RODO, brak procedur i naruszenie danych – Wysokie kary dla Banków
RODO – Odpowiednik UODO w Irlandii i Danii nałożył wysokie kary finansowe na Bank of Ireland i Danske Bank w związku z naruszeniami przepisów GDPR (RODO).
RODO – Odpowiednik UODO w Irlandii i Danii nałożył wysokie kary finansowe na Bank of Ireland i Danske Bank w związku z naruszeniami przepisów 10 mln koron kary dla Danske Bank
Największy kredytodawca w Danii – ukarany przez Duńską Agencję Ochrony Danych (DPA). 1,5 miliona dolarów (10 mln koron) DPA nałożyło na Danske Bank, za niewdrożenie procedur zgodnych z RODO. Powodem nałożonej kary jest niestosowanie się banku do procedur przechowywania i usuwania danych osobowych klientów.
DPA poinformowano w listopadzie 2020 r., iż dane jego klientów przechowywane są w systemach przez okres dłuższy niż zezwala na to RODO. Według organu Danske bank nie był w stanie opracować procedur dotyczących przechowywania i usuwania danych milionów osób w ponad 400 systemach bankowych.
Danske Bank w związku ze złożonością procesu, nie oszacował czasu niezbędnego na bezpieczne usunięcie danych swoich klientów. Działania te trwają już kilka lat i nadal nie zostały zakończone. Potwierdził to Dyrektor ds. informacji banku Bo Svejstrup.
463 tys. euro kary dla Bank of Ireland
Irlandzki odpowiednik UODO (DPC) nałożył z kolei karę w wysokości 463 000 Euro na Bank of Ireland. W okresie pomiędzy listopadem 2018 a czerwcem 2019 roku bank dopuścił się szeregu nieprawidłowości w zakresie ochrony danych swoich klientów. Między innymi wśród naruszeń wykazano:
- uszkodzenie danych klientów przechowywanych w systemach kredytowych banku. Dane około 47 tys. klientów zmieniono co mogło mieć negatywny wpływ na decyzje kredytowe. Niektórzy klienci w swoich historiach kredytowych widzieli błędne dane wskazujące na zadłużenia i brak płynności finansowej,
- ujawnienie danych osobowych. Według DPC ilość zakwalifikowanych incydentów jest bliska 20,
- niepotrzebne opóźnianie informowania klientów o naruszeniach. Jednym z przykładów wskazanych jako niedopełnienie wymogu informowania klientów jest przykład, gdzie klientów poinformowano po około pół roku od zaistniałej sytuacji. (czerwiec -grudzień).
„Bank of Ireland w pełni przyjmuje do wiadomości i szczerze przeprasza za te naruszenia. Podchodzimy bardzo poważnie do swoich zobowiązań regulacyjnych i zgodności. Przepraszamy, że w ten sposób zawiedliśmy” – wyjaśnił Bank of Ireland w oświadczeniu.
Potwierdzono również, że wszystkich klientów powiadomiono o naruszeniu ich danych, a niedokładne informacje poprawiono. Bank potwierdził też, że podjęto kroki w celu poprawy raportowania oraz wdrożono nowe procedury i procesy obejmujące zarządzanie błędami. Pozwolą na szybsze korygowanie ewentualnych błędów.