GDPR Case 028. The Romanian Supervisory Authority fines Raiffeisen Bank S.A. and Vreau Credit S.R.L.

日期：31 October 2019

國家：羅馬尼亞

關鍵字：適當安全措施、個人資料侵害、通報監管機關

GDPR：§5(1)(f) (confidentiality)、§32 (security of processing)、§33 (notification to the SA)

裁決：行政罰鍰（€ 150,000、€ 20,000）

摘要：

(1) 監管機關對 Raiffeisen Bank S.A.、Vreau Credit S.R.L. 分別處以 € 150,000、€ 20,000之行政罰鍰，因為二公司有違反 GDPR §32 規定之行為。

(2) 兩位 Raiffeisen Bank S.A. 的員工，利用 Vreau Credit S.R.L. 員工透過 WhatsApp 傳輸的貸款申請人個人資料，向信用局（Credit Bureau）進行個人信用查詢，以確定個別申請人的信用貸款資格，進行信用評等的預審（prescoring simulations）。

(3) 前述預審程序，依照 Raiffeisen Bank S.A. 的內部規定，原本應該是透過 Raiffeisen Bank S.A. 的電腦應用程式進行，經過電腦程式審查貸款申請人的各項信用行為後，再將決定傳送給 Vreau Credit S.R.L. 的員工，上述第 (2) 點的處理方式，根本違反 Raiffeisen Bank S.A. 的內部處理程序。

(4) 監管機關處罰控管者 Raiffeisen Bank S.A. 的原因，在於它沒有採取適當的安全措施，以確保所屬可以近用個人資料的自然人，只能在授權範圍下處理個人資料，除非歐盟法或個別會員國法另有規定；此外，控制者沒有實施適當的技術和組織措施來確保足夠的安全水準，也沒有評估處理所帶來的風險。

(5) 上述情形，導致 Raiffeisen Bank S.A. 透過電腦程式用來進行信用評等的個人資料遭到違法存取（unauthorized access），並且由其員工違法揭露予第三人。

(6) 控管者 Vreau Credit S.R.L. 除了因為違反資料安全而受到制裁外，也因為在調查程序結束前，沒有將個人資料侵害事件通報監管機構——儘管它在一年前就已經意識到本次侵害事件，導致違反資料主體個人資料的機密性，以及違法存取個人資料。