15
kw.

RODO, brak procedur i naruszenie danych – Wysokie kary dla Banków

RODORODO – Odpowiednik UODO w Irlandii i Danii nałożył wysokie kary finansowe na Bank of Ireland i Danske Bank w związku z naruszeniami przepisów GDPR (RODO).

10 mln koron kary dla Danske Bank

Największy kredytodawca w Danii – ukarany przez Duńską Agencję Ochrony Danych (DPA). 1,5 miliona dolarów (10 mln koron) DPA nałożyło na Danske Bank, za niewdrożenie procedur zgodnych z RODO. Powodem nałożonej kary jest niestosowanie się banku do procedur przechowywania i usuwania danych osobowych klientów.

DPA poinformowano w listopadzie 2020 r., iż dane jego klientów przechowywane są w systemach przez okres dłuższy niż zezwala na to RODO. Według organu Danske bank nie był w stanie opracować procedur dotyczących przechowywania i usuwania danych milionów osób w ponad 400 systemach bankowych.

Danske Bank w związku ze złożonością procesu, nie oszacował czasu niezbędnego na bezpieczne usunięcie danych swoich klientów. Działania te trwają już kilka lat i nadal nie zostały zakończone. Potwierdził to Dyrektor ds. informacji banku Bo Svejstrup.

463 tys. euro kary dla Bank of Ireland

Irlandzki odpowiednik UODO (DPC) nałożył z kolei karę w wysokości 463 000 Euro na Bank of Ireland. W okresie pomiędzy listopadem 2018 a czerwcem 2019 roku bank dopuścił się szeregu nieprawidłowości w zakresie ochrony danych swoich klientów. Między innymi wśród naruszeń wykazano:

  • uszkodzenie danych klientów przechowywanych w systemach kredytowych banku. Dane około 47 tys. klientów zmieniono co mogło mieć negatywny wpływ na decyzje kredytowe. Niektórzy klienci w swoich historiach kredytowych widzieli błędne dane wskazujące na zadłużenia i brak płynności finansowej,
  • ujawnienie danych osobowych. Według DPC ilość zakwalifikowanych incydentów jest bliska 20,
  • niepotrzebne opóźnianie informowania klientów o naruszeniach. Jednym z przykładów wskazanych jako niedopełnienie wymogu informowania klientów jest przykład, gdzie klientów poinformowano po około pół roku od zaistniałej sytuacji. (czerwiec -grudzień).

„Bank of Ireland w pełni przyjmuje do wiadomości i szczerze przeprasza za te naruszenia. Podchodzimy bardzo poważnie do swoich zobowiązań regulacyjnych i zgodności. Przepraszamy, że w ten sposób zawiedliśmy” – wyjaśnił Bank of Ireland w oświadczeniu.

Potwierdzono również, że wszystkich klientów powiadomiono o naruszeniu ich danych, a niedokładne informacje poprawiono. Bank potwierdził też, że podjęto kroki w celu poprawy raportowania oraz wdrożono nowe procedury i procesy obejmujące zarządzanie błędami. Pozwolą na szybsze korygowanie ewentualnych błędów.