POP Pankille huomautus puutteellisesta tiedotuksesta tietoturvaloukkauksen kohteeksi joutuneille

Apulaistietosuojavaltuutettu on antanut POP Pankille huomautuksen, joka liittyy keväällä 2019 tapahtuneeseen tietoturvaloukkaukseen. Huomautuksen syynä on se, että pankki antoi verkkosivuillaan ja Facebook-sivullaan puutteellista tietoa siitä, oliko kaikkia tietoturvaloukkauksen kohteeksi joutuneita henkilöitä informoitu henkilökohtaisesti vai ei.

Tietoturvaloukkauksessa oli kyse pankin käyttämistä sähköisistä lomakkeista, joiden sisältämiin tietoihin ulkopuolisella verkkopalveluita ylläpitävällä taholla oli tarpeettoman laaja pääsy. Tietoturvaloukkauksen tultua ilmi pankki muutti lomakkeita niin, etteivät niiden sisältämät henkilötiedot tallennu tietokantaan. Lomakkeille aiemmin tallennettujen tietojen osalta varmistettiin, että tiedot ovat vain pankin hallussa.

Tietoturvaloukkauksen jälkeen pankki otti yhteyttä osaan tietoturvaloukkauksen kohteeksi joutuneista henkilöistä. Koska pankilla ei ollut käytettävissä kaikkien tietoturvaloukkauksen kohteeksi joutuneiden riittäviä yhteystietoja, se julkaisi julkisen tiedonannon loukkauksesta verkkosivuillaan ja Facebook-sivullaan. Tiedonannosta saattoi kuitenkin saada käsityksen, että kaikkiin tietoturvaloukkauksen kohteeksi joutuneisiin oli oltu yhteydessä myös henkilökohtaisesti. Apulaistietosuojavaltuutetun mukaan pankin kanssa asioineet saattoivat perustellusti uskoa, ettei tietoturvaloukkaus koske heitä, jos he eivät olleet saaneet asiasta pankilta henkilökohtaista ilmoitusta.

Tiivistelmä päätöksestä on luettavissa Finlex-palvelussa.

Lisätietoja:

apulaistietosuojavaltuutettu Anu Talus, puh. 050 466 5809, [email protected]