Комисията за защита на личните данни глоби ДСК с 1 млн. лв.
Абонирайте се за Капитал

Всеки петък икономически анализ и коментар на текущите събития от седмицата.
Съдържанието е организирано в три области, за които Капитал е полезен:

K1 Средата (политическа, макроикономическа регулаторна правна)
K2 Бизнесът (пазари, продукти, конкуренция, мениджмънт)
K3 Моят капитал (лични финанси, свободно време, образование, извън бизнеса).

Абонирайте се за Капитал

Комисията за защита на личните данни глоби ДСК с 1 млн. лв.

Наказателното постановление на председателя на КЗЛД Венцислав Караджов идва насред очакванията регулаторът да санкционира НАП

Комисията за защита на личните данни глоби ДСК с 1 млн. лв.

Санкцията е за изтекла информация на 33.5 хил. клиенти, за което банката съобщи през юни

Николай Стоянов
13253 прочитания

Наказателното постановление на председателя на КЗЛД Венцислав Караджов идва насред очакванията регулаторът да санкционира НАП

© Надежда Чипева


Комисията за защита на личните данни (КЗЛД) наложи първата си голяма санкция по GDPR. Тя е за 1 млн. лв. и е наложена на Банка ДСК. Според съобщението на регулатора наказателното постановление от 28 август идва след едномесечна проверка, при която е установено неправомерно разкрити и достъпени от трети лица лични данни на общо 33 492 клиенти на банката в 23 270 кредитни досиета.

Мярката идва насред очакването комисията да санкционира НАП за най-големия теч на лични данни в България, при който публично беше оповестена информация за над 5 милиона граждани, а също и за фирми. За разлика от този казус при случая с ДСК не е известно информацията да е достигала до широк кръг лица, а освен това проверката започва, след като самата кредитна институция уведомява КЗЛД и съдебните органи.

Какво е изтекло

За случая за пръв път стана ясно от съобщение на самата ДСК от 23 юни. В него банката твърди, че български гражданин, в миналото осъден и лежал в затвора по обвинение за банков обир, е информирал банката, че притежава база данни, съдържаща клиентски данни от банката. От това излиза, че самоличността на вероятния извършител (или поне на лице, разполагащо с допълнителна информация) е известна, като досега не е ясно има ли повдигнати обвинения срещу него.

"На база на тази информация банката назначи вътрешно разследване, по време на което беше установено, че не e имало успешна дигитална атака срещу информационните системи на банката. Във връзка с това, ако лице притежава такива данни, те могат да се получат само и единствено по друг, но също така незаконен начин с неправомерно действие във вреда на банката", гласи още съобщението на ДСК.

В съобщението на КЗЛД за пръв път е посочен точният брой на потърпевшите. Същевременно обаче се изтъква и че в компрометираните кредитни досиета "се съдържат лични данни и на неограничен брой свързани с тях трети лица (в това число техни съпрузи, продавачи, низходящи и възходящи наследници и поръчители)".

Макар и с далеч по-малък обхват от лийк-а от НАП, този от ДСК е притеснителен с подробностите в личните данни, които са изтекли за клиентите. Според съобщението в тях има не само три имена, гражданство, ЕГН, постоянен или настоящ адрес, но и копия на личните карти и съдържащите се в тях биометрични данни за ръст и цвят на очите. Освен това вътре се съдържат "всички лични данни, съдържащи се в данъчни документи, удостоверяващи доходи и здравноосигурителен статус на кредитополучателите и трети лица по тях, както и данни за здравословно състояние (като в някои кредитни досиета се съдържат решения на ТЕЛК за намалена работоспособност), номера на разплащателни сметки, както и регистрационни номера и дати на нотариални актове с положени подписи".

В какво е обвинена ДСК

Наложената санкция е обоснована с нарушаване на чл. 32 от GDPR, където има изискване към администраторите на лични данни "за гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване".

Според КЗЛД Банка ДСК не е приложила подходящи технически и организационни мерки, за да изпълни това. От съобщението не става ясно колко лица са имали достъп до компрометираните данни, доколкото за разлика от случая с НАП те не са изпращани до медии. Друга разлика е, че евентуална санкция за данъчната администрация няма да произведе никакъв ефект, доколкото глобата ще се събере от ведомството, но отново ще постъпи в бюджета. Финансовият министър Владислав Горанов вече заяви, че глобата няма да доведе до намаляване на бонуси или други негативни последствия в НАП.

