Hellenic Data Protection Authority (HDPA) har utfärdat en sanktionsavgift på 10 000 mot Piraeus Bank för överträdelse av artiklarna 5.1 (f), 33 och 34 i dataskyddsförordningen (GDPR).
Av beslutet framgår att Piraeus Bank av misstag skickat ett dokument som innehöll uppgifter om den registrerade till en tredje part. Felet berodde på en felaktigt uppgiven e-postadress av en delägare till kontot. Även om Piraeus Bank informerats om felet slutade banken inte att skicka meddelanden till den tredje parten, utan instruerade i stället den registrerade att utöva sin rätt att korrigera de felaktiga uppgifterna.
Som ett resultat av sin utredning konstaterade HDPA att Piraeus Bank brutit mot principen om konfidentialitet enligt artikel 5.1 (f) GDPR genom att inte sluta skicka ovannämnda meddelanden. HDPA konstaterade också att Piraeus Bank i strid med artiklarna 33 och 34 GDPR underlåtit att rapportera dataintrånget till myndigheten och den registrerade i rätt tid.