Finsko nadzorno tijelo (DPA) je kaznilo banku s 1.800.000 eura zbog toga što nije implementirala dovoljne tehničke i organizacijske mjere u vezi s novom značajkom prijave na svojoj aplikaciji, što je dovelo do neovlaštenog pristupa računima dijela korisnika od strane trećih strana. Voditelj obrade je banka S-Bank Plc, koja je 2022. godine uvela novu funkciju prijave za svoju aplikaciju S-Mobile.
U travnju 2022. banka je uvela novu funkcionalnost prijave u S-Mobile. U softveru se pojavila sigurnosna ranjivost koja je bila iskoristiva više od tri mjeseca, od travnja do kolovoza. Zbog softverske pogreške, neki su se korisnici mogli prijaviti u S-Mobile s online bankovnim vjerodajnicama drugog korisnika i izvršiti plaćanja s računa drugog korisnika. Incident je utjecao na značajan broj korisnika, uzrokujući financijski gubitak nekima od njih. S-Banka je objavila da je kompenzirala klijente za izravne gubitke te obavijestila DPA o povredi podataka, što je pokrenulo istragu.
Voditelj obrade je tvrdio da je implementirao tehničke i organizacijske mjere propisane člankom 25. i člankom 32. GDPR-a te da je dotična ranjivost takve prirode da ju je vrlo teško otkriti i identificirati. Smatrao je da ne bi imao priliku djelovati drugačije. U svakom slučaju, prema voditelju obrade, odgovornost za funkcionalnost usluge autentifikacije u potpunosti leži na njegovom izvršitelju, pružatelju usluge.
Odluka
Prvo, DPA je utvrdio da voditelj obrade nije imao odgovarajuće tehničke i organizacijske zaštitne mjere kako bi spriječio treće strane da pristupe osobnim podacima. Greška u metodi prijave ne može se smatrati toliko atipičnom i iznimnom da bi njezino otkrivanje bilo nerazumno teško.
Banka nije adekvatno testirala novi softver prije njegovog uvođenja i nije identificirala ranjivost prije implementacije funkcionalnosti. Također nije adekvatno odgovorila na komunikacije svojih klijenata o anomalijama prilikom prijave u online bankarstvo. Da je voditelj pravilno testirao funkcionalnost na dovoljno sveobuhvatan način kako to zahtijeva članak 32(1) GDPR-a, uzimajući u obzir rizike povezane s obradom, mogao je identificirati grešku. Osim toga, mjere koje je voditelj poduzeo nakon uvođenja novog softvera nisu bile adekvatno prilagođene rizicima obrade.
Drugo, istaknuo je da je voditelj u cjelini odgovoran za povrede koje je uzrokovao njegov izvršitelj.
Treće, DPA je zaključio da je prekršen članak 5(1)(f) GDPR-a, članak 25(1) GDPR-a i članak 32(1) GDPR-a te je izrekao novčanu kaznu u iznosu od 1.800.000 eura.
U svibnju 2025. Financijsko nadzorno tijelo procijenilo je ponašanje S-Banke u istom skupu događaja za druge prekršaje i izreklo kaznu od 7.670.000 eura zbog nemara u upravljanju operativnim rizicima. DPA je uzelo u obzir odluku Financijskog nadzornog tijela prilikom određivanja iznosa kazne i prilagodilo je u skladu s tim. Iznos kazne izrečene za kršenje zaštite podataka iznosi otprilike trećinu onoga što bi bio bez kazne koju je izreklo Financijsko nadzorno tijelo.
Ovaj slučaj je jedan od mnogih koji pokazuje voditeljima obrade kako na važnost ugovora s izvršiteljima, tako i na važnost testiranja sustava/ aplikacija i sl., provođenje pravih procjena rizika te na osiguravanje tehničkih i sigurnosnih standarda zaštite. Neke stvari za vas neće napraviti izvršitelj niti može ispuniti sve vaše obveze.
