de aproximativ 22.400.000 de lei. Mai mult, creditarea și administrarea creditelor ar trebui suspendate și ar fi necesari încă 185 de angajați față de cei 87 care se ocupă în prezent de activitatea de creditare.
În paralel, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a finalizat, în luna octombrie 2024, o investigație la finalul căreia a amendat cu 20.000 de euro Raiffeisen Bank pentru trei situații de încălcare a prevederilor Regulamentului UE privind protecția datelor cu caracter personal (GDPR).
Investigația a fost demarată ca urmare a faptului că Raiffeisen Bank a transmis Autorității Naționale de Supraveghere trei notificări cu privire la producerea unor încălcări a securității datelor cu caracter personal.
Într-un prim caz, banca a fost sesizată de către un client care reclama contractarea unui credit în numele său. În cadrul investigației s-a constatat că un angajat al operatorului a utilizat în mod nelegal cererea de credit a clientului, precum și celelalte documente aferente acestei cereri, desi clientul anunțase Raiffeisen Bank S.A. că renunță la această cerere.
Angajatul operatorului a efectuat tranzacții de retragere numerar de la ATM și operațiuni de transfer bancar în numele mai multor persoane vizate, fiind afectate următoarele categorii de date cu caracter personal: numele, prenumele, codul numeric personal, adresa de domiciliu/reședința și de corespondență, numărul de telefon fix/mobil, data nașterii, numele și adresa angajatorului, ip-ul de produs, starea produsului/contului, data acordării, termenul de acordare, sumele acordate, sumele datorate, data scadenței, valuta, frecvența plaților, suma plătită, rata lunară, sumele restante, numărul de rate restante, numărul de zile de întârziere, categoria de întârziere, data închiderii produsului, numărul de interogări, istoric tranzacții, contracte direct debit, depozite, cont economii, fonduri de investiții.
Ca atare, s-a constatat că operatorul Raiffeisen Bank nu a luat măsuri pentru a asigura că orice persoană fizică care acționează sub autoritatea sa și are acces la date cu caracter personal nu le prelucrează decât la cererea operatorului, ceea ce a condus la accesul neautorizat și/sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate prin aplicațiile informatice utilizate de operator în activitatea de creditare de către angajatul acestuia.
Într-un alt caz, Raiffeisen Bank a notificat faptul că doi angajați ai săi au furnizat informații confidențiale despre tranzacțiile unui client către un fost angajat al băncii prin utilizarea rețelelor Facebook, Messenger și WhatsApp, care la rândul său le-a transmis mai departe unor rude ale clientului. În cadrul investigației s-a constatat că Raiffeisen Bank S.A. nu a luat măsuri pentru a asigura că orice persoană fizică care acționează sub autoritatea sa și are acces la date cu caracter personal nu le prelucrează decât la cererea operatorului, ceea ce a condus la accesul neautorizat și divulgarea neautorizată a datelor clientului (nume, prenume, CNP, adresa de domiciliu/corespondență, număr de cont, data tranzacțiilor, suma tranzacțiilor, beneficiarii plăților).
În al treilea caz, banca a fost sesizată de către un client care reclama existența unor produse nesolicitate de către acesta, precum și lipsa unor sume de bani din contul său.
Din verificările interne a rezultat că un angajat al Raiffeisen Bank a efectuat numeroase operațiuni nelegale în numele mai multor clienți ai operatorului, precum: modificarea repetată a datelor de contact (telefon și e-mail); utilizarea serviciului Smart Mobile; deschiderea unor conturi curente; deschiderea unor conturi de economii; constituirea și lichidarea unor depozite; solicitarea unor produse de creditare, completarea și semnarea documentației aferente (credit/card de credit); întocmirea și semnarea unor ordine de plată; răscumpărarea de unități de fond; solicitarea și utilizarea a trei carduri de debit.
În cadrul investigației s-a constatat că, începând din anul 2015 până în luna martie a anului 2023, au fost accesate și divulgate neautorizat datele cu caracter personal a mai multor clienți ai Raiffeisen Bank ca urmare a acțiunilor efectuate de un angajat al operatorului în scopul obținerii unor produse financiare în numele persoanelor vizate afectate.
În afară de amenda de 99.466 lei, echivalentul a 20.000 euro, Raiffeisen Bank S.A. este obligată să ia o serie de măsuri corective și preventive.
T. S.