La Hellenic Bank avait loué des locaux pour sa propre filiale de Nicosie, mais quand en 2015 elle décidait de déménager, elle oubliait littéralement un vieux coffre à clé qui avait été construit dans un mur du bâtiment. Par la suite, de 2015 à 2019, le magasin n’était plus disponible, mais quand les locaux avaient finalement été loués par son propriétaire, les nouveaux locataires découvraient avec surprise l’existence du coffre abandonné, et donc ils décidaient rapidement d’avertir la banque, Mais quand les fonctionnaires de l’institut se rendaient sur place pour ouvrir les locaux blindés, ils n’y trouvaient pas à l’intérieur des lingots d’or ou des liasses de billets, mais des vieux dossiers et des fichiers de clients et d’anciens clients qui y avaient été placés à l’époque.

À ce moment-là, les fonctionnaires de la banque récupéraient tout le contenu qui y était resté fermé pendant cinq ans et s’occupaient de transférer tout le dossier en le mettant en sécurité au siège de la Banque. Toutefois, comme le prévoyait le RGPD, la banque notifiait également le « data Breach » au Bureau chypriote de la protection des données.

Outre le retard lié à l’obligation de la banque de notifier à l’autorité de contrôle l’infraction à la sécurité, qui devrait normalement intervenir « sans retard injustifié et, si possible, dans un délai de 72 heures à compter du moment où il en a eu connaissance »Le garant chypriote a également constaté une violation du principe de disponibilité des dossiers bloqués à l’intérieur du coffre-fort entre 2015 et 2019.

Parmi les facteurs aggravants et atténuants qui ont été évalués au cours de l’instruction en relation avec l’incident de sécurité, En mars 2021, le Bureau du Commissaire à la protection des données de Chypre a finalement décidé d’infliger à Hellenic Bank Ltd une amende de 25.000 euros pour les violations des principes de sécurité exigés par l’article 5 du RGPD, celles de l’article 32, paragraphe 1, lettres b) et c) la capacité d’assurer en permanence la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et services de traitement, ainsi que la capacité de rétablir rapidement la disponibilité et l’accès des données personnelles en cas d’accident physique ou technique, en plus de la contestation de la notification retardée conformément à l’article 33 du règlement UE.

Comme il était trop facile de présumer vu le lieu sécurisé où les documents étaient bien enfermés, les médias chypriotes ont indiqué que la Hellenic Bank a néanmoins tenu à souligner que, pendant cette longue période, aucune des informations relatives aux clients de la banque se trouvant dans la chambre forte n’a été divulguée à des tiers, et que toutes les mesures d’organisation ont été prises entre-temps pour que de tels événements ne se reproduisent pas à l’avenir.

SOURCE: FEDERPRIVACY