Den spanska dataskyddsmyndigheten Agencia Espanola Proteccion Datos (“AEPD”) har bötfällt Banco Bilbao Vizcaya Argentaria, S.A. (“BBVA”) med 200 000 euro för brott mot artikel 32 i dataskyddsförordningen (“GDPR”).
Av beslutet framgår att BBVA, som är en bank, inte vidtagit några andra säkerhetsåtgärder än att implementera en automatisk telefontjänst som begärde identifieringsdata (DNI) för att bekräfta inringande kundens identitet. Enligt AEPD är denna säkerhetsåtgärd inte tillräcklig i förhållande till risken avseende de personuppgifter som behandlas av BBVA.
Avseende de påförda sanktionsavgifterna lyfter AEPD följande försvårande faktorer:
- Det höga antalet kunder och därmed antalet berörda registrerade,
- Att BBVA är ett solvent företag som har de tekniska medlen för att vidta lämpliga säkerhetsåtgärder varför bristerna visar på försummelse från bankens sida, och
- BBVS:s höga grad av ansvar gentemot sina kunder.
AEPD bötfällde BBVA med 200 000 euro, ett belopp som sänktes till 120 000 euro då banken frivilligt betalat sanktionsavgiften.