Fiński organ nadzorczy: Aktia Bank ukarany grzywną za niedociągnięcia w zabezpieczeniach danych w usłudze silnego uwierzytelniania elektronicznego

Podsumowanie decyzji

Usługa silnego uwierzytelniania elektronicznego Aktia Banku uległa zakłóceniu w wyniku zmiany technicznej w styczniu 2023 r. Podczas krótkotrwałego zakłócenia część osób logujących się do różnych usług przy użyciu danych uwierzytelniających bankowości internetowej Aktia uzyskała dostęp do danych osobowych innych klientów, ponieważ usługa myliła tożsamości użytkowników. Naruszenie danych osobowych dotknęło różne usługi publiczne, fundusze bezrobocia, firmy ubezpieczeniowe oraz podmioty opieki zdrowotnej. Wiele z tych usług zawierało informacje o wysokim stopniu prywatności, takie jak dane dotyczące zdrowia i sytuacji finansowej. Naruszenie danych dotyczyło ok. 350 osób. Nie odnotowano przypadków nadużycia danych.

Kluczowe ustalenia

Dochodzenie fińskiego organu nadzorczego wykazało, że bezpieczeństwo usługi uwierzytelniania powinno zostać zapewnione poprzez odpowiednie zarządzanie zmianami. Fiński SA uznał, że bank wykazał niedociągnięcia w projektowaniu, wdrażaniu i testowaniu zmiany technicznej w usłudze. Aktia powinna była zaplanować i wdrożyć zmianę techniczną w usłudze z większą starannością oraz przeprowadzić wystarczające testy. Bardziej rozległe testy mogły zostać wykonane przy użyciu konwencjonalnych i powszechnie stosowanych metod.

Decyzja

Fiński SA nałożył na Aktia grzywnę w wysokości 865 tys. EUR za nieprzestrzeganie wymogów przepisów o ochronie danych dotyczących bezpiecznego przetwarzania danych osobowych oraz ochrony danych w fazie projektowania i domyślnie (art. 32 RODO, art. 5 pkt. 1 lit. f RODO oraz art. 32 RODO). Wydano również upomnienie.

Źródło:

Komunikat Europejskiej Rady Ochrony Danych

Finnish SA: Aktia Bank fined for data security shortcomings in its strong electronic authentication service | European Data Protection Board