logo-print

Κύπρος: Παραβίαση προσωπικών δεδομένων από τράπεζα, μέσω συστήματος web banking

Lawspot.gr

02/07/2020

03/07/2020

Γενικός Κανονισμός για την Προστασία των Προσωπικών Δεδομένων και Ευθύνη για Αποζημίωση
Δίκαιο πληροφορικής - E έκδοση

Υπόθεση παραβίασης προσωπικών δεδομένων από την τράπεζα, μέσω του συστήματος web banking, απασχόλησε την Επίτροπο Προστασίας Δεδομένων Προσωπικού Χαρακτήρα της Κυπριακής Δημοκρατίας.

Σύμφωνα με το ιστορικό, πελάτης της Ελληνικής Τράπεζας, είχε πρόσβαση σε οικονομικά δεδομένα άλλου πελάτη, μέσω του web banking system.

Ειδοποίησε την Τράπεζα, η οποία απέστειλε έντυπο Γνωστοποίησης Παραβίασης Δεδομένων Προσωπικού Χαρακτήρα στο Γραφείο της Επιτρόπου.

Παρόλο που η Τράπεζα προχώρησε σε διόρθωση δεδομένων που αντιστοιχούσαν στον συγκεκριμένο πελάτη, εντούτοις δεν προχώρησε και στη διόρθωση διεύθυνσης οικίας, με αποτέλεσμα όταν εκδόθηκε νέα κάρτα στο όνομα του άλλου πελάτη, αυτή να σταλεί στον πρώτο, ο οποίος και πάλι ενημέρωσε την Τράπεζα για το λάθος αυτό.

Η Επίτροπος κατέληξε ότι υπήρξε παράβαση εκ μέρους της Ελληνικής Τράπεζας του Κανονισμού 2016/679 (ΓΚΠΔ).

Ωστόσό, λαμβάνοντας υπόψιν όλα τα γεγονότα και τους μετριαστικούς παράγοντες οι οποίοι ήταν κατά πολύ περισσότεροι από τους επιβαρυντικούς, η Επίτροπος αποφάσισε όπως μη επιβάλει διοικητικό πρόστιμο σε αυτήν την περίπτωση.

Δόθηκε εντολή προς την Ελληνική Τράπεζα, όπως θεσπίσει τέτοια μέτρα ασφαλείας και πρακτικές, ούτως ώστε να καθίστανται οι πράξεις επεξεργασίας σύμφωνες με τις διατάξεις του ΓΚΠΔ και όπως σε διάστημα τριών μηνών, πληροφορήσει την Επίτροπο για τις ενέργειες στις οποίες προέβη για συμμόρφωση με την Απόφαση.

Δεδομένου ότι παρά τη διαπίστωση παραβίασης δεν επιβλήθηκε πρόστιμο, άξιοι αναφοράς είναι στη συγκεκριμένοι περίπτωση οι μετριαστικοί (1-10) και επιβαρυντικοί (11-16) παράγοντες, τους οποίους έλαβε υπόψη η Επίτροπος:

(1) Τον περιορισμένο αριθμό υποκειμένων των δεδομένων των οποίων τα δεδομένα έχουν εκτεθεί (δύο στο σύνολο).

(2) Την ανυπαρξία δόλου εκ μέρους του υπεύθυνου επεξεργασίας, αφού η παραβίαση ήταν αποτέλεσμα ανθρώπινου λάθους.

(3) Το γεγονός ότι ο υπεύθυνος επεξεργασίας προέβαινε σε ενέργειες διόρθωσης των λαθών του, ευθύς μετά την ειδοποίηση γι’ αυτά από το υποκείμενο των δεδομένων.

(4) Το ότι υπάρχει συνεργασία μεταξύ του υπεύθυνου επεξεργασίας και της Εποπτικής Αρχής.

(5) Το γεγονός ότι ο υπεύθυνος επεξεργασίας εφαρμόζει πολιτικές και κώδικες στον χώρο εργασίας όπως π.χ. Πολιτική Προστασίας Δεδομένων, Πλαίσιο Προστασίας Δεδομένων, Πολιτική Ασφάλειας Πληροφοριών, Πειθαρχικός Κώδικας, και Κώδικας Επαγγελματικής Συμπεριφοράς και Ηθικής, τους οποίους οι υπάλληλοι οφείλουν να γνωρίζουν και εφαρμόζουν.

(6) Το ότι υπήρξε παραδοχή λαθών τόσο για το θέμα των δικλείδων ασφαλείας του συστήματος, όσο και για την ανάγκη της Τράπεζας για άμεση ανάληψη δράσης για διερεύνηση περιστατικών και υποβολή σχετικής γνωστοποίησης στο Γραφείο μου εντός της προθεσμίας.

