UniCredit Bank оштрафован на 12 000 евро после раскрытия важной информации клиентов: проверка началась по жалобе физического лица

UniCredit Bank оштрафован на 12 000 евро после раскрытия данных клиентов

Национальный надзорный орган по обработке персональных данных в мае 2026 года завершил проверку в отношении UniCredit Bank SA и установил нарушение нескольких положений Регламента GDPR. Проверка была начата после жалобы физического лица.

По данным ведомства, в ходе проверки выяснилось, что оператор, для продления страховых полисов клиентами, которые были обязаны это сделать в связи с истечением срока действия полисов, направил ошибочные уведомления большому числу клиентов как через мобильные сообщения и интернет-банкинг, так и по электронной почте. Раскрытие данных произошло из-за ошибки, связанной с обработкой файла, необходимого для подготовки уведомлений.

Какие нарушения выявила ANSPDCP

В ходе расследования было установлено, что оператор не внедрил надлежащие технические и организационные меры, чтобы гарантировать, что любое физическое лицо, действующее под руководством оператора или его уполномоченного лица и имеющее доступ к персональным данным, обрабатывает их только по поручению оператора с учетом необходимости обеспечения соответствующего уровню риска режима безопасности, включая способность обеспечить конфиденциальность данных, отметили в ведомстве.

В результате этого нарушения произошла несанкционированная передача персональных данных, таких как имя, фамилия, адрес клиента, адрес и стоимость застрахованного объекта, статус клиента банка по кредитному продукту с ипотекой, дата окончания и стоимость страхового полиса, в отношении значительного числа субъектов данных. Это произошло из-за ошибочной отправки уведомлений об истечении срока страховых полисов не тем получателям, которым они были адресованы, вследствие ненадлежащей ручной обработки файла.

Кроме того, в ходе расследования было установлено, что оператор не уведомил о нарушении безопасности персональных данных в течение 72 часов с момента, когда узнал об инциденте. Уведомление было направлено с опозданием, хотя у оператора уже имелась конкретная информация о нарушении конфиденциальности персональных данных, сообщили в ANSPDCP.

Штрафы для UniCredit Bank

По итогам расследования UniCredit Bank был привлечен к административной ответственности и оштрафован на общую сумму 62 714 леев, что эквивалентно 12 000 евро. Из них 52 270 леев, или 10 000 евро, назначены за нарушение положений статьи 32, пункта 1, литеры b), а также пунктов 2 и 4 Регламента (ЕС) 2016/679 за невнедрение надлежащих технических и организационных мер. Еще 10 454 лея, или 2 000 евро, назначены за нарушение статьи 33, пункта 1 Регламента (ЕС) 2016/679 за несвоевременную передачу уведомления о нарушении безопасности в установленный законом срок.