La DPA roumaine (ANSPDCP) a condamné Banca Transilvania SA à une amende de 100 000 EUR pour violation de l'art. 5 (1) f) du RGPD, art. 32 (1) RGPD et art. 32 (2) du RGPD. Il a été constaté que la banque avait demandé à un client une déclaration concernant l'utilisation prévue d'une certaine somme d'argent qu'il souhaitait retirer de son compte. Ce relevé a été soumis à la banque en ligne et transmis à plusieurs employés de la banque. Un employé a photographié la déclaration avec son téléphone portable et l'a diffusée via WhatsApp. Par la suite, le document a été mis en ligne sur le réseau social Facebook et sur un site Web. Cette situation a conduit à la divulgation et à l'accès non autorisé de certaines données personnelles concernant quatre personnes concernées, malgré l'engagement de la Banque à respecter le principe d'intégrité et de confidentialité des données personnelles tel qu'exigé par l'art. 5 (1) f) du RGPD. La DPA note que la divulgation des données survenue prouve également l'inefficacité de la formation interne des employés de la Banque au respect des normes de protection des données. Ces formations font cependant partie intégrante des mesures techniques et organisationnelles que la Banque était tenue de mettre en œuvre, Art. 32 RGPD.