SCA连载GDPR罚单之保加利亚DSK银行数据泄露事件

2019年8月28日，保加利亚个人数据保护委员会根据保加利亚《个人数据保护法》第87段第3条规定，个人数据保护委员会主席Ventsislav Karadjov先生在对DSK Bank EAD的数据处理进行调查后，对违反保加利亚第2016/679号条例即GDPR第32条第1款(b)项的行为发出了刑事命令，因其23，270份信贷记录中，共有33，492名银行客户未经授权访问个人数据，其中包含个人数据和无限数量的客户相关第三方(包括其配偶、供应商、后代和担保人)。最终确定罚款金额为100万BGN（列佛）约51.1 万欧元395.36万人民币。

案件事实概述

在保加利亚个人数据保护委员会（CPDP）对银行处理数据进行的为期一个月的检查中已经确定，DSK Bank EAD在日常活动和处理过程中，作为数据控制者，未能设法实施适当的技术和组织措施，也没有提供必要的技术来保证永久的机密性，安全性，用于处理个人数据的系统和服务器的完整性，可用性和可持续性。导致本行客户及相关第三方客户的公民身份，个人身份证号码，永久或当前地址，身份证复印件(包含生物特征数据)；税务文件中包含的所有个人数据，证明借款人和第三方的收入和健康保险，以及健康状况信息，遭到泄露。

综上可知：保加利亚个人数据保护委员会(CPDP)对DSK Bank EAD的违规事件的处罚依据是GDPR第第32条 处理安全 第1款 （b）项，处罚金额为100万BGN（列佛）约51.1 万欧元。

对其进行违规分析可知：DSK银行数据泄露事件主要是因其缺乏保障信息安全的技术和组织措施。GDPR第32条 处理安全 第1款 明文规定：

考量现有技术实施成本和处理的性质、范围、背景、目的以及给自然人的权利和自由带来不同可能性和严重程度的风险，数据控制者和数据处理者应当采取适当技术性和组织性措施以保证应对风险的适当安全水平，酌情考虑但不限于以下因素：

（a）个人数据的匿名化和加密；

（b）保证处理系统和服务持续、保密、完整、可用和自我修复的能力；

（c）在发生物理性和技术性故障的情况下及时恢复个人数据的可用性和访问能力；

（d）定期测试、评价和评估处理过程技术性和组织性措施的有效性。

合规启示

众所周知GDPR是目前来说最严个人数据保护法。此次DSK 银行数据泄露事件让我们更加清醒的认识到，GDPR在欧盟众成员国数据保护机关中的重要地位——根据保加利亚个人数据保护法，处罚决定只能由保级利亚数据保护委员会主席下达，但处罚依据仍是GDPR。

此次DSK 银行被罚，对于中国出海企业来说，鉴于GDPR的长臂法案效应，企业应该重视数据安全并做定期的数据安全检查，在系统安全和组织方面采取更多、更有效的保护措施。当然这需要企业参加相关的技术和组织培训。本文由SCA结合相关法律文件整理，转载请注明出处。

附:保加利亚官网对DSK银行的处罚原文：

The Chairman of the Commission for Personal Data Protection has issued a Penal Order to DSK Bank EAD

Today, 28.08.2019, pursuant Art. 87, para. 3 of the Personal Data Protection Act, Mr Ventsislav Karadjov - Chairman of the Commission for Personal Data Protection, after an investigation regarding processing of data of DSK Bank EAD, issued a Penal Order for violation of Art. 32, § 1 (b) of Regulation (EU) 2016/679, with a view to the unauthorised access to the personal data by third parties of a total of 33 492 (thirty-three thousand four hundred ninety-two) customers of the bank in 23 270 (twenty-three thousand two hundred and seventy) credit records, containing personal data and an unlimited number of related third parties to the customers (including their spouses, vendors, descendants and guarantors). The amount of the penalty imposed is BGN 1,000,000.

During the one-month inspection undertaken by the Commission for Personal Data Protection (CPDP) over the processing of data by the bank it was established that, in the course of its everyday activity and processing, DSK Bank EAD, as a data controller, has not managed to implement the appropriate technical and organizational measures and has not provided the necessary ability to guarantee a permanent confidentiality, security, integrity, availability and sustainability of the systems and servers for processing personal data of individuals. The following personal data of customers of the Bank and related third parties has been compromised: three names, citizenship, personal identification number, permanent or current address, available copies of identity cards, containing biometric data; all personal data contained in tax documents, certifying the income and health insurance of the borrowers and third parties, as well as health status information (including some credit files containing declarations by the Work Capability Assessment Commission /WCAC/ for reduced working capacity), payment numbers bills, as well as registration numbers and dates of notarized acts with signatures.