İtalya Veri Koruma Otoritesi (“Otorite”), bir bankanın çalışanlarından birinin yetkili olmadığı şubedeki müşterilerin verilerine erişmesi şeklindeki olayı veri ihlali olarak değerlendirmiş ve GDPR’a aykırı bulmuştur.

Bir Banka’nın çalışanı tarafından başka şubede müşteri olan 9 #ilgilikişinin finansal verilerine erişim sağlanmıştır. Banka bu durumu öğrenmesinin akabinde GDPR madde 33. maddesi uyarınca Otorite'ye bildirmiş ancak yüksek risk oluşturmadığını düşünerek ilgili kişilere bir bildirimde bulunmamış yalnızca internet sitesinde bir bildiri yayınlamıştır.

Otorite tarafından aynı çalışanın içerisinde önde gelen kamu figürleri de dahil 3.500'den fazla ilgili kişinin banka hesap bilgilerine eriştiği öğrenilmiş olup olayı inceledikten sonra bu durumun bir #veriihlali olduğunu ve finansal verilerle ilgili ihlallerin, diğer verilerle birleştiğinde kimlik hırsızlığı gibi daha yüksek risklere yol açabileceğini vurgulamıştır. Otorite, yüksek risk olarak değerlendirirken EDPB’nin 9/2022 Sayılı Kılavuzuna atıfta bulunmuş ve şu faktörlere dayanmıştır:

Erişilen kişisel verilerin niteliği;
Bu erişimlerin, İtalya Ceza Kanunu’nun 615-ter maddesi uyarınca suç sayılabileceği olasılığı;
Bankacılık sektöründe çalışanların yüksek düzeyde gizlilik gerektiren bir sektörde olmaları.

veri sorumlusunun ilgili kişilere GDPR madde 34 uyarınca ihlal bildirimlerini, hesapların açıldığı şubede banka çalışanları tarafından şahsen yapılmasını ve bu görüşmelerin GDPR’nin 5(2) maddesine uygun olarak yazılı olarak belgelenmesini şart koşmuştur.

Kararın linkine buradan ulaşabilirsiniz.

İtalya Veri Koruma Otoritesi (“Otorite”), bir bankanın çalışanlarından birinin yetkili olmadığı şubedeki müşterilerin verilerine erişmesi şeklindeki olayı veri ihlali olarak değerlendirmiş ve GDPR’a aykırı bulmuştur.