Ιρλανδία: Πρόστιμο 277.500 ευρώ στην τράπεζα Permanent TSB για περιστατικά παραβίασης προσωπικών δεδομένων

Την τελική της απόφαση σχετικά με την παραβίαση δεδομένων στην τράπεζα Permanent TSB (PTSB), γνωστοποίησε η ιρλανδική αρχή προστασίας δεδομένων DPC.

Η παραβίαση τέθηκε σε γνώση της DPC τον Μάιο του 2022 και σημειώθηκε όταν κακόβουλοι δράστες, έχοντας στην κατοχή τους ορισμένες πληροφορίες πελατών, κάλεσαν το «Open24 Contact Centre» της PTSB και προσποιήθηκαν τους πελάτες, προκειμένου να αποκτήσουν πρόσβαση στους λογαριασμούς τους και να τροποποιήσουν στοιχεία των λογαριασμών.

Και στα τρία περιστατικά, δεν τηρήθηκαν τα κατάλληλα πρωτόκολλα ασφαλείας. Οι κακόβουλοι δράστες κατάφεραν να αλλάξουν στοιχεία που σχετίζονταν με τους λογαριασμούς και να αποκτήσουν πρόσθετες πληροφορίες λογαριασμών. Ως αποτέλεσμα, οι κάτοχοι των λογαριασμών εκτέθηκαν σε αυξημένο κίνδυνο περαιτέρω απάτης. Οι κάτοχοι των λογαριασμών αναγκάστηκαν να κλείσουν τους λογαριασμούς τους και, σε ορισμένες περιπτώσεις, υπέστησαν οικονομική ζημία.

Στο πλαίσιο της έρευνας, η DPC αξιολόγησε την καταλληλότητα των τεχνικών και οργανωτικών μέτρων της PTSB για τη διασφάλιση της ασφάλειας των προσωπικών δεδομένων που επεξεργαζόταν μέσω του Open24 Contact Centre. Η DPC αξιολόγησε επίσης εάν η PTSB γνωστοποίησε τις παραβιάσεις στην DPC εντός των προθεσμιών που απαιτεί ο Γενικός Κανονισμός Προστασίας Δεδομένων.

Η απόφαση της ιρλανδικής αρχής, η οποία κοινοποιήθηκε στην PTSB την περασμένη εβδομάδα, διαπιστώνει ότι η τράπεζα:

α) παραβίασε την αρχή της ακεραιότητας και εμπιστευτικότητας του άρθρου 5 παρ.1στ’ ΓΚΠΔ, καθώς δεν μερίμνησε για την ασφάλεια των προσωπικών δεδομένων που σχετίζονται με λογαριασμούς πελατών μέσω κατάλληλων τεχνικών και οργανωτικών μέτρων·

β) παραβίασε το άρθρο 32 παρ.1 ΓΚΠΔ, καθώς δεν εφάρμοσε κατάλληλα τεχνικά και οργανωτικά μέτρα ώστε να διασφαλίσει επίπεδο ασφάλειας ανάλογο προς τον κίνδυνο που παρουσίαζε η επεξεργασία προσωπικών δεδομένων στο Open24 Contact Centre, και

γ) παραβίασε το άρθρο 33 παρ.1 ΓΚΠΔ, καθώς δεν γνωστοποίησε την παραβίαση στην εποπτική αρχή χωρίς αδικαιολόγητη καθυστέρηση και εντός 72 ωρών από τη στιγμή που έλαβε γνώση των παραβιάσεων.

Με βάση τις διαπιστώσεις αυτές, η ιρλανδική αρχή απεύθυνε επίπληξη στην τράπεζα, ενώ παράλληλα της επέβαλε διοικητικό πρόστιμο ύψους 250.000 ευρώ για τις παραβιάσεις των υποχρεώσεων ασφάλειας και 27.500 ευρώ για τη μη έγκαιρη γνωστοποίηση του συμβάντος.