Compania trebuie să plătească o amendă în valoare de 613.912 lei, echivalentul a 130.000 de euro, pentru măsuri tehnice neaplicate și organizare neadecvată pentru prelucrarea datelor, dar și stabilirea mijloacelor de prelucrare pentru clienții săi.
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) idn România anunță că sancțiunea a fost aplicată ca urmare a unei sesizări din data de 22 noiembrie 2018, care semnala faptul că datele personale ale clienților băncii care efectuau plăci prin UniCredit Bank online, precum CNP-ul și adresa, erau dezvăluite beneficiarului tranzacției prin formularele de extras de cont.
UniCredit Bank trebuia să reducă cantitatea de date personale pe care le cere clienților, conform regulamentului RGPD, dar să le și păstreze private și să le stocheze într-un mod corespunzător, inaccesibil altor entități. Aceasta este o încălcare a articolului 5 din RGPD, care spune că „operatorul are obligația de a prelucra date limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate datele”. CNP-ul și adresa clientului nu era necesară pentru o plată către un comerciant, de exemplu.