Agencia Espanola Proteccion Datos (AEPD) har utfärdat en sanktionsavgift på 70 000 euro mot Banco Bilbao Vizcaya Argentaria S.A. (BBVA) för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att en registrerad förlorat sitt identitetskort och anmälde detta omedelbart till behöriga myndigheter. Den registrerade upptäckte dock att en obehörig tredje part tagit ut samtliga pengar på hennes konto i ett bankkontor.
AEPD:s utredning visade att BBVA inte kontrollerat om den utomstående personens namnteckning eller personliga kännetecken stämde överens med identitetskortet. En av bankens anställda hade dessutom godkänt uttaget trots att det interna säkerhetssystemet indikerat att utomstående personens digitaliserade namnteckning inte stämde överens med kontoinnehavarens namnteckning.
Enligt AEPD utgjorde detta en överträdelse av kravet på lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig för behandlingen enligt artikel 32 GDPR.