Peste 500.000 Euro amendă GDPR pentru o bancă din Bulgaria

Autoritatea pentru protecţia datelor cu caracter personal din Bulgaria a anuţat pe data de 28 august 2019, aplicarea unei amenzi în valoare de un milion de leva (aproximativ 511.300 euro) către Banka DSK pentru „dezvăluirea ilegală“ a datelor cu caracter personal ale clienţilor săi.

Banka DSK a fost cel de-al doilea creditor din Bulgaria la sfârşitul lunii iunie, conform datelor Băncii Naţionale a Bulgariei, cu active de 15,4 miliarde de leva. Această bancă este o filială a Băncii OTP din Ungaria.

În total, datele a 33.492 de clienţi din 23.270 de dosare de credit, care au inclus şi date cu caracter personal ale unui număr „nelimitat“ de părţi conexe - cum ar fi rude, vânzători şi garanţi de împrumut - au fost „accesate de terţi“.

Amenda a fost impusă după o verificare de o lună, după care s-a constatat că Banka DSK nu a implementat „măsuri tehnice şi organizatorice adecvate şi nu asigura capacitatea de a garanta confidenţialitatea constantă“ a sistemelor sale de administrare a datelor cu caracter personal.

Printre datele accesate ilegal erau numele, numere de identificare personale (cunoscute prin abrevierea bulgară EGN), adresa curentă, dar şi copii scanate ale cărţilor de identitate păstrate de către bancă, care includeau anumite date biometrice precum înălţimea şi culoare ochilor, precum şi informaţii complete despre impozite şi venituri, numere de cont bancare şi informaţii despre actele de proprietate.

În declaraţia sa, Autoritatea nu a oferit alte detalii despre scurgerea de date, inclusiv despre cum şi când s-a întâmplat şi nici nu a oferit clienţilor Banka DSK niciun sfat cu privire la ce măsuri ar putea face pentru a stabili dacă au fost afectate de încălcare.

Aceasta este a doua mare încălcare a datelor cu caracter personal făcută publică în Bulgaria în puţin peste o lună, după ce datele a milioane de contribuabili au fost furate de la Agenţia Naţională a Veniturilor (echivalentul ANAF) într-un atac cibernetic.