OTP-ul din Bulgaria a fost amendat cu 500.000 euro pentru divulgarea neautorizată a datelor a peste 30.000 persoane
5 minute • Ana-Maria Udriste • 28 august 2019
Băncile încep să fie luate în vizor de autoritățile de protecție a datelor pentru nerespectarea GDPR.
După amenda luată de Unicredit Bank în România, a venit rândul OTP-ul din Bulgaria să primească o amendă de 500.000 euro pentru divulgarea neautorizată a datelor personale. Sunt vizate peste 30.000 persoane.
Ai grijă când aplici pentru un împrumut
Potrivit Sofia Globe, DSK Bank (care operează prin filiala OTP) din Bulgaria, catalogat a doua cea mai mare unitate financiară de împrumuturi, a fost amendat de autoritatea privind protecția datelor din Bulgaria cu 500.000 euro pentru ”divulgarea neautorizată” a datelor personale aparținând clienților.
Deși nu s-a dat un număr exact de persoane afectate este vorba despre datele a 33.492 de clienți din 23.270 de dosare de împrumut, care au inclus și date cu caracter personal ale unui număr „nelimitat” de părți conexe – cum ar fi rude, vânzători și garanți ai împrumuturi – asta pentru că atunci când soliciți un credit, ți se fac verificări de fond, inclusiv asupra membrilor de familie și asupra persoanelor care garantează pentru tine.
Aceste date au fost „accesate de terți”, a spus autoritatea din Bulgaria, fără a da un număr de persoane afectate.
De fapt, este și greu de estimat numărul de persoane afectate fără o analiză foarte detaliată având în vedere că fiecare dosar de credit presupune o verificare meticuloasă a multor persoane implicate. Prin urmare, numărul real al persoanelor vizate ar putea ajunge fără probleme la peste 100.000.
OPT nu a implementat măsuri de securitate tehnice și organizatorice adecvate
Potrivit GDPR:
[datele trebuie] prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare (n.n. principiul cunoscut sub denumirea de „integritate și confidențialitate”).
În acest sens, operatorul trebuie să ia măsuri rezonabile de securitate, prin raportare la tehnologia existentă și mijloacele de care dispune pentru a putea garanta confidențialitatea datelor personale prelucrate.
Citește și: Ce am învățat după o amendă pe GDPR.
Și tu lași de fiecare dată o copie de pe buletin la bancă
Datele accesate erau diverse – nume, numere de identificare personale, adresa curentă, dar și copii scanate ale cărților de identitate păstrate în fișier de către bancă, care includ anumite date biometrice cum ar fi înălțimea și culoarea ochilor, precum și informații complete despre impozite și venituri, numere de cont bancare și informații despre proprietățile deținute.
Ne-am obișnuit să furnizăm date personale fără să ne dăm seama de impactul prelucrării asupra vieții noastre.
Investigația a fost scurtă
Investigația a început în iunie, ca urmare a unei plângeri și s-a finalizat în august. Încă de la început, OTP a verificat dacă nu cumva sunt în prezența unui caz de ”scurgere a datelor” intern, însă se pare că divulgarea neautorizată a avut loc din exterior.
Acest aspect este foarte important, pentru că sunt frecvente situațiile în care operatorii își fac singuri o breșă de securitate – fie printr-un exces de zel de a răspunde cât mai repede, fie prin neimplementarea unor politici de confidențialitate și acces la date în relație cu proprii angajați și colaboratori.
Ulterior primirii amenzii, reprezentanții băncii au declarat că ”DSK Bank acceptă amenda și cooperează cu autoritățile pentru îmbunătățirea în continuare a măsurilor de protecție a datelor cu caracter personal”.
Până la acest moment nu au fost furnizate informații suplimentare cu privire la eventuale remedii propuse de DSK Bank pentru a diminua riscurile persoanelor private (mai ales în condițiile în care am putea vorbi de furt de identitate, având în vedere că au fost expuse CNP-urile persoanelor).
Aceasta este a doua mare încălcare a datelor cu caracter personal ce avut loc în Bulgaria în doar peste o lună, după ce datele a milioane de contribuabili au fost furate de la Agenția Națională Fiscală într-un atac cibernetic.
Știai că prima sursă de divulgare neautorizată a informațiilor o reprezintă angajații și colaboratorii tăi? Descoperă pachetul nostru de GDPR făcut special pentru relația companiei cu angajații și protejează-ți informațiile personale.
Breșele de securitate îți pot aduce o amendă de 20 milioane euro. Nu lăsa GDPR să te ia prin surprindere și începe să te conformezi din timp cu pachetele Avocatoo.ro, la costul unei fracțiuni din prețul unui consultant.
