Комисията за защита на личните данни глоби ДСК с 1 млн. лв.
Санкцията е за изтекла информация на 33.5 хил. клиенти, за което банката съобщи през юни
Вечерни новини
Всяка делнична вечер получавате трите най-четени статии от деня, заедно с още три, препоръчани от редакторите на "Капитал"
Комисията за защита на личните данни (КЗЛД) наложи първата си голяма санкция по GDPR. Тя е за 1 млн. лв. и е наложена на Банка ДСК. Според съобщението на регулатора наказателното постановление от 28 август идва след едномесечна проверка, при която е установено неправомерно разкрити и достъпени от трети лица лични данни на общо 33 492 клиенти на банката в 23 270 кредитни досиета.
Мярката идва насред очакването комисията да санкционира НАП за най-големия теч на лични данни в България, при който публично беше оповестена информация за над 5 милиона граждани, а също и за фирми. За разлика от този казус при случая с ДСК не е известно информацията да е достигала до широк кръг лица, а освен това проверката започва, след като самата кредитна институция уведомява КЗЛД и съдебните органи.
Какво е изтекло
За случая за пръв път стана ясно от съобщение на самата ДСК от 23 юни. В него банката твърди, че български гражданин, в миналото осъден и лежал в затвора по обвинение за банков обир, е информирал банката, че притежава база данни, съдържаща клиентски данни от банката. От това излиза, че самоличността на вероятния извършител (или поне на лице, разполагащо с допълнителна информация) е известна, като досега не е ясно има ли повдигнати обвинения срещу него.
"На база на тази информация банката назначи вътрешно разследване, по време на което беше установено, че не e имало успешна дигитална атака срещу информационните системи на банката. Във връзка с това, ако лице притежава такива данни, те могат да се получат само и единствено по друг, но също така незаконен начин с неправомерно действие във вреда на банката", гласи още съобщението на ДСК.
В съобщението на КЗЛД за пръв път е посочен точният брой на потърпевшите. Същевременно обаче се изтъква и че в компрометираните кредитни досиета "се съдържат лични данни и на неограничен брой свързани с тях трети лица (в това число техни съпрузи, продавачи, низходящи и възходящи наследници и поръчители)".
Макар и с далеч по-малък обхват от лийк-а от НАП, този от ДСК е притеснителен с подробностите в личните данни, които са изтекли за клиентите. Според съобщението в тях има не само три имена, гражданство, ЕГН, постоянен или настоящ адрес, но и копия на личните карти и съдържащите се в тях биометрични данни за ръст и цвят на очите. Освен това вътре се съдържат "всички лични данни, съдържащи се в данъчни документи, удостоверяващи доходи и здравноосигурителен статус на кредитополучателите и трети лица по тях, както и данни за здравословно състояние (като в някои кредитни досиета се съдържат решения на ТЕЛК за намалена работоспособност), номера на разплащателни сметки, както и регистрационни номера и дати на нотариални актове с положени подписи".
В какво е обвинена ДСК
Наложената санкция е обоснована с нарушаване на чл. 32 от GDPR, където има изискване към администраторите на лични данни "за гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване".
Според КЗЛД Банка ДСК не е приложила подходящи технически и организационни мерки, за да изпълни това. От съобщението не става ясно колко лица са имали достъп до компрометираните данни, доколкото за разлика от случая с НАП те не са изпращани до медии. Друга разлика е, че евентуална санкция за данъчната администрация няма да произведе никакъв ефект, доколкото глобата ще се събере от ведомството, но отново ще постъпи в бюджета. Финансовият министър Владислав Горанов вече заяви, че глобата няма да доведе до намаляване на бонуси или други негативни последствия в НАП.
"Капитал" изпрати въпроси на ДСК за повече информация и дали санкцията ще бъде обжалвана. Оттам заявиха, че подготвят становище по темата. По-късно то бе разпратено до медиите и от него стана ясно, че става въпрос за недигитална кражба на данни. "Банка ДСК приема глобата и си сътрудничи с органите за по-нататъшно подобряване на своите мерки за защита на личните данни," се казва в съобщението.
Според изказване на главния изпълнителен директор на банката Виолина Маринова пред Mediapool става дума за случай от 2016 г.
По-късно като човека, сигнализирал ДСК и КЗЛД, се афишира Стефан Чолаков, известен от 90-те години на миналия век с обир в тогава държавната Българска пощенска банка, експлоатиращ пробойна в процедурите й. Той говори за теч на лични данни от кредитна институция още през юни пред бургаския сайт Flagman. Самоличността му бе потвърдена и от председателя на КЗЛД Венцислав Караджов пред BTV.
Статията е допълнена в 22:15 ч. на 28 август с информацията, че изтеклите данни са предоставени от Стефан Чолаков.
4 коментара
На какъв принцип се определя размера на глобата? Сумата изглежда несъразмерна с очакваната глоба за НАП.
Каса...
1млн. за 33 хил. Около 33 лв./калпак. Платец: ДСК.
5 млн. за 5млн. Около левче на калпак. Това за НАП. Обаче на практика, всички ние, с изтеклите данни ще платим на ... пак на НАП за това че пуснаха кафявите неща във вентилатора. Както става ясно, глобата на НАП дори няма да им удари бонусите. С което БГ става иноватор - при изтичане на данни, се глобяват тези, чийто данни са изтекли.
---
Браво Бай Онуй, доказан идиот си!
До коментар [#1] от "Ivelin Tenev":
[quote#1:"Ivelin Tenev"]На какъв принцип се определя размера на глобата?[/quote]
На стария френски принцип - "на приятелите - всичко, на враговете - закона". И на БКП-принципа че "Партията (в случая ГЕРБ) е права и дори когато греши". И още един финален принцип - тъп народ->корумпирано правителство->смешна държава.
---
По Ленин (с модификация по Карбовски):
Когато тези отдолу са леко малоумни, а тези отгоре леко извратени, се получава извратен секс (Бай Онуй - премиер). Иначе в оригинал, ако тези отдолу не искали, а тези отгоре не можели, ставало революция (или чичката слиза от девойката).
Нов коментар
За да публикувате коментари,
трябва да сте регистриран потребител.