Ako pažljivije pratimo vijesti ili zaguglamo temu, naći ćemo takvih slučajeva kod nas.

Donosimo slučaj iz Rumunjske koji se dogodio u jednoj banci prisutnoj i kod nas i koji je specifičan s obzirom da je nadzorno tijelo za zaštitu osobnih podataka bilo uključeno.

Banka je nadzornom tijelu prijavila višestruke povrede osobnih podataka, kako to i nalaže GDPR u svom članku 33.

Banka je internom istragom utvrdila da se jedna od ključnih povreda osobnih podataka dogodila na način da je jedan od zaposlenika banke na nezakonit način iskoristio osobne podatke klijenta banke.

Naime, klijent banke je zatražio kredit, ali ga je naknadno sam povukao. Zaposlenik banke je iskoristio propust u procedurama banke i iskoristio otvoreni zahtjev klijenta banke te traženi iznos iz zahtjeva za kreditiranjem preusmjerio na više drugih osoba, izmijenio kontaktne podatke i upravljao tzv. „Smart banking“ opcijama te je pri tom nezakonito obrađivao niz osobnih podataka kijenta.

Nadzorno tijelo je temeljem istrage utvrdilo da banka nije osigurala primjerene sigurnosne organizacijsko-tehničke mjere kojima bi spriječila da bilo koji zaposlenik banke, koji ima pristup osobnim podacima klijenata, iste ne može obrađivati izvan ovlasti koje mu banka kao poslodavac daje.

Banka je kriva za nezakonitu obradu osobnih podataka i njihovo nezakonito dijeljenje.

Ipak, kazna je bila nekako skromna, samo 20.000 EUR unatoč činjenici da se opisano činjenje provodilo u razdoblju od 2015. do 2023. godine.

 

Više o slučaju:

https://gdprhub.eu/index.php?title=ANSPDCP_(Romania)_-_Fine_against_Raiffeisen_Bank&mtc=today

Image from FreePik

#gdprcroatia