GDPR Case 028. The Romanian Supervisory Authority fines Raiffeisen Bank S.A. and Vreau Credit S.R.L.
GDPR Case 028. The Romanian Supervisory Authority fines Raiffeisen Bank S.A. and Vreau Credit S.R.L.
GDPR:§5(1)(f) (confidentiality)、§32 (security of processing)、§33 (notification to the SA)
日期:31 October 2019
國家:羅馬尼亞
關鍵字:適當安全措施、個人資料侵害、通報監管機關
GDPR:§5(1)(f) (confidentiality)、§32 (security of processing)、§33 (notification to the SA)
裁決:行政罰鍰(€ 150,000、€ 20,000)
摘要:
(1) 監管機關對 Raiffeisen Bank S.A.、Vreau Credit S.R.L. 分別處以 € 150,000、€ 20,000之行政罰鍰,因為二公司有違反 GDPR §32 規定之行為。
(2) 兩位 Raiffeisen Bank S.A. 的員工,利用 Vreau Credit S.R.L. 員工透過 WhatsApp 傳輸的貸款申請人個人資料,向信用局(Credit Bureau)進行個人信用查詢,以確定個別申請人的信用貸款資格,進行信用評等的預審(prescoring simulations)。
(3) 前述預審程序,依照 Raiffeisen Bank S.A. 的內部規定,原本應該是透過 Raiffeisen Bank S.A. 的電腦應用程式進行,經過電腦程式審查貸款申請人的各項信用行為後,再將決定傳送給 Vreau Credit S.R.L. 的員工,上述第 (2) 點的處理方式,根本違反 Raiffeisen Bank S.A. 的內部處理程序。
(4) 監管機關處罰控管者 Raiffeisen Bank S.A. 的原因,在於它沒有採取適當的安全措施,以確保所屬可以近用個人資料的自然人,只能在授權範圍下處理個人資料,除非歐盟法或個別會員國法另有規定;此外,控制者沒有實施適當的技術和組織措施來確保足夠的安全水準,也沒有評估處理所帶來的風險。
(5) 上述情形,導致 Raiffeisen Bank S.A. 透過電腦程式用來進行信用評等的個人資料遭到違法存取(unauthorized access),並且由其員工違法揭露予第三人。
(6) 控管者 Vreau Credit S.R.L. 除了因為違反資料安全而受到制裁外,也因為在調查程序結束前,沒有將個人資料侵害事件通報監管機構——儘管它在一年前就已經意識到本次侵害事件,導致違反資料主體個人資料的機密性,以及違法存取個人資料。