Alpha Bank a GDPR: Pokuta 60 000 eur za porušení ochrany údajů
Řecký úřad pro ochranu osobních údajů uložil správci údajů pokutu 60 000 eur za neoprávněné poskytnutí osobních údajů manželce subjektu údajů.
Subjekt údajů si stěžoval, že Alpha Bank (v tomto případě správce údajů) poskytla manželce stěžovatele informace o vedení kreditní karty na jeho jméno, jakož i vytištěné stvrzenky o všech transakcích, které provedl v předchozích 3-4 měsících, aniž by ho o tom informovala. To mělo za následek výrazné narušení rodinného klidu a vztahu stěžovatele s jeho manželkou.
Úřad vyzval správce údajů k poskytnutí informací. Banka byla vyzvána, aby předložila své příslušné postupy a objasnila, zda jsou ustanovení v nich obsažená dodržována a zda je údajný incident porušení zabezpečení osobních údajů považován za incident porušení zabezpečení osobních údajů v souladu s články 33-34 GDPR.
Banka zahájila interní šetření a potvrdila spáchání porušení, které přičítala chybě zaměstnance své místní pobočky. Šetření dospělo k závěru, že zaměstnanec jednal bez úmyslu uvést v omyl.
Důvodem bylo, že pokud jde o řízení porušení, banka na základě článků 33-34 GDPR uvedla, že incident byl považován za porušení zabezpečení osobních údajů, byly dodrženy všechny příslušné postupy pro jeho zaznamenání a vyřízení, odpovědný zaměstnanec byl předán disciplinární komisi a přísně potrestán disciplinárním trestem propuštění. Žádné oznámení Úřadu podle článku 33 GDPR nebylo učiněno, protože se týkalo pouze jednoho subjektu a správce údajů se domníval, že není možné, aby se dotklo práv a svobod samotného subjektu nebo jiných fyzických osob. Oznámení subjektu údajů podle článku 34 GDPR nebylo učiněno, správce údajů to nepovažoval za nutné, protože to byl subjekt údajů, kdo banku o incidentu informoval.
Souvislosti
Úřad uložil bance pokutu ve výši 10 000 EUR za neoprávněné zpřístupnění osobních údajů bankou manželce subjektu údajů podle čl. 5 odst. 1 písm. a) GDPR a čl. 5 odst. 1 písm. f) GDPR. Dalších 50 000 EUR bylo přidáno za porušení povinnosti ohlásit porušení dozorovému úřadu podle článku 33 GDPR.
Řecký úřad pro ochranu osobních údajů nejprve konstatoval porušení čl. 5 odst. 1 písm. a) a f) GDPR, kterého se dopustil nezákonným předáním osobních údajů stěžovatele. Předání údajů od správce údajů manželce stěžovatele bylo protiprávní, v rozporu se zásadou zákonnosti a transparentnosti zpracování a v rozporu se zásadou důvěrnosti údajů. Toto neoprávněné zpracování (zpřístupnění předáním) představuje porušení zabezpečení osobních údajů podle definice čl. 4 odst. 12 GDPR, a to i v případě, že je přičítáno pochybení zaměstnance banky.
Zadruhé, řecký úřad posoudil porušení povinnosti oznámit porušení dozorovému úřadu v souladu s článkem 33 GDPR. Podle článku 33 měla banka porušení ohlásit dozorovému úřadu do 72 hodin.