sobota, 6 czerwca, 2026
Orzecznictwo zagraniczne

Fiński organ nadzorczy: S-Bank ukarany grzywną za lukę w zabezpieczeniach danych

Podsumowanie decyzji

Fiński organ nadzorczy przeprowadził dochodzenie dotyczące naruszenia ochrony danych osobowych po zgłoszeniu przez S-Bank w sierpniu 2022 r. W kwietniu 2022 r. bank wprowadził nową funkcję logowania w swojej usłudze mobilnej. Z powodu błędu oprogramowania w usłudze uwierzytelniania możliwe było logowanie do bankowości internetowej i usług on-line przy użyciu silnego uwierzytelniania z wykorzystaniem danych uwierzytelniających innych klientów. Luka była możliwa do wykorzystania przez ponad trzy miesiące. Część klientów banku padła ofiarą naruszenia danych. W praktyce luka dotyczyła znaczącej części klientów banku.

Kluczowe ustalenia

Dochodzenie wykazało, że bank nie posiadał odpowiednich zabezpieczeń zapewniających bezpieczeństwo danych osobowych. Bank nie przeprowadził wystarczających testów nowego oprogramowania przed jego wdrożeniem ani nie zidentyfikował luki przed uruchomieniem funkcjonalności. Nie zareagował również w odpowiedni sposób na zgłoszenia klientów dotyczące nieprawidłowości podczas logowania do bankowości internetowej. Fiński SA uznał, że działania banku naruszyły art. 5 pkt. 1 lit. f, art. 25 pkt. 1, art. 32 pkt. 1 oraz art. 32 pkt. 2 RODO.

Decyzja

Fiński SA nałożył na administratora grzywnę w wysokości 1,8 mln EUR oraz udzielił upomnienia za nieprzestrzeganie przepisów o ochronie danych. Fiński SA uznał, że kara za naruszenie ochrony danych była konieczna ze względu na potrzebę ochrony praw jednostek, ogólne znaczenie sprawy oraz wcześniejsze upomnienie udzielone bankowi.

Organ uwzględnił decyzję Fińskiego Urzędu Nadzoru Finansowego, wydaną w maju 2025 r., przy ustalaniu wysokości grzywny i odpowiednio ją dostosował. Urząd Nadzoru Finansowego ocenił działania banku w tym samym zestawie zdarzeń pod kątem innych naruszeń i nałożył grzywnę w wysokości 7 670 000 EUR za zaniedbania w zarządzaniu ryzykiem operacyjnym.

Źródło:

Komunikat Europejskiej Rady Ochrony Danych

Finnish SA: S-Bank fined for data security vulnerability | European Data Protection Board

Pobierz PDF

Zobacz również

CNIL publikuje swój plan strategiczny na lata 2025–2028

DPC z zadowoleniem przyjmuje zgodę X na zawieszenie przetwarzania danych osobowych w celu szkolenia narzędzia AI „Grok”

Irlandzki organ ochrony danych nakłada na LinkedIn Ireland karę w wysokości 310 milionów euro