Amendă administrativă în valoare de 1,8 milioane euro aplicată de către Autoritatea Finlandeză pentru Protecția Datelor companiei S-Bank pentru vulnerabilitate în securitatea datelor

       Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), cu titlu informativ și aplicativ, comunică despre amenda administrativă în valoare de 1,8 milioane euro aplicată de către Autoritatea Finlandeză pentru Protecția Datelor (SA) companiei S-Bank pentru încălcarea articolului 5 (Principii legate de prelucrarea datelor cu caracter personal), articolului 25 (Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit) și articolului 32 (Securitatea prelucrării) din GDPR.

       În urma notificării transmise de S-Bank în august 2022, SA Finlandeză a inițiat o investigație privind o breșă de securitate care a afectat un număr semnificativ de clienți ai băncii. Vulnerabilitatea a apărut în aprilie 2022, odată cu lansarea unui nou mecanism de autentificare. Din cauza unei erori software în serviciul de autentificare, logarea în banca online și accesul la serviciile digitale utilizând autentificarea puternică au fost posibile folosind datele de conectare ale altor clienți. Această defecțiune tehnică a rămas exploatabilă timp de mai mult de trei luni, iar o parte dintre clienți au fost afectați în mod direct.

       Urmare a investigației s-a constatat lipsa unor măsuri adecvate de securitate și a unor controale tehnice și organizatorice corespunzătoare din partea băncii. Printre deficiențe se numără: testarea insuficientă a noilor funcționalități înainte de implementare; neidentificarea vulnerabilității în etapa de dezvoltare și testare și reacția inadecvată la semnalările clienților privind anomalii la autentificare.

       În acest context, SA Finlandeză a impus operatorului o amendă administrativă în valoare de 1,8 milioane euro pentru  încălcarea prevederilor articolelor 5(1)(f), 25(1), 32(1) și 32(2) din GDPR și a emis o mustrare pentru nerespectarea legislației privind protecția datelor.

       La stabilirea cuantumului amenzii, SA Finlandeză a ținut cont de necesitatea protejării drepturilor persoanelor vizate, de gravitatea generală a incidentului, precum și de faptul că banca fusese anterior avertizată în legătură cu obligațiile sale. De asemenea, amenda a fost ajustată în contextul unei sancțiuni separate emise în mai 2025 de către Autoritatea de Supraveghere Financiară din Finlanda, care a impus companiei S-Bank o amendă de 7 670 000 de euro pentru deficiențe în gestionarea riscurilor operaționale în legătură cu același set de evenimente.

       CNPDCP, în calitate de autoritate națională de supraveghere a prelucrării datelor cu caracter personal, accentuează asupra responsabilității operatorilor de date cu caracter personal de a respecta prevederile cadrului legislativ în materie de protecție a datelor cu caracter personal și de a se asigura că operațiunile de prelucrare a datelor cu caracter personal sunt conforme legislației în vigoare.