Obowiązek informacyjny rodo

KOMPAS FORSAFE 2022/56

Kraj:

Irlandia

Data wydania decyzji:

05.04.2022 r.

Podmiot kontrolowany:

Bank of Ireland

Wysokość kary (EUR):

463.000

Podstawa prawna naruszenia

Art. 32, art. 33, art. 34art. 32, art. 33, art. 34 RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

 

Przyczyna naruszenia

Naruszenie ochrony danych osobowych przez Bank of Ireland (BOI) wynikało z licznych błędów technicznych i organizacyjnych w procesie przesyłania danych do Centralnego Rejestru Kredytowego (CCR). Problemy obejmowały m.in. błędy w kodowaniu, niewłaściwe oznaczanie danych oraz brak odpowiednich procedur walidacji i kontroli jakości.

 

Opis wydarzeń

  1. Zakres naruszenia: W okresie od 9 listopada 2018 r. do 27 czerwca 2019 r. BOI zgłosił 22 przypadki naruszenia ochrony danych do irlandzkiego organu nadzorczego. Naruszenia te dotyczyły nieprawidłowego przesyłania danych klientów do CCR, co skutkowało błędnym przedstawieniem ich historii kredytowej.
  2. Rodzaje naruszeń: Naruszenia obejmowały m.in. nieautoryzowane ujawnienie danych, błędne przypisanie danych do niewłaściwych klientów oraz przesyłanie danych poza zakresem wymaganym przez prawo. Przykłady obejmują:
    • przesyłanie danych klientów spoza Irlandii,
    • błędne raportowanie restrukturyzacji kredytów,
    • przesyłanie danych klientów, którzy zakończyli postępowania upadłościowe lub restrukturyzacyjne.
  3. Reakcja BOI: BOI podjął działania naprawcze, takie jak wprowadzenie poprawek technicznych, dodatkowe szkolenia dla pracowników oraz opracowanie nowych procedur zarządzania błędami. Jednakże, w wielu przypadkach działania te były opóźnione, co skutkowało długotrwałym ryzykiem dla klientów.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Wzmocnienie procedur walidacji: Zaleca się wprowadzenie bardziej rygorystycznych procedur walidacji danych przed ich przesyłaniem, aby zapobiec błędom kodowania i nieautoryzowanemu ujawnieniu danych.
  2. Poprawa kontroli jakości: Należy wdrożyć systemy kontroli jakości, które zapewnią, że wszystkie procedury są przestrzegane, a dane są dokładne i zgodne z wymaganiami prawnymi.
  3. Szkolenia dla pracowników: Konieczne jest regularne szkolenie pracowników odpowiedzialnych za przesyłanie danych, aby zapewnić, że są oni świadomi swoich obowiązków i potrafią skutecznie zapobiegać naruszeniom.
  4. Zarządzanie błędami: Zaleca się opracowanie i wdrożenie procedur zarządzania błędami, które umożliwią szybkie wykrywanie i korygowanie błędów, a także informowanie klientów o naruszeniach bez zbędnej zwłoki.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO