Amendă administrativă în valoare de 463 000 euro aplicată de către Autoritatea Irlandeză pentru Protecția Datelor companiei Bank of Ireland Group pentru încălcarea articolelor 32, 33 și 34 din GDPR
Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), cu titlu informativ și aplicativ, comunică despre amenda administrativă în valoare de 463 000 euro aplicată de către Autoritatea Irlandeză pentru Protecția Datelor (AIPD) companiei Bank of Ireland Group pentru încălcarea articolelor 32, 33 și 34 din GDPR.
AIPD a inițiat o anchetă în urma celor 22 de notificări privind încălcarea securității datelor cu caracter personal pe care Bank of Ireland Group (BOI) le-a transmis AIPD în perioada cuprinsă între 9 noiembrie 2018 și 27 iunie 2019. Notificările se refereau la coruperea informațiilor din fluxul de date al BOI către Central Credit Register (CCR), un sistem centralizat care colectează și stochează în siguranță informații despre credite. Incidentele au inclus divulgări neautorizate de date cu caracter personal ale clienților către CCR și modificări accidentale ale datelor cu caracter personal ale clienților din CCR. În urma anchetei s-a constatat:
• articolul 33 din GDPR a fost încălcat de BOI în 17 dintre cazuri, prin faptul că BOI nu a raportat încălcarea datelor cu caracter personal fără întârzieri nejustificate și nu a furnizat suficiente detalii către AIPD cu privire la unele încălcări ale securității datelor cu caracter personal;
• articolul 34 din GDPR a fost încălcat de BOI în 14 dintre cazuri. Încălcările se refereau la faptul că BOI nu a comunicat subiecților de date, fără întârzieri nejustificate, circumstanțele în care încălcarea securității datelor cu caracter personal era susceptibilă să genereze un risc ridicat pentru drepturile și libertățile subiecților date; și
• articolul 32 alineatul (1) din GDPR a fost încălcat întrucât BOI nu a pus în aplicare măsurile tehnice și organizatorice adecvate pentru a asigura un nivel de securitate corespunzător riscului prezentat de prelucrarea datelor clienților în cadrul transferului de informații către RCC.
CNPDCP, în calitate de autoritate națională de supraveghere a prelucrării datelor cu caracter personal, accentuează asupra responsabilității operatorilor de date cu caracter personal de a respecta prevederile cadrului legislativ în materie de protecție a datelor cu caracter personal și de a se asigura că operațiunile de prelucrare a datelor cu caracter personal sunt conforme legislației în vigoare.