Banki adatvédelmi incidensek Európából és az USA-ból
A bankok óriási felelősséggel tartoznak ügyfeleiknek az adatainak védelmével kapcsolatban. Ezek az intézmények gyakran hatalmas mennyiségű személyes adatot tárolnak, melyek döntő többsége még banktitoknak is minősül, ezért elvárás velük kapcsolatban, hogy ezeket minden körülmények között biztonságban tartsák. Az adatvédelmi hatóságok az adatvédelmi incidensek bekövetkezése miatt leggyakrabban az adatkezelés biztonságával kapcsolatban találnak kivetnivalót, melyet a GDPR 32. cikke szabályoz. Egy korábbi esetben, melyről akkor beszámoltunk, szintén ezzel kapcsolatban kapott bírságot az UniCredit Bank. Alábbi cikkünkben két további banki adatvédelmi incidenst vizsgálunk meg.
Capital One
80 millió dolláros bírságot kapott egy amerikai bank, az amerikai Capital One, mely így nem is a GDPR-on alapul. Az bírság mértékét egyből kritikák érték, mivel sokak szerint az nem arányos a cég általi mulasztásokkal. A bankot 2019-ben érte egy internetes támadás, melynek során 106 millió hitelkártyát igénylő amerikai és kanadai ügyfél személyes adatai szivárogtak ki. A banki információkon kívül 140.000 amerikai és 1 millió kanadai állampolgár társadalombiztosítási adatait is eltulajdonította a támadó.
Az elkövető egy bizonyos 33 éves Paige Thompson nevű hölgy volt, aki a hackerkedés előtt az Amazon online szolgáltatásokért felelős csoportjánál dolgozott. Egy rosszul konfigurált tűzfalat és a rendszerek ismeretét kihasználva szerzett hozzáférést a Capital One egyik szerveréhez, és onnan 700 védtelen mappa teljes tartalmát letöltötte. A támadást követően letartóztatták, és internetes csalásért akár 250.000 dolláros bírságra és 5 év börtönre számíthat.
Az ügyben eljáró Hatóság, az OCC véleménye szerint azonban nem a támadót illeti dicséret a sikeres adatlopásért, sokkal inkább a bank a felelős a feltűnően gyenge adatvédelemért. A Hatóság még 2015-ben végzett vizsgálatot a banknál, melynek során számos informatikailag gyenge pontra bukkantak, melyek kijavítására azonnal fel is hívták a Capital One figyelmét. A cég ezeknek a kéréseknek nem tett eleget, ezzel elmulasztotta a megfelelő információbiztonsági szabványok bevezetését, mely minden amerikai banknak törvény által meghatározott kötelessége.
A kiszabott bírság mellett a Hatóság ismét kötelezte a bankot informatikai rendszereinek korszerűsítésére, melynek a legutóbbi banki közlemények szerint ezúttal eleget is szándékoznak tenni.
Bank of Ireland
Az Ír Adatvédelmi Hatóság (DPC) is vizsgálódik a Bank of Ireland ellen, miután kiderült, hogy egyes ügyfelek adatait illetéktelenekkel is megosztották a bank online felületén. A helyzet itt abban különbözik, hogy ezt a mintegy 10 esetet a bank maga jelentette a Hatóságnak. A GDPR alapján ugyanis adatvédelmi incidens esetén az adatkezelőnek az észlelést követő legfeljebb 72 órán belül jelentenie kell azt az illetékes adatvédelmi hatóságnak (GDPR 33.cikk).
A Bank of Ireland közlése szerint egyes felhasználók, amikor beléptek a bank online felületére, olyan személyek banki információját is láthatták, akikkel hasonló, vagy egyező nevük volt. A bank információi alapján az incidensek emberi mulasztás miatt történtek, 2020 januárja és áprilisa között.
A bank ellen jelenleg is folyamatban van egy adatvédelmi vizsgálat, mely még 2019-ben kezdődött. Akkor szintén a Bank of Ireland jelentette az incidenst; mintegy 22 esetben a bank téves hitelinformációkat adott át a Központi Hitelnyilvántartási Irodának. Írországban egyébként a legtöbb adatvédelmi bejelentés pénzintézetek ellen érkezik. Jelenleg a négy legtöbbet vizsgált cég közül három bank, melyek egyike a Bank of Ireland.
Az ír Hatóság sokáig nem mutatott túlzott aktivitást a bírságolás területén, holott számos ügyük van folyamatban. A DPC első bírságát 2019-ben szabta ki az ír gyermek- és családvédelmi ügynökség ellen, erről az ügyről részletesebben itt olvashat.