Първа глоба за нарушаване на GDPR в Румъния

Румънският надзорен орган за защита на личните данни глоби Unicredit Bank S.A. с 130 000 евро за нарушаване на чл. 25, §1 от Общия регламент за защита на данните (GDPR).

Член 25

Защита на данните на етапа на проектирането и по подразбиране

1.Като взема предвид достиженията на техническия прогрес, разходите за прилагане и естеството, обхвата, контекста и целите на обработването, както и породените от обработването рискове с различна вероятност и тежест за правата и свободите на физическите лица, администраторът въвежда, както към момента на определянето на средствата за обработване, така и към момента на самото обработване, подходящи технически и организационни мерки, например псевдонимизация, които са разработени с оглед на ефективното прилагане на принципите за защита на данните, например свеждане на данните до минимум, и интегриране на необходимите гаранции в процеса на обработване, за да се спазят изискванията на настоящия регламент и да се осигури защита на правата на субектите на данни.

 

На 27.06.2019 г. Националният надзорен орган  на Румъния е приключил разследване на администратора UNICREDIT BANK SA, който е нарушил разпоредбите на чл. 25 ал. (1) от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица при обработването на лични данни и за свободното движение на такива данни и за отмяна на Директива 95/46 / ЕО (Общ регламент за защита на данните GDPR).

Администраторът е глобен с 613 912 леи или 130 000 евро.

Санкцията е заради неприлагането на подходящи технически и организационни мерки, както при определянето на средствата за обработка, така и на самите операции по обработка, предназначени за ефективно прилагане на принципите за защита на данните, като например минимизиране на данните и интегриране на необходимите предпазни мерки при обработването, за да отговорят на изискванията на GDPR и да защитят правата на субектите на данни.

Така се е стигнало до разкриване на личния идентификационен номер и адреса на платеца при външни транзакции и депозити и на адреса на платеца при вътрешни транзакции. Броят на засегнатите клиенти е 337 042 души, в периода между 25 май 2018 г. – 10 декември 2018 г.

На 22 ноември 2018 г., надзорният орган е уведомен, че личният идентификационен номер и адреса на лицата, извършващи плащания към UNICREDIT BANK SA, чрез онлайн транзакции, са разкрити на бенефициента на сделката чрез банково извлечение.

Съгласно член 5, параграф 1, буква в) от GDPR („Принципи, свързани с обработването на лични данни“) администраторът е задължен да обработва данните, ограничени до необходимото във връзка с целите, за които се обработват („свеждане на данните до минимум“).

В същото време съображение 78 от регламента гласи: „Защитата на правата и свободите на физическите лица с оглед на обработването на лични данни изисква приемане на подходящи технически и организационни мерки, за да се гарантира изпълнението на изискванията на настоящия регламент. За да може да докаже съответствието с настоящия регламент, администраторът следва да приеме вътрешни политики и да приложи мерки, които отговарят по-специално на принципите за защита на данните на етапа на проектирането и защита на данните по подразбиране. Такива мерки могат да се изразяват, inter alia, в свеждане до минимум на обработването на лични данни, псевдонимизиране на лични данни на възможно най-ранен етап, прозрачност по отношение на функциите и обработването на лични данни, създаване на възможност за субекта на данни да наблюдава обработването на данни, възможност за администратора да създава и подобрява елементите на сигурността. При разработването, проектирането, подбора и използването на приложения, услуги и продукти, които се основават на обработване на лични данни или обработват лични данни, за да изпълнят функцията си, производителите на продукти, услуги и приложения следва да бъдат насърчавани да вземат предвид правото на защита на лични данни при разработването и проектирането на такива продукти, услуги и приложения и като отчитат надлежно достиженията на техническия прогрес, да се уверят, че администраторите и обработващите лични данни са в състояние да изпълняват своите задължения за защита на данните. Принципите на защита на данните на етапа на проектирането и по подразбиране следва да се вземат предвид и в контекста на процедурите за възлагане на обществени поръчки”, се казва в съобщението на надзорния орган на Румъния. На сайта на банката няма съобщение по случая.

Можете да споделите: