Data Protection Commission (DPC) har utfärdat en sanktionsavgift på 750 000 euro mot Bank of Ireland (BOI) för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att BOI utsatts för ett dataintrång i online-bankplattformen BOI365. Mellan den 30 januari 2020 och den 6 maj 2020 mottog DPC tio anmälningar om personuppgiftsincidenter. I sex av dessa överträdelser fick obehöriga personer tillgång till kundkonton online till följd av att bankpersonal inte följt förfarandena korrekt. De övriga fyra överträdelserna berodde på brister i kundinformationssystemet.
Den 12 augusti 2020 inledde DPC en undersökning och BOI lämnade in synpunkter den 25 november 2022 om följande: risk, metod för bedömning, testning, utbildning och kvalitetssäkring samt kategorisering av BOI:s åtgärder.
I sitt beslut försökte DPC fastställa om BOI har brutit mot artiklarna 5.1 (f) GDPR och 32 GDPR när det gäller dess behandling av personuppgifter via tjänsten BOI365. DPC:s beslut rörde två huvudfrågor, nämligen bedömningen av riskerna och den lämpliga säkerhetsnivån.
För det första, när det gäller riskbedömningen, hävdade BOI att det fram till detta fall, såvitt de visste, aldrig hade förekommit något fall av bedrägeri eller identitetsstöld till följd av denna typ av händelser. Vid bedömningen av risken hade det därför visat sig att det endast rörde sig om en potentiell skada. DPC avvisade dock detta argument och konstaterade att även om risken inte tidigare lett till en skada, minskar inte riskens allvarlighet. DPC konstaterade att det finns en hög risk för bedrägeri och identitetsstöld, särskilt för sårbara användare, och att dessa risker ökar ytterligare på grund av den stora mängd uppgifter som lagras på plattformen. Sammantaget innebär behandlingen på BOI365-plattformen en hög risk för de registrerades rättigheter och friheter.
För det andra, när det gäller den lämpliga säkerhetsnivån, konstateratde DPC att BOI hade en rad riktlinjer och förfaranden för styrning av dataskydd för att garantera integriteten och säkerheten för kundernas personuppgifter. Dessa riktlinjer och förfaranden omfattade dock inte några ytterligare kontroller för att minimera risken för mänskliga fel. Vidare konstaterade DPC att även om utbildningen bör baseras på de risker som uppstår i samband med behandlingen, förklarades inte de frågor som är förknippade med sammanslagningen av kundkonton i detalj för personalen. Dessutom innehöll inte policyn för behandling av uppgifter några ytterligare kontroller för att förhindra mänskliga fel. När det gäller säkerhetsåtgärderna saknades testning av de befintliga åtgärderna och organisatorisk tillsyn.
Mot bakgrund av ovanstående konstaterade DPC att BOI brutit mot principen om integritet och konfidentialitet i artikel 5.1 (f) GDPR och artikel 32.1 GDPR genom att underlåta att garantera lämplig säkerhet för de personuppgifter som rörde dess kundkonton. I enlighet med artikel 58.2 GDPR utfärdade DPC ett föreläggande om att göra behandlingen förenlig med dataskyddsförordningen. Vidare fick BOI en reprimand för överträdelserna och administrativa sanktionsavgifter på 750 000 euro.