Комисията за защита на личните данни е глобила една от най-големите български банки - "Банка ДСК" ЕАД с 1 млн. лева заради изтичане на лични данни, съобщиха от регулатора. Това е първата голяма санкция на КЗЛД по регламента на ЕС за защита на личните данни (GDPR).
Наказанието е заради неправомерно разкриване на лични данни на близо 33 500 клиенти на банката в 23 270 кредитни досиета, в които се съдържат лични данни и на неограничен брой свързани с тях трети лица (в това число техни съпрузи, продавачи, низходящи и възходящи наследници и поръчители).
При проверката, продължила 1 месец, регулаторът установява, че "Банка ДСК" ЕАД, в качеството на администратор на лични данни, не е приложила подходящи технически и организационни мерки и не е осигурила способност за гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване на лични данни на физически лица − клиенти на банката и свързаните с тях трети лица, като са разпространени и достъпени три имена, гражданство, ЕГН, постоянен или настоящ адрес, копия на личните карти и съдържащите се в тях биометрични данни за ръст и цвят на очите; всички лични данни, съдържащи се в данъчни документи, удостоверяващи доходи и здравно-осигурителен статус на кредитополучателите и трети лица по тях, както и данни за здравословно състояние (като в някои кредитни досиета се съдържат решения на ТЕЛК за намалена работоспособност), номера на разплащателни сметки, както и регистрационни номера и дати на нотариални актове с положени подписи.
"В конкретния случай банката, която сме глобили за неспазване на изискванията за сигурност на информацията, не е положила достатъчни технически-организационни мерки тази поверителна информация да не бъде достъпна и съответно допълнително съхранена. Физическото лице е Стефан Чолаков, който е подателят на сигнала до Комисията за защита на личните дати. Предостави един голям хард диск и допълнителна флаш памет, на която се установи, че има над 33 – 34 000 клиента на банката, чиито кредитни досиета са придобити незаконосъобразно и впоследствие публично разпространени", разказва пред bTV председателят на Комисията за защита на личните данни Венцислав Караджов.
От банката твърдят, че данните не са изтеглени при кибератака, но са получени по незаконен начин и са сезирали съответните институции. Днес от ДСК потвърдиха глобата и обявиха, че ще си сътрудничат с КЗЛД за подобряване защитата на личните данни.
"Банка ДСК, водещата банка в банкирането на дребно и един от най-големите оператори на лични данни в България, беше глобена от Комисията за защита на лични данни за извършена срещу институцията недигитална кражба на данни. Банка ДСК приема глобата и си сътрудничи с органите за по-нататъшно подобряване на своите мерки за защита на личните данни", написаха от финансовата институция в изявление до медиите.
* Глобата от КЗЛД беше потвърдена и в съда - Административен съд-София взе окончателно решение в началото на 2024 година.