Венцислав Караджов глоби с 1 млн. лв. банка ДСК, „осветила“ лични данни на над 33 000 клиенти и трети лица

Глоба за един милион лева е наложена на банка ДСК, – това става ясно  от съобщение за наказателно постановление  на сайта на Комисията за защита на личните данни. То е издадено, защото банката не е гарантирала поверителността на личните данни  на повече от 33 000 клиенти и голям брой трети лица, като общия брой на засегнатите може  да достигне 100 хил. души.

Разпространенни са имената, единните им граждански номера, лични и биометрични данни като цвят на очите и ръст, номера на сметки и дори данни за здравословно състояние. Председателя на КЗЛД Венцислав Караджов  заяви пред bTV, че сигнал за пробива е подаден от мъж на име Стефан Чолаков, който е предоставил хард диск и флашка с кредитните досиета на над тридесет хиляди клиенти.  В края на юни 2019 г. банка  ДСК обяви, че  български гражданин, който е бил съден  за банков обир, е подал сигнал, че притежава база данни с клиентска информация. От ДСК заявиха, че  „не е имало успешна дигитална атака срещу информационните системи на банката“, а данните са придобити „по друг, но също така незаконен начин с неправомерно действие във вреда на банката“.

Цялото съобщение на председателя на Комисията за зашита на личните данни:

Днес, 28.08.2019 г., на основание чл. 87, ал. 3 от Закона за защита на личните данни, Венцислав Караджов − Председател на Комисията за защита на личните данни, след извършена проверка на „Банка ДСК” ЕАД, издаде Наказателно постановление на дружеството за нарушение на чл. 32, § 1, буква „б” от Регламент (ЕС) 2016/679, с оглед неправомерно разкрити и достъпни от трети лица лични данни на общо 33 492 (тридесет и три хиляди четиристотин деветдесет и двама) клиенти на банката в 23 270 (двадесет и три хиляди двеста и седемдесет) кредитни досиета, в които се съдържат лични данни и на неограничен брой свързани с тях трети лица (в това число техни съпрузи, продавачи, низходящи и възходящи наследници и поръчители).

Размерът на наложената санкция е 1 000 000 лева.

 В хода на извършената в срок от един месец проверка е установено, че при осъществяване на дейността си „Банка ДСК” ЕАД, в качеството на администратор на лични данни, не е приложила подходящи технически и организационни мерки и не е осигурила способност за гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване на лични данни на физически лица − клиенти на банката и свързаните с тях трети лица, като са разпространени и достъпени три имена, гражданство, ЕГН, постоянен или настоящ адрес, копия на личните карти и съдържащите се в тях биометрични данни за ръст и цвят на очите; всички лични данни, съдържащи се в данъчни документи, удостоверяващи доходи и здравно-осигурителен статус на кредитополучателите и трети лица по тях, както и данни за здравословно състояние (като в някои кредитни досиета се съдържат решения на ТЕЛК за намалена работоспособност), номера на разплащателни сметки, както и регистрационни номера и дати на нотариални актове с положени подписи.