Hellenic Data Protection Authority (HDPA) har utfärdat en sanktionsavgift på 3 000 euro mot Alpha Bank S.A. för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att Alpha Bank lämnat in en anmälan om en incident HDPA med uppgift om att det skett obehörig åtkomst till personuppgifter, efter att en anställds roll i systemet inte anpassats när han förflyttades till en annan organisatorisk enhet i företaget. Detta uppmärksammades inte under en mycket lång tidsperiod och resulterade i att 6 167 personer påverkades av incidenten. Den information som obehöriga fick tillgång till rörde känsliga personuppgifter som uppgift om hälsa och funktionshinder. Incidenten anmäldes sent till HDPA eftersom det krävdes en utredning för att identifiera källan till dataläckan och bekräfta intrånget.
HDPA konstaterade att incidenten inträffat då Alpha Bank inte vidtagit åtgärder för att hantera interna hot. vilket strider mot principen om integritet och konfidentialitet enligt artikel 5.1 (f) GDPR jämförd med artikel 32 GDPR. Enligt HDPA borde Alpha Bank bland annat ha vidtagit lämplig systemövervakning, implementerat säkerhetspolicyer så att användare inte hade möjlighet att agera utanför sina avsedda behörigheter, samt ytterligare systemövervakning på aktivitetsnivåer för administratörer.
HDPA utfärdade en sanktionsavgift på 3 000 euro mot Alpha Bank och beaktade ett antal försvårande faktorer som bland annat att den anställde haft möjlighet till obehörig åtkomst till systemet med förhöjda systemadministratörsrättigheter under en lång tidsperiod, samt att känsliga personuppgifter påverkades. Som förmildrande omständighet ansåg HDPA bland annat att incidenten var liten och att konsekvenserna av incidenten var begränsade i förhållande till Alpha Banks storlek.