България | Пет, 19 Апр 2024г. 20:45ч. | 2 май ще е неучебен в цялата страна
Комисията за защита на личните данни е глобила в сряда Банка ДСК с 1 млн. лв. заради тежък случай на неправомерно разкрити лични данни, става ясно от сайта на институцията.
Това е най-голямата санкция за подобно нарушение, налагана от комисията до днес, но утре се очаква още по-голяма глоба - на Националната агенция за приходите (НАП), разясни пред Mediapool председателят на КЗЛД Венцислав Караджов.
Нарушен е еврорегламентът за защита на личните данни, тъй като са установени "неправомерно разкрити и достъпени от трети лица лични данни на общо 33 492 клиенти на банката в 23 270 кредитни досиета, в които се съдържат лични данни и на неограничен брой свързани с тях трети лица (в това число техни съпрузи, продавачи, низходящи и възходящи наследници и поръчители)".
Проверката на комисията е продължила 1 месец.
"Банка ДСК" ЕАД, в качеството на администратор на лични данни, не е приложила подходящи технически и организационни мерки и не е осигурила способност за гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване на лични данни на физически лица − клиенти на банката и свързаните с тях трети лица, като са разпространени и достъпени три имена, гражданство, ЕГН, постоянен или настоящ адрес, копия на личните карти и съдържащите се в тях биометрични данни за ръст и цвят на очите; всички лични данни, съдържащи се в данъчни документи, удостоверяващи доходи и здравно-осигурителен статус на кредитополучателите и трети лица по тях, както и данни за здравословно състояние (като в някои кредитни досиета се съдържат решения на ТЕЛК за намалена работоспособност), номера на разплащателни сметки, както и регистрационни номера и дати на нотариални актове с положени подписи", пише в решението на КЗЛД.
Банка ДСК: Приемаме глобата
"Съобщили сме на ГДБОП и останалите отговорни институции през юни 2019 г., но се касае за случай от 2016 г.", разясни пред Mediapool изпълнителният директор на Банка ДСК Виолина Маринова.
По думите й в банката се появил човек, който казал, че притежава компютърен диск с данни за около 22 000 клиенти, изнесен през 2016 г., когато банката е правила дигитализация.
По думите на Маринова става дума за кредитни досиета, като много от заемите вече са върнати. Не е имало данъчни декларации. На въпрос как са били защитени засегнатите клиенти, Маринова обясни, че банката е публикувала прессъобщение на 23 юни, но не е съобщавала индивидуално на засегнатите лица.
По-късно в сряда Банка ДСК разпространи и официално прессъобщение.
"Банка ДСК приема глобата и си сътрудничи с органите за по-нататъшно подобряване на своите мерки за защита на личните данни", се посочва в изявлението на институцията.
Тя припомня и съобщението си до медиите от 23 юни, според което "български гражданин, в миналото осъден и лежал в затвора по обвинение за банков обир, информира Банка ДСК, че притежава база данни, съдържаща клиентски данни от банката. На база на тази информация банката назначи вътрешно разследване, по време на което беше установено, че не e имало успешна дигитална атака срещу информационните системи на банката".
Шефът на КЗЛД: Нарушението е сериозно
Междувременно, шефът на КЗЛД Венцислав Караджов коментира пред Mediapool, че нарушението е "сериозно" и неслучайно и глобата е голяма.
Проверката на КЗЛД е направена по сигнал на добронамерен гражданин на име Стефан Чолаков, който е съобщил, че е намерил върху чистачките на колата си харддиск, откраднат от компютър на Банка ДСК. Самата финансова институция също е сигнализирала комисията преди около два месеца, че има пробив в сигурността си.
Данните в диска са от 2016 г., но сигналите до КЗЛД са от преди около два месеца, подчерта Караджов. Заради кражбата на диска се води и разследване на органите на реда.
"Задължение на администратора на личните данни (в случая - Банка ДСК, б. р.) е да уведоми засегнатите лица", добави Караджов.
Стефан Чолаков: Аз предадох диска
Mediapool се свърза и със Стефан Чолаков, който потвърди, че действително той е човекът, който е предал намерен от него харддиск на институциите.
"Казвам се Стефан Чолаков. На 23 май уведомих банката за теч на над 70 000 досиета на нейни клиенти, съставляващи 1 451 760 фаила, съдържащи копия на лични карти, договори за кредити и откриване на сметки, справки от НАП, ГРАО, ЦКР, ТР - фирмено отделение и имотен регистър, декларации за свързани лица, за липса или наличие на задължения, медицински документи, застрахователни полици и др. Факт е, че 70 000 досиета се въргаляха на улицата! Друг факт е, че банката сезира Комисията за защита на личните данни на 30 май или седмица, след като е узнала за "теча". Това е Нарушение на GDPR регламента, според който ако до 72 часа след научаване за проблем не бъде сезирана комисията, на администратора се налага глоба от 4% от световния годишен оборот на провинилия се. ДСК е част от ОТП Груп, която има банки в 10 държави и глобата за това провинение вероятно ще и бъде над 200 млн. евро. Освен това ще дължи и обезщетение на всеки, на който е изпуснала данните", посочва Чолаков във форума на в. "Стандарт" на 23 юни тази година.
Пред Mediapool Чолаков потвърди, че в миналото, когато е бил около 20-годишен, е източил банка. През 1997 г. той е едва на 22 години и чрез умели ходове и действия успява да задигне 181 000 000 лева от родна финансова институция. Впоследствие Чолаков е обявен от списание "Time" за най-младия банков обирджия в света. Днес той се занимава с банкова сигурност, но няма бизнес в България. Твърди, че не е "като "ТАД Груп". Той посочи, че не е прибегнал до престъпление, а е намерил личните данни, които не е разпространил в интернет, а е занесъл на институциите.
Стефан Чолаков разказа, че е имало пречки пред опитите му да предаде диска на КЗЛД. Първоначално се е свързал с ръководството на Банка ДСК и е поискал да върне диска, но по официален път и с протокол. От банката обаче поискали да уредят въпроса неофициално и пратили унгарски специалист от "ОТП Груп", бивш шеф в унгарската полиция. "Срещите ни бяха контролирани от ГДБОП", разказа Чолаков. Той отказал да даде диска на ДСК неофициално и го предал в КЗЛД.
Той е дал показания в следствието как е намерил диска, но отказа да коментира подробности пред медиите.
Чолаков каза, че не знае защо е имало опити да му бъде попречено да предаде диска на КЗЛД. Според него логичен въпрос е защо наложената глоба на ДСК е толкова малка на фона на оборота на банката.
"Проблеми в сигурността има не само в тази банка", завърши коментара си Стефан Чолаков.
mediapool.bg
