Data Protection Commission оштрафувала PTSB на €277,500

Data Protection Commission (DPC) оштрафувала банк PTSB на загальну суму €277,500 після розслідування серії порушень захисту персональних даних, які вперше були повідомлені у травні 2022 року. Комісія встановила, що три інциденти, що стали предметом розслідування, стосувалися ситуацій, коли зловмисники, маючи часткову інформацію про клієнтів, телефонували до Open24 Contact Centre PTSB і видавали себе за клієнтів, щоб отримати доступ до рахунків і змінити їхні дані.

У своєму повідомленні DPC вказала, що в усіх трьох випадках не були дотримані належні протоколи безпеки, що дозволило зловмисникам вносити зміни до деталей рахунків та отримувати додаткову інформацію про них. Як наслідок, власники рахунків опинилися підвищеному ризику подальших шахрайських дій: деякі змушені були закрити рахунки, а інші зазнали фінансових втрат.

Під час розслідування DPC оцінила ступінь відповідності технічних і організаційних заходів, які PTSB мала б застосовувати для захисту персональних даних, що оброблялися через Open24 Contact Centre. Комісія виявила три порушення Регламенту загального захисту даних (GDPR): по-перше, банк не забезпечив належного захисту персональних даних клієнтів через відповідні технічні та організаційні заходи; по-друге, не були впроваджені достатні заходи безпеки, адекватні ризикам, пов’язаним із обробкою даних у контактному центрі; по-третє, банк не повідомив DPC без невиправданої затримки і в межах 72 годин від виявлення порушень.

Комісія наклала дисциплінарні та фінансові санкції на суму €277,500. У своїй заяві представник PTSB повідомив, що банк повністю приймає результати розслідування DPC і щиро вибачається перед трьома клієнтами, постраждалими від інцидентів у 2022 році. За словами банку, викрадені з рахунків клієнтів кошти були відшкодовані повністю, і PTSB повністю співпрацював із Data Protection Commission у ході розслідування.

У заяві також наголошується, що PTSB серйозно ставиться до безпеки даних і вже вжив заходів для посилення операційних процесів, щоб значно зменшити ймовірність повторення подібних випадків. Банк підтвердив, що продовжує інвестувати в інструменти запобігання шахрайству та посилення систем захисту для захисту своїх клієнтів.

Цей штраф відображає посилення нагляду за установами фінансового сектору щодо безпеки даних і дотримання вимог GDPR, включно з обов’язковими строками повідомлення про порушення та суворими заходами захисту. Для клієнтів в Ireland та в усьому секторі це служить нагадуванням про важливість надійних процедур і постійного вдосконалення механізмів захисту персональної інформації.