След извършена проверка на „Банка ДСК” ЕАД от стана на Комисията за защита на личните данни е установено, че има неправомерно разкрити и достъпени от трети лица лични данни на десетки хиляди българи. Комисията за защита на личните данни издаде наказателно постановление на дружеството и наложи санкция от 1 милион лева.
Разкрити са данните на общо 33 492 клиенти на банката, които се съдържат в 23 270 кредитни досиета, но в тях има и лични данни и на неопределен брой свързани с тях трети лица - техни съпрузи, продавачи, низходящи и възходящи наследници и поръчители.
В хода на извършената в период на около един месец проверка е установено, че при осъществяване на дейността си „Банка ДСК” ЕАД, в качеството на администратор на лични данни, не е приложила подходящи технически и организационни мерки и не е осигурила способност за гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване на лични данни на физически лица − клиенти на банката и свързаните с тях хора. Разпространени и достъпени са:
- три имена
- гражданство
- ЕГН
- постоянен или настоящ адрес
- копия на личните карти и съдържащите се в тях биометрични данни за ръст и цвят на очите
- всички лични данни, съдържащи се в данъчни документи, удостоверяващи доходи и здравно-осигурителен статус на кредитополучателите, а също и на техни близки хора.
Изтекли са и данни за здравословно състояние, като в някои кредитни досиета се съдържат решения на ТЕЛК за намалена работоспособност, номера на разплащателни сметки, както и регистрационни номера и дати на нотариални актове с положени подписи.
Наложената санкция от Комисията за защита на личните данни е на основание чл. 87, ал. 3 от Закона за защита на личните данни. Нарушенито е на чл. 32, § 1, буква „б” от Регламент (ЕС) 2016/679, съобщиха от Комисията.
Изтичането на данните не е следствие от хакерска атака срещу компютърната система на банката.