Włoski organ nadzorczy nałożył na bank IntesaSanpaolo karę administracyjną w wysokości 31,8 mln EURO
Pracownik banku dokonywał wglądu do danych osobowych objętych tajemnicą bankową i przetwarzał je niezgodnie z prawem ponad dwa lata – od 21 lutego 2022 roku do 24 kwietnia 2024 roku. Nie zostało to w tym okresie wychwycone przez administratora w ramach wewnętrznych procedur kontrolnych. Bank będzie musiał za to zapłacić ponad 30 mln euro.
Postępowanie zostało wszczęte w lipcu 2024 r. na podstawie zgłoszonego przez administratora naruszenia ochrony danych osobowych. Organ nadzorczy wykazał, że wewnętrzny system przetwarzania danych umożliwiał pracownikowi dostęp do danych 3 573 klientów. We wskazanym czasie pracownik ten dokonał wglądu do bazy danych poprzez uzyskanie odpowiedzi na ponad 6,6 tys. zapytań. Kontom, które były przedmiotem jego zainteresowania, nadano uprzednio status „wysokiego ryzyka” – obejmowały one dane bankowe osób publicznych. Odrębny status nie był jednak zabezpieczeniem i nie miał żadnego wpływu na proces udostępniania danych. System pozwalał użytkownikom na dokonywanie wglądu do wszystkich rejestrów danych osobowych zawartych w bazie.
Wysokie ryzyko dla praw i wolności
Natomiast w 2024 r., po zgłoszeniu przez administratora naruszenia danych osobowych, organ nadzorczy uznał, że w jego ocenie naruszenie stanowiło wysokie ryzyko dla praw i wolności osób, których one dotyczyły. Pierwotnie bank twierdził, że naruszenie takiego ryzyka ze sobą nie niosło, więc jako admini-strator nie poinformował osób o zaistniałym incydencie. Organ nadzorczy w związku z dokonaną oceną ryzyka nakazał administratorowi podjęcie właściwych działań wskazanych w RODO oraz przekazanie w terminie 30 dni udokumentowanych wyjaśnień obejmujących podjęte przez bank środki zaradcze.
W decyzji z 26 marca 2026 roku włoski organu nadzorczy uznał, że administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych, które uniemożliwiałyby uzyskanie nieuprawnionego dostępu – wglądu w dane osobowe objęte tajemnicą bankową. Na wysokość nałożonej kary miała wpływ liczba osób, których dane objęło naruszenie, oraz fakt, że trwało ono tak długo. Nie bez znaczenia była też nieadekwatna reakcja administratora po stwierdzeniu naruszenia w 2024 r.
