Ирина Дунчева
Клиенти получават чужди лични данни на имейла си, други пък са одобрени за кредити за лични нужди, без те да са ги поискали и без да са подписали съответните документи. Това са част от нарушенията, заради които румънският национален надзорен орган за защита на личните данни (ANSPDCP) глоби Raiffeisen Bank SA
Администраторът на лични данни е наказан с две предупреждения и три глоби на обща стойност 138 572 леи (еквивалента на 28 000 евро), както следва:
- Глоба в размер на 98 980 ron, еквивалента на 20 000 евро за нарушение на чл. 32 ал. 4 във връзка с чл. 32 ал. 1 и ал. 2 от GDPR;
- Предупреждение за нарушаване на разпоредбите на чл. 32 ал. 1 и чл. 32 ал. 2 от GDPR;
- Глоба в размер на 14 847 ron, еквивалента на 3000 евро, за нарушение на чл. 32 ал. 4 във връзка с чл. 32 ал. 1 и ал. 2 от GDPR;
- Глоба в размер на 24 745 ron, еквивалента на 5000 евро, за нарушение на чл. 25 ал. 1 от GDPR;
- Предупреждение за нарушение на разпоредбите на чл. 32 ал. 4 във връзка с чл. 32 ал. 1 и ал. 2 от GDPR.
Разследването е започнало в резултат на изпращането от Raiffeisen Bank SA на 17 уведомления относно възникване на нарушения на сигурността на личните данни, съгласно разпоредбите на Общия регламент относно защита на данните GDPR.
Така по време на разследването се установява, че нарушенията са засегнали 169 физически лица, например като през посредник са били одобрени за кредити за лични нужди, без те да са ги поискали и без да са подписали съответните документи.
Друг инцидент с нарушаване на сигурността на данните – по време на актуализиране на данните на клиент в системата е въведен грешен имейл адрес и е изпратен документ с множество данни лични данни на друго физическо лице, принадлежащи на клиент на банката.
– Служител на Raiffeisen Bank SA изпраща поверителни данни по електронна поща на лице, различно от засегнатото лице.
– На грешен имейл адрес на друго физическо лице е изпратен документ със заглавие „Формуляр за дефиниране на лични данни“, който съдържа множество лични данни на клиент на банка.
– Подобен инцидент възниква в резултат на това, че двама клиенти на оператора подават подобни жалби, като при изготвяне на имейл отговор на жалбата на първия клиент, операторът прикачва документи с лични данни, принадлежащи на другия клиент, към изпратения до него имейл. Причината за грешното предаване на документите е сходството между типологията на уведомленията и последователното време на изпращане на отговора.
– Друг инцидент с нарушение на сигурността на данните е свързан с подозрения за вътрешна кредитна измама и се състои от:
а) извършване на конкретни операции по отпускане на кредит за клиент физическо лице, без присъствието на заявителя в централата.
б) кандидатстване за кредитни улеснения с кредитна карта, попълване и подписване на документацията, свързана с кредитната карта, искане на кредитни улеснения за кредит за лични нужди, попълване и подписване на документацията, свързана с кредитното улеснение за лични нужди, актуализиране на данните на заинтересованите лица в заявлението на Банката чрез смяна на телефонния номер на заинтересованите лица с телефонния номер на банковия служител и чрез въвеждане на фиктивен имейл адрес.
– Подобен инцидент се състои в обработката на данни от оператора във връзка с отпускането на три кредитни улеснения (Flexicredit, Flexicredit рефинансиране, респективно Shopping Card), от името на физическо лице , клиент на банката, но без реално да е поискал тези кредити.
– Друго нарушение на сигурността на личните данни се състои в нерегламентирано разкриване на лични данни на някои клиенти от техния Smart Mobile акаунт (услугата за мобилно банкиране, предоставяна от Raiffeisen Bank SA) на други клиенти на оператора.
В контекста на гореизложеното по време на разследването е установено, че Raiffeisen Bank SA не е предприел мерки, за да гарантира, че всяко физическо лице, което действа под негово ръководство и има достъп до лични данни, ги обработва правилно. Това води до неоторизиран достъп до личните данни на клиентите на Raiffeisen Bank SA (например име, фамилия, домашен адрес, гражданство, националност, изображение на лицето, личен цифров код, номер и серия на лична карта, имейл, номер на телефон, данни от системата на Кредитното бюро, данни от регистрационната система, управлявана от ANAF, данни от акаунта Smart Mobile) и неоторизирано разкриване на тези данни.
ANSPDCP подчертава, че съгласно чл. 5, ал. 1, б. „е“ от GDPR, Raiffeisen Bank SA има задължението да обработва лични данни по начин, който гарантира тяхната адекватна сигурност, включително защита срещу неразрешено или незаконно обработване и срещу загуба, унищожаване или случайна повреда, като предприема подходящи технически или организационни мерки ("цялостност и поверителност").
______________
* Текстът е публикуван в личния блог на автора – "Дунчева консултинг".
