Hellenic Data Protection Authority (HDPA) har utfärdat en sanktionsavgift på 60 000 euro mot Alpha Bank för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att en kund anmälde Alpha Bank för att ha lämnat ut information om hans kreditkortstransaktioner till hans fru, som även hon var kund i banken, utan hans medgivande.
HDPA begärde att Alpha Bank skulle inkomma med en förklaring och lämna in sina policyer avseende dataskydd. Alpha Bank svarade att det var ett misstag av en anställd som lurats av kundens fru att tro att hon hade kundens tillstånd att få utskrifter av hans kreditkortskonto.
HDPA ansåg att Alpha Bank brutit mot artiklarna 5.1 (a), 5.1 (f) och 33 GDPR genom att inte skydda kundens personuppgifter och inte informera honom om händelsen. HDPA tog hänsyn till att utlämnandet var begränsad till en nära anhörig och att den anställde vid Alpha Bank inte agerat med uppsåt.
HDPA beslutade att Alpha Bank dels skulle betala 60 000 euro i sanktionsavgift dels vidta disciplinära åtgärder mot handläggaren, registrera utlämnandet i sitt register över personuppgiftsincidenter, och informera kunden om resultatet av utredningen.