Окончателно: Потвърдиха глобата от 1 млн. лв. на Банка ДСК за изтеклите кредитни досиета
С окончателно решение на Административен съд – София град, което не подлежи на обжалване, е потвърдена глобата от 1 млн. лв. на Банка ДСК за изтеклите хиляди кредитни досиета. Тя й бе наложена през 2019 г. от Комисията за защита на личните данни (КЗЛД).
Тогава бе констатирано, че неправомерно са разкрити и достъпени от трети лица лични данни на общо 33 492 клиенти на банката в 23 270 кредитни досиета, в които се съдържат лични данни и на неограничен брой свързани с тях трети лица (в това число съпрузи, продавачи, низходящи и възходящи наследници и поръчители).
В хода на делото е пояснено, че на 20.06.2019 г. в КЗЛД бил получен сигнал от С. Ч., като към него бил приложен в оригинал хард диск и USB памет, съдържащи сканирани кредитни досиета на клиенти на банката. Упълномощени служители на КЗЛД запечатали в плик двете устройства. Установено било, че на предоставената USB памет са съхранени общо 4580 файла в общо 95 папки, от които 23 папки са в главната директория, с общ размер на записаната информация 726 МВ. Съхранените на хард диск модел Seagate Certified Repaired HDD Barracuda 7200.11 500 Gbytes данни са общо 1 422 848 бр. файла, 27 312 бр. папки, от които 2 бр. папки са в главната директория, с общ размер на записаната информация 231 GB. Констатациите били описани в протокол.
„В хода на извършената в срок от един месец проверка е установено, че при осъществяване на дейността си „Банка ДСК” ЕАД, в качеството на администратор на лични данни, не е приложила подходящи технически и организационни мерки и не е осигурила способност за гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване на лични данни на физически лица − клиенти на банката и свързаните с тях трети лица, като са разпространени и достъпени три имена, гражданство, ЕГН, постоянен или настоящ адрес, копия на личните карти и съдържащите се в тях биометрични данни; всички лични данни, съдържащи се в данъчни документи, удостоверяващи доходи и здравно-осигурителен статус на кредитополучателите и трети лица по тях, както и данни за здравословно състояние (като в някои кредитни досиета се съдържат решения на ТЕЛК за намалена работоспособност), номера на разплащателни сметки, както и регистрационни номера и дати на нотариални актове с положени подписи“, гласи официалното съобщение на Комисията за защита на личните данни.
На 23 юни 2019 г. Банка ДСК разпространи до медиите следното съобщение: „Български гражданин, в миналото осъден и лежал в затвора по обвинение за банков обир, информира Банка ДСК, че притежава база данни, съдържаща клиентски данни от банката.
На база на тази информация банката назначи вътрешно разследване, по време на което беше установено, че не e имало успешна дигитална атака срещу информационните системи на банката. Във връзка с това, ако лице притежава такива данни, те могат да се получат само и единствено по друг, но също така незаконен начин с неправомерно действие във вреда на банката.
Банка ДСК е уведомила Комисията за защита на личните данни по случая и е подала доклад до съдебните органи.“
На 28 август 2019 г. от там заявиха още: „Банка ДСК, водещата банка в банкирането на дребно и един от най-големите оператори на лични данни в България, беше глобена от Комисията за защита на лични данни за извършена срещу институцията недигитална кражба на данни. Банка ДСК приема глобата и си сътрудничи с органите за по-нататъшно подобряване на своите мерки за защита на личните данни“.
Решението на КЗЛД е било обжалвано от банката пред Софийския районен съд и отхвърлено на 27.04.2020 г., а КЗЛД – глобена с 21 530 лв.
По-висшата инстанция – Административният съд в София град обаче отменя на 09.11.2020 г. решението за предишната и връща делото за ново разглеждане в същия съд, но от друг съдебен състав.
Решението на СРС от 15.11.2023 г. вече е коренно противоположно – наказателното постановление, издадено от КЗЛД за 1 млн. лева е потвърдено.
Банката отново го обжалва пред Административния съд – София град, който на 11-ти януари т. г. вече окончателно потвърждава глобата.