Hellenic Data Protection Authority (HDPA)har utfärdat en sanktionsavgift på 30 000 euro mot Piraeus Bank för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att Piraeus Bank tillhandahållit uppgifter om ett gemensamt bankkonto till en tredje part som påstod sig vara arvtagare till en av kontoinnehavarna som avlidit. Denna tredje part använde sedan dessa uppgifter i en rättegång mot den andra kontoinnehavaren (den registrerade). Den registrerade lämnade in ett klagomål till HDPA och hävdade att överföringen av dennes personuppgifter saknade rättslig grund.
Efter att ha utrett ärendet erkände Piraeus Bank att dess anställd begått ett misstag genom att lämna de begärda uppgifterna till en tredje part. Piraeus Bank hävdade också att banken vidtagit alla tekniska och organisatoriska åtgärder för att garantera säkerheten för personuppgifter, vilket dock inte kan förhindra mänskliga misstag. Slutligen hävdade Piraeus Bank att det inte var nödvändigt att underrätta HDPA och den registrerade om överträdelsen.
HDPA betonade principen om laglighet, rättvisa och öppenhet enligt artikel 5.1 (a) GDPR och det ansvar som personuppgiftsansvariga har för säkerheten av personuppgifter enligt principen om integritet och konfidentialitet enligt artikel 5.1 (f) GDPR och kravet på lämpliga säkerhetsåtgärder enligt artikel 32 GPDR. HDPA erinrade om de negativa konsekvenser som dataintrång kan få för de registrerade, inklusive fysiska, materiella eller moraliska skador. Av denna anledning måste dessa överträdelser i enlighet med artikel 33 GDPR rapporteras till myndigheten inom 72 timmar efter det att den personuppgiftsansvarige fått kännedom om dem. På samma sätt måste den registrerade underrättas i enlighet med artikel 34 GDPR. Av dessa skäl ansåg HDPA inte bara att överföringen av personuppgifter till en tredje part var olaglig, utan också att Piraeus Bank inte uppfyllde skyldigheten att anmäla överträdelsen till myndigheten i rätt tid.