Tietosuojaviranomainen antoi syyskuussa 2025 S-Pankille seuraamuspäätöksen, joka koski kesän 2022 tapausta, jossa epäillyt rikolliset väärinkäyttivät S-Pankin järjestelmätoimittajan ohjelmistosta löytynyttä poikkeuksellista ja erittäin vaikeasti havaittavaa virhettä. Väärinkäytös kohdistui pieneen joukkoon S-Pankin asiakkaita. Järjestelmävirhe korjattiin heti, kun se havaittiin. S-Pankki on korvannut kaikki asiakkaille aiheutuneet välittömät vahingot.
Päätöksessä apulaistietosuojavaltuutettu antoi S-Pankille huomautuksen, minkä lisäksi seuraamuskollegio määräsi S-Pankille 1 800 000 euron hallinnollisen seuraamusmaksun. Perustelunaan tietosuojaviranomainen muun muassa arvioi, että S-Pankin tunnistautumisen toiminnallisuuteen liittyvä henkilötietojen käsittely ja menettely kyseisen toiminnallisuuden käyttöönotossa ei olisi ollut yleisen tietosuoja-asetuksen mukaista. Lisäksi päätöksen mukaan S-Pankin toimet haavoittuvuuden löytämiseksi ja poistamiseksi eivät olisi olleet riittäviä.
S-Pankin näkemys eroaa tietosuojaviranomaisen päätöksen perusteena esitellyistä tulkinnoista. S-Pankki katsoo, että se on toiminut rekisterinpitäjänä huolellisesti ja täyttänyt sille asetetut velvoitteet. Lisäksi S-Pankki on toiminut sovellettavan sääntelyn edellyttämällä tavalla huolellisesti ja aktiivisesti sekä ohjelmiston käyttöönotossa ja testaamisessa että poikkeaman selvittämisessä.
”Meillä on näkemyseroja tietosuojaviranomaisen antaman päätöksen perusteista sekä siinä esitellyistä tulkinnoista. Haemme linjausta hallinto-oikeudelta. S-Pankki on kehittänyt ja kehittää jatkuvasti toimintatapojaan ja riskienhallintaansa varmistaakseen palveluidensa turvallisuuden muuttuvassa toimintaympäristössä.”, sanoo S-Pankin lakiasiainjohtaja Jussi Sokka.
S-Pankki Oyj