(7) Το γεγονός ότι πλείστα των δεδομένων του Μ.Κ. που εκτέθηκαν προς τον Σ.Γ., όπως φάνηκε εν τέλει, ανήκουν σε νομική οντότητα η οποία ήταν συνδεδεμένη με φυσικό πρόσωπο.

(8) Το ότι δεν πραγματοποιήθηκαν μη εξουσιοδοτημένες συναλλαγές, αφού απαιτείτο επιπρόσθετος κωδικός ασφάλειας – one time password και δεν υπήρξαν οικονομικές συνέπειες στα υποκείμενα των δεδομένων.

(9) Τον μεγάλο αριθμό καταχωρίσεων. Μόνο για το έτος 2019 έγιναν πέραν των 15000 καταχωρίσεων στο σύστημα της Τράπεζας.

(10) Το ότι ένα τραπεζικό ίδρυμα έχει αυξημένο βαθμό ευθύνης, έναντι οποιουδήποτε άλλου υπεύθυνου επεξεργασίας, για τήρηση τέτοιων μέτρων ασφαλείας ώστε να διαφυλάσσονται τα οικονομικά δεδομένα των πελατών του.

(11) Το ότι εντός του έτους 2019, γνωστοποιήθηκαν στην Εποπτική Αρχή, ακόμη 7 παραβιάσεις εμπιστευτικότητας δεδομένων των πελατών της Ελληνικής Τράπεζας, χωρίς όμως πάντα να αφορά στα ίδια περιστατικά όπως στην παρούσα περίπτωση.

(12) Το ότι αποκαλύφθηκαν οικονομικά δεδομένα και παραβιάστηκε η εμπιστευτικότητα τους.

(13) Την μη τήρηση της πρέπουσας διαδικασίας και την μεγάλη καθυστέρηση στην υποβολή Γνωστοποίησης Παραβίασης με βάση το Άρθρο 33 παρ. 1 του ΓΚΠΔ 2016/679.

(14) Το γεγονός ότι παρόλο που υπήρχαν δικλείδες ασφαλείας, αυτές δεν ήταν ικανές να αποτρέψουν την παραβίαση.

(15) Το γεγονός ότι παρατηρούνται συχνά περιστατικά παραβίασης που οφείλονται σε ανθρώπινο λάθος υπαλλήλων της Τράπεζας.

(16) Τέλος, το γεγονός ότι η Τράπεζα έλαβε γνώση για τις παραβιάσεις και αντιλήφθηκε τα λάθη τα οποία έγιναν, αφότου ειδοποιήθηκε και τις δύο φορές από ένα εκ των δύο επηρεαζόμενων προσώπων.

Η απόφαση είναι διαθέσιμη στο dataprotection.gov.cy

Σχετικοί Τομείς

Λέξεις-Κλειδιά

ΔΗΜΟΦΙΛΗ ΝΕΑ

2.9 εκατομμύρια ευρώ πρόστιμο στα ΕΛΤΑ για την παραβίαση δεδομένων (ΑΠΔΠΧ 10/2024)

Νέος δικαστικός χάρτης: Αναλυτικά όλες οι έδρες και οι περιφέρειες των πολιτικών και ποινικών δικαστηρίων

Ενοποίηση πρώτου βαθμού δικαιοδοσίας: Σε διαβούλευση ο νέος δικαστικός χάρτης

Νόμος 5090/2024: Τροποποιήσεις στους Ποινικούς Κώδικες

ΔΗΜΟΦΙΛΗΣ ΑΡΘΡΟΓΡΑΦΙΑ

Έληξε το συμβόλαιο της μίσθωσής μου. Τι να κάνω; (Mέρος Α' - Μίσθωση Κατοικίας)

Τι είναι εξύβριση, δυσφήμιση και συκοφαντική δυσφήμιση;

Τα parking στην πυλωτή της πολυκατοικίας

Ενδικοφανής προσφυγή: Απαντήσεις στα συχνότερα ερωτήματα
Η ευθύνη του εκχωρητή απαίτησης κατά τα άρθρα 467-468 ΑΚ

ΠΑΡΑΣΚΕΥΗ ΓΕΩΡΓΑΚΗ

ΑΣΤΙΚΟ ΔΙΚΑΙΟ / ΕΝΟΧΙΚΟ ΔΙΚΑΙΟ

Η υποστήριξή της κατηγορίας υπό το πρίσμα του νέου Κώδικα Ποινικής Δικονομίας

ΜΑΡΙΑΝΝΑ ΚΟΥΔΕΛΗ

ΠΟΙΝΙΚΕΣ ΕΠΙΣΤΗΜΕΣ / ΠΟΙΝΙΚΗ ΔΙΚΟΝΟΜΙΑ