Den spanska dataskyddsmyndigheten Agencia Espanola Proteccion Datos (“AEPD”) har bötfällt Banco Bilbao Vizcaya Argentaria, S.A. (“BBVA”) med sammanlagt 5 miljoner euro för brott mot artiklarna 6 och 13 i dataskyddsförordningen (“GDPR”).
Av beslutet framgår att BBVA inte implementerat någon specifik mekanism för att få kundernas samtycke till att behandla deras personuppgifter. Vidare använde BBVA inte tillräckligt precis terminologi i sin integritetspolicy då varken syftet eller den rättsliga grunden för bankens behandling av personuppgifter fanns med i policyn. BBVA specificerade inte heller vilken typ av personuppgifter som behandlades av banken. Mot bakgrund av bristerna bötfällde AEPD banken med 3 miljoner euro för brott mot artikel 6 i GDPR och 2 miljoner euro för brott mot artikel 13 i GDPR