Didžiausiam Danijos bankui – Danske Bank – gresia 10 milijonų Danijos kronų (1,3 mln. Eurų) bauda už tai, kad klientų duomenys buvo saugomi ilgiau, nei leidžia Bendrasis duomenų apsaugos reglamentas (BDAR). Daugiau kaip keturiuose šimtuose banko sistemų, talpinančių milijonų banko klientų asmens duomenis, Danske Bank neįgyvendino tinkamų asmens duomenų saugojimo ir ištrynimo procedūrų.
BDAR pažeidimai
Tyrimas dėl Danske Bank prasidėjo dar 2020 m. lapkritį, po to kai bankas pats pranešė Danijos duomenų apsaugos institucijai dėl galimų duomenų apsaugos pažeidimų, tiksliau dėl to, kad bankas saugojo savo klientų duomenis ilgiau nei būtina, ir neužtikrino, kad sistemos atitiktų BDAR reikalavimus.
Danske Bank teigė, kad nuo 2016 m. aktyviai bandė įdiegti duomenų ištrynimo funkciją savo sistemose, tačiau iki 2018 m. gegužės mėnesio – galutinio termino, iki kurio turėjo būti užtikrinta atitiktis BDAR reikalavimams dėl duomenų ištrynimo ir saugojimo – to padaryti nepavyko dėl to, kad bankas turi daug padalinių visoje Europoje, daug klientų ir sudėtingą IT sistemą.
Taip pat, nepaisant to, kad bankas turėjo vidinę atitikties duomenų apsaugai komandą, kuri ne kartą kėlė susirūpinimus dėl problemos tinkamai saugoti ir ištrinti asmens duomenis banko sistemose, Danske Bank manė, kad informuoti Duomenų apsaugos institucijos tol, kol nebuvo jokių duomenų apsaugos pažeidimų ir visi klientų duomenys buvo saugūs – nereikia. Tai reiškia, kad Duomenų apsaugos institucija apie šiuos pažeidimus buvo informuota tik praėjus 2 metams po BDAR įsigaliojimo.
DAI sprendimas
Nepaisant pastangų sumažinti žalą duomenų subjektams ir aktyvaus dalyvavimo teikiant informaciją apie banko sunkumus užtikrinti atitiktį BDAR reikalavimams dar 2020 m., Duomenų apsaugos institucijos tyrimas atskleidė, kad Danske Bank nedokumentavo nustatytų duomenų saugojimo ir ištrynimo taisyklių bei neužtikrino rankinio asmens duomenų ištrynimo daugiau kaip 400 banko sistemų, kuriose saugomi dideli banko klientų asmens duomenų kiekiai.
Dėl šių pažeidimų, kurie galėjo paveikti didelį kiekį duomenų subjektų, pobūdžio ir rimtumo, taip pat dėl didesnės atsakomybės, tenkančios didelį kiekį asmens duomenų tvarkančioms organizacijoms, tokioms kaip bankai, Duomenų apsaugos tarnyba nusprendė skirti Danske Bank net 1,3 mln. eurų baudą.
Ko reikėtų iš to pasimokyti?
Nepriklausomai nuo dydžio, kiekviena asmens duomenis tvarkanti organizacija privalo laikytis pagrindinių BDAR principų. Šios situacijos kontekste, itin svarbu užtikrinti šių principų laikymąsi:
- Duomenų kiekio mažinimas – šis principas reiškia, kad turėtų būti tvarkoma tik ta informacija, kuri būtina nustatytiems tikslams pasiekti, ir
- Saugojimo apribojimas – šis principas reiškia, kad kai tvarkoma informacija nebereikalinga nustatytiems tikslams pasiekti, ji turi būti ištrinta.
Siekiant išvengti galimų duomenų apsaugos pažeidimų ir duomenų subjektų teisių pažeidimų, prieš pradėdama tvarkyti asmens duomenis, kiekviena organizacija turėtų užtikrinti minėtų ir kitų BDAR 5 straipsnyje įtvirtintų principų laikymąsi. Taip pat rekomenduojama užtikrinti, kad asmens duomenų saugojimo ir ištrynimo procesas būtų tinkamai dokumentuotas. Organizacijoje įtvirtintų IT sistemų netobulumas ar laiko trūkumas įgyvendinti BDAR reikalavimus nepateisina duomenų apsaugos pažeidimų ir neatleidžia nuo atsakomybės.
Jei jūsų organizacija susiduria su sunkumais prisitaikant prie duomenų apsaugos pokyčių arba užtikrinant BDAR reikalavimų laikymąsi, nedvejodami kreipkitės į ECOVIS duomenų apsaugos ekspertus dėl daugiau informacijos arba pagalbos.
Parengė Brigida Bacienė, ECOVIS ProventusLaw duomenų apsaugos ekspertė, ir Gabija Bacevičiūtė, ECOVIS ProventusLaw jaunesnioji teisininkė