Hellenic Data Protection Authority (HDPA) har utfärdat en sanktionsavgift på 10 000 euro mot Alpha Bank för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att en kund lämnat in ett klagomål till HDPA att Alpha Bank inte gett honom tillgång till videomaterial från bevakningskameror som visade hans besök på ett bankkontor efter att ha blivit utsatt för elektronisk bedrägeri.
Alpha Bank hävdade att videomaterialet raderats efter 45 dagar, vilket var den tid som angavs i bankens integritetspolicy och i HDPA:s riktlinjer. Alpha Bank svarade dock inte på kundens begäran inom den lagstadgade tidsfristen på 30 dagar och informerade inte heller kunden om förlängningen av tidsfristen eller skälen till förseningen.
HDPA ansåg att banken underlåtit att respektera kundens rätt till tillgång till sina personuppgifter enligt artikel 15 GDPR. HDPA ansåg också att banken underlåtit att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna från obehörig åtkomst, ändring eller radering enligt artikel 32 GDPR. HDPA påpekade att banken borde ha “frusit” videomaterialet när den blev medveten om den olagliga handlingen och att banken borde ha informerat kunden om dennes rättigheter och skyldigheter enligt GDPR.