Agencia Espanola Proteccion Datos (AEPD) har utfärdat en sanktionsavgift på 50 000 euro mot Banco Pichincha España S.A för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att en registrerad lämnat in ett klagomål mot Banco Pichincha. Den registrerade hade haft problem med sin mobiltelefon och bad sin telefonoperatör om en kopia av dennes SIM-kort och de samtal som hade ringts. Efter att ha mottagit listan över gjorda samtal noterade den registrerade att tre samtal ringts till dennes bank, samtal som den registrerade inte själv gjort. Den registrerade försökte därefter logga in på sin internetbank men hennes lösenord visade ett åtkomstfel. Den registrerade kontaktade då bankens kundtjänst för att ändra sitt lösenord, varpå det visade sig att någon utgivit sig för att vara den registrerade och fått tillgång till dennes konto.
AEPD:s utredning visade att en tredje part kontaktat banken via telefon. Banken, som var skyldiga att ställa vissa säkerhetsfrågor för att kunna identifiera den registrerade som den rättmätiga innehavaren av bankkontot, hade outsourcat sin kundtjänst till ett annat företag. Detta företag, som klassades som ett personuppgiftsbiträde, följde inte det protokoll som krävs för säkerhetsfrågor eftersom företaget fortsatte telefonsamtalet trots att den tredje parten inte kunde säga hur mycket pengar som skulle finnas på bankkontot och inte heller exakt vilken notering de hade om den registrerades yrke. Efter telefonsamtalet ändrades lösenordet och den tredje parten kunde genomföra finansiella transaktioner. Totalt saknades 50 000 euro från den registrerades konto.
AEPD ansåg att det yttersta ansvaret för behandlingen av personuppgifter låg kvar hos Banco Pichincha eftersom denne fastställde syftet med behandlingen. Vidare förklarades att om Banco Pichincha inte hölls ansvarig skulle detta innebära att personuppgiftsansvariga inte kunde hållas ansvariga för personuppgiftsbiträdens olagliga handlingar. Med hänvisning till EU-domstolens mål Deutsche Wohnen upprepade AEPD att en personuppgiftsansvarig inte behöver vara medveten om att denne bryter mot GDPR för att kunna straffas för en överträdelse av regelverket.
AEPD ansåg att Banco Pichincha behandlat den registrerades personuppgifter utan någon rättslig grund enligt artikel 6.1 GDPR. Banco Pichincha hade därmed varit försumlig när det gällde att kontrollera den uppringandes identitet och AEPD utfärdade en administrativ sanktionsavgift på 50 000 euro.