Datatilsynet bötfäller BRAbank ASA med 400 000 norska kronor för brott mot artiklarna 24 och 32.1-2 dataskyddsförordningen (“GDPR”).
Av beslutet framgår att ärendet inleddes med en anmälan om en inträffad personuppgiftsincident den 6 september 2019 från dåvarande Easybank ASA. Enligt anmälan kunde vissa kunder se andra kunders lånevillkor när banken lanserade “Min sida” för ett mindre urval av kunder. “Min sida” är enligt banken en lösning där kunderna får en överblick över sitt lånåtagande.
Om kunden följde en länk för att verifiera kontaktinformation kunde de få kontaktinformationen till andra kunder. Denna information var inte nödvändigtvis relaterad till det lån de fått tillgång till. Några kunder fick också tillgång till en annan kunds adressinformation och vissa fick felaktig låninformation. Händelsen inträffade under en period då “Min sida” rullades ut för ett urval av 500 av bankens kunder. BRAbank har informerat de kunder som potentiellt har påverkats av händelsen.
Efter att ha utfört ytterligare utredningar av ärendet har Datatilsynet kommit fram till att banken inte uppfyllt GDPR:s krav på att genomföra en konsekvensbedömning avseende dataskydd. Banken har inte heller vidtagit lämpliga tekniska åtgärder (testning) i samband med lanseringen av kundportalen. Datatilsynets bedömning är att personuppgiftsinciden kunde ha förhindrats om banken genomfört en konsekvensbedömning avseende dataskydd och vidtagit lämpliga tekniska åtgärder för testning enligt lag.
Enligt Datatilsynet kräver GDPR att den personuppgiftsansvarige genomför konsekvensbedömningar avseende dataskydd och vidtar lämpliga tekniska åtgärder såsom testning mot bakgrund av den risk deras tjänst medför för de registrerade. I det aktuella fallet har Datatilsynet lagt tyngre vikt vid att BRAbank behandlat kundernas finansiella uppgifter, och att det är information som individer uppfattar som mycket privata. Detta gäller särskilt information om konsumentlån och refinansiering. Informationens privata karaktär påverkar vilka tekniska och organisatoriska åtgärder den personuppgiftsansvarige måste vidta för att skydda personuppgifternas säkerhet. Till skillnad från till exempel inkomst är finansiell information inte offentligt tillgänglig information. Datatilsynet integritetsundersökningar har också visat att information om personlig ekonomi upplevs som särskilt värdig skydd. Så många som 89 procent trodde detta enligt Datatilsynets undersökning för 2019/2020 .
BRAbank har tre veckor på sig att överklaga Datatilsynets beslut.
Enligt Datatilsynet har BRAbank accepterat myndighetens beslut om sanktionsavgifter i sin helhet.