I september 2025 meddelade dataskyddsmyndigheten S-Banken ett sanktionsbeslut avseende en incident sommaren 2022, där misstänkta brottslingar utnyttjade ett exceptionellt och mycket svårupptäckt fel i programvaran hos S-Bankens systemleverantör. Missbruket riktades mot ett litet antal kunder hos S-Banken. Systemfelet åtgärdades genast efter att det upptäcktes. S-Banken har ersatt alla direkta skador som kunderna orsakats.
I beslutet gav biträdande dataombudsmannen S-Banken en anmärkning, och dessutom påförde påföljdskollegiet S-Banken en administrativ påföljdsavgift på 1 800 000 euro. Dataskyddsmyndigheten motiverade beslutet med bland annat att behandlingen av personuppgifter och förfarandena relaterade till S-Bankens autentisering vid införandet av denna funktion inte var förenliga med den allmänna dataskyddsförordningen. Enligt beslutet var S-Bankens åtgärder för att hitta och eliminera sårbarheten dessutom otillräckliga.
S-Bankens uppfattning skiljer sig från de tolkningar som låg till grund för dataskyddsmyndighetens beslut. S-Banken anser att den som personuppgiftsansvarig har agerat omsorgsfullt och fullgjort sina skyldigheter. Dessutom har S-Banken i enlighet med tillämplig lagstiftning agerat omsorgsfullt och aktivt vid införandet och testningen av programvaran samt utredningen av avvikelsen.
”Vi har olika uppfattningar om grunderna för dataskyddsmyndighetens beslut och de tolkningar som gjorts i det. Vi vill nu att förvaltningsdomstolen ska komma med riktlinjer. S-Banken har utvecklat och fortsätter att utveckla sina operativa metoder och sin riskhantering för att säkerställa att tjänsterna är säkra i en föränderlig operativ miljö”, säger Jussi Sokka, direktör för juridiska ärenden på S-Banken.
S-Banken Abp