"Капитал" изпрати въпроси на ДСК за повече информация и дали санкцията ще бъде обжалвана. Оттам заявиха, че подготвят становище по темата. По-късно то бе разпратено до медиите и от него стана ясно, че става въпрос за недигитална кражба на данни. "Банка ДСК приема глобата и си сътрудничи с органите за по-нататъшно подобряване на своите мерки за защита на личните данни," се казва в съобщението.

Според изказване на главния изпълнителен директор на банката Виолина Маринова пред Mediapool става дума за случай от 2016 г.

По-късно като човека, сигнализирал ДСК и КЗЛД, се афишира Стефан Чолаков, известен от 90-те години на миналия век с обир в тогава държавната Българска пощенска банка, експлоатиращ пробойна в процедурите й. Той говори за теч на лични данни от кредитна институция още през юни пред бургаския сайт Flagman. Самоличността му бе потвърдена и от председателя на КЗЛД Венцислав Караджов пред BTV.

Статията е допълнена в 22:15 ч. на 28 август с информацията, че изтеклите данни са предоставени от Стефан Чолаков.

Комисията за защита на личните данни (КЗЛД) наложи първата си голяма санкция по GDPR. Тя е за 1 млн. лв. и е наложена на Банка ДСК. Според съобщението на регулатора наказателното постановление от 28 август идва след едномесечна проверка, при която е установено неправомерно разкрити и достъпени от трети лица лични данни на общо 33 492 клиенти на банката в 23 270 кредитни досиета.

Мярката идва насред очакването комисията да санкционира НАП за най-големия теч на лични данни в България, при който публично беше оповестена информация за над 5 милиона граждани, а също и за фирми. За разлика от този казус при случая с ДСК не е известно информацията да е достигала до широк кръг лица, а освен това проверката започва, след като самата кредитна институция уведомява КЗЛД и съдебните органи.


Благодарим ви, че четете Капитал!

Вие използвате поверителен режим на интернет браузъра си. За да прочетете статията, трябва да влезете в профила си.
Влезте в профила си
Всеки потребител може да чете до 10 статии месечно без да има абонамент за Капитал.
Вижте абонаментните планове

4 коментара
  • 1
    crn1506472378533495 avatar :-|
    Ivelin Tenev

    На какъв принцип се определя размера на глобата? Сумата изглежда несъразмерна с очакваната глоба за НАП.

  • 2
    cgf16532284 avatar :-|
    cgf16532284

    Каса...

  • 3
    misho73 avatar :-|
    misho73

    1млн. за 33 хил. Около 33 лв./калпак. Платец: ДСК.
    5 млн. за 5млн. Около левче на калпак. Това за НАП. Обаче на практика, всички ние, с изтеклите данни ще платим на ... пак на НАП за това че пуснаха кафявите неща във вентилатора. Както става ясно, глобата на НАП дори няма да им удари бонусите. С което БГ става иноватор - при изтичане на данни, се глобяват тези, чийто данни са изтекли.
    ---
    Браво Бай Онуй, доказан идиот си!

  • 4
    misho73 avatar :-|
    misho73

    До коментар [#1] от "Ivelin Tenev":


    [quote#1:"Ivelin Tenev"]На какъв принцип се определя размера на глобата?[/quote]

    На стария френски принцип - "на приятелите - всичко, на враговете - закона". И на БКП-принципа че "Партията (в случая ГЕРБ) е права и дори когато греши". И още един финален принцип - тъп народ->корумпирано правителство->смешна държава.
    ---
    По Ленин (с модификация по Карбовски):
    Когато тези отдолу са леко малоумни, а тези отгоре леко извратени, се получава извратен секс (Бай Онуй - премиер). Иначе в оригинал, ако тези отдолу не искали, а тези отгоре не можели, ставало революция (или чичката слиза от девойката).


Нов коментар

За да публикувате коментари,
трябва да сте регистриран потребител.


Вход

С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. OK