Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 31,8 miljoner euro mot en bank för överträdelser av dataskyddsförordningen (GDPR) avseende bristfälliga säkerhetsåtgärder och otillräcklig incidenthantering i samband med inträffad personuppgiftsincident.
Bakgrund
Av beslutet framgår att banken år 2024 anmälde en personuppgiftsincident till Garante i enlighet med artikel 33 GDPR. Enligt banken inträffade personuppgiftsincidenten mellan 2022 och 2024, till följd av att en anställd utan behörighet hade fått tillgång till bankuppgifter om nio registrerade. Banken uppgav också att man skulle informera de berörda registrerade, trots att man hävdade att man inte hade identifierat några särskilt höga risker för deras rättigheter och friheter.
Garante inledde en utredning på eget initiativ efter att media rapporterat om ett betydligt högre antal berörda registrerade än vad banken hade hävdat (över 3 500 personer i stället för initialt angivna uppgifter). Banken hävdade att det faktum att en personuppgiftsincident inträffat inte i sig innebar att deras säkerhetsåtgärder var otillräckliga. Dessutom hävdade banken att det inte förelåg någon skyldighet att informera alla berörda registrerade, eftersom personuppgiftsincidenten inte utgjorde en hög risk för deras rättigheter och friheter.
Under sin utredning kom Garante fram till att personuppgiftsincidenten sannolikt innebar en hög risk för de berörda registrerade och ålade banken att underrätta alla berörda registrerade. Som svar på detta informerade banken Garante om de olika åtgärder som vidtagits för att informera de registrerade och säkerställa säkerheten vid behandlingen. Mer specifikt uppgav banken för Garante att man beslutat att inte kontakta cirka 1 300 registrerade, eftersom man ansåg att den anställde hade fått tillgång till deras uppgifter av rent tjänsterelaterade skäl. Garante ansåg att myndighetens föreläggande inte hade efterlevts i sin helhet.
Myndighetens bedömning
Garante konstaterade att den berörda anställde hade fullständig tillgång till alla registrerades finansiella uppgifter, och att bankens varningssystem inte upptäckt några avvikelser under den tvåårsperiod då den anställde hade tillgång till de registrerades uppgifter av skäl som inte var tjänsterelaterade. Banken hade därför underlåtit att vidta lämpliga säkerhetsåtgärder och hade inte följt principen om integritet och konfidentialitet eller ansvarsskyldighet. Detta var särskilt relevant med tanke på att banken behandlade finansiella uppgifter om ett stort antal registrerade, inklusive offentliga och politiskt exponerade personer. Garante konstaterade därför att artiklarna 5.1 (f), 24 och 32 GDPR hade överträtts.
Garante konstaterade även att banken inte hade fullgjort sina anmälningsskyldigheter i samband med personuppgiftsincidenten, eftersom de hade lämnat ofullständiga uppgifter som kompletterades först långt senare. Dessutom konstaterade Garante att banken hade tillämpat ENISA:s riktlinjer på ett felaktigt sätt i sin riskbedömning. Garante konstaterade därför att även artikel 33 GDPR hade överträtts.
Slutligen konstaterade Garante att banken endast hade underrättat de registrerade efter att ha ålagts att göra detta av Garante. Banken hade dessutom underlåtit att informera alla berörda registrerade. Enligt Garante utgjorde detta en överträdelse av artikel 34 GDPR.
Garante ålade banken sanktionsavgifter på 31,8 miljoner euro. Vid bedömningen beaktades särskilt det stora antalet berörda registrerade (inklusive offentliga personer) samt den fördröjning som uppstått i samband med anmälan och hantering av personuppgiftsincidenten efter att banken fått kännedom om den.
Praktiska konsekvenser
Beslutet visar att långvarig intern obehörig åtkomst till finansiella personuppgifter kan utgöra bristande säkerhetsåtgärder enligt artikel 32 GDPR, även när åtkomsten sker inom ett legitimt systemkonto men utan tjänsterelaterat behov. Det tydliggör att otillräcklig övervakning och utebliven upptäckt av avvikande åtkomst över tid kan innebära överträdelser av artiklarna 24 och 32 GDPR.
Vidare framgår att incidentanmälningar enligt artikel 33 GDPR måste vara fullständiga från början, och att kompletteringar i efterhand inte neutraliserar initiala brister. Beslutet understryker också att informationsskyldigheten enligt artikel 34 GDPR ska fullgöras fullt ut efter myndighetsföreläggande, utan selektiva undantag.
Relaterad expertis
TechLaw bistår verksamheter med rådgivning inom dataskydd & integritet, IT-säkerhet och incidenthantering i reglerade och teknikintensiva miljöer. Läs mer om vår expertis inom dataskydd och integritet.
Behöver ni stöd i att analysera hur GDPR påverkar er verksamhet är ni välkomna att kontakta oss.
Källa: Garante.