Opšta uredba o zaštiti podataka o ličnosti (General Data Protection Regulation – GDPR) doneta je još 2016. godine, ali usled neophodnog adaptacionog perioda ona počinje da važi od 25. maja 2018. godine. Primenu kontroliše Nacionalno nadzorno telo za zaštitu podataka iz bilo koje EU zemlje, a ako se utvrdi da primena nije sprovedena kazne su ogromne.
Unicredit Banka je prva koja je kažnjena za kršenje pravila koja se odnose na GDPR u Rumuniji. Banka je dobila kaznu u vrednosti od 130.000 evra, nakon što je Nacionalno nadzorno telo istražilo korišćenje ličnih podataka.
Sankcija je primenjena na Unicredit Bank SA kao rezultat neuspeha u primeni odgovarajućih tehničkih i organizacijskih mera, kako u određivanju sredstava za obradu tako i samih operacija obrade, kako bi se efikasno sprovela načela zaštite podataka, kao što je svođenje podataka na minimum i integrisanje potrebnih mera zaštite u procesuiranju, kako bi se ispunili zahtevi GDPR-a i kako bi se zaštitila prava subjekata podataka.
To je vodilo dokumentima koji sadrže pojedinosti o transakcijama, koje su dostupne on-line primaocima plaćanja, otkrivajući lični identifikacioni broj i adresu platioca (za situacije u kojima platitelj izvršava transakciju s računa otvorenog u drugoj kreditnoj instituciji – spoljne transakcije i keš depoziti) i adresu platioca za situacije u kojima je platioc izvršio transakciju s računa otvorenog u Unicredit Banci – interne transakcije, za 337.042 ciljanih osoba, u razdoblju od 25. maja 2018. do 10. decembra 2018. godine.
Stupanjem na snagu EU Regulation GDPR je donela značajne promene u poslovanju mnogih organizacija, kao i u načinu na koji pristupaju zaštiti podataka potrošača.