Agencia Espanola Proteccion Datos (AEPD) har utfärdat en sanktionsavgift på 40 000 euro mot Bankia SA för brott mot artikel 5.1 (b) i dataskyddsförordningen (GDPR).
Av beslutet framgår att Bankia behållt en registrerads personuppgifter i mer än 16 år trots att personen inte längre var kund hos banken. AEPD konstaterade därför att Bankia agerat i strid med principen om ändamålsbegränsning i GDPR då banken inte säkerställt att uppgifterna endast behandlats för särskilda, uttryckligt angivna och berättigade ändamål. Därutöver ansåg AEPD att Bankia inte vidtagit tillräckliga åtgärder för att säkerställa att blockerade uppgifter inte var tillgängliga för oberhöriga anställda på företaget.
Sanktionsavgiften uppgick ursprungligen till 50 000 euro, men sänktes till 40 000 euro efter att Bankia gjort en omgående betalning och erkänt sitt ansvar för överträdelsen.
TechLaw bistår verksamheter i frågor som rör dataskydd, ändamålsbegränsning och lagringsminimering. Läs mer om vår expertis inom dataskydd och integritet.
Har ni frågor är ni välkomna att kontakta Carina Berg, partner och jurist specialiserad inom dataskydd och affärsjuridik i teknikintensiva verksamheter.
Källa: AEPD.