Search
Close this search box.

Spanien: BBVA bötfälls med 70 000 euro för att ha avslöjat advokats hemadress för tredje part utan rättslig grund

Agencia Espanola Proteccion Datos (AEPD) har bötfällt Banco Bilbao Vizcaya Argentaria A.A. (BBVA) med 70 000 euro för överträdelser av dataskyddsförordningen (GDPR).

Av beslutet framgår att den registrerade var en advokat som hade ett konto i banken BBVA. I november 2020 skickade advokaten ett skriftligt klagomål till BBVA på uppdrag av en klient som var kund hos samma bank. I december 2020 överlämnade BBVA ett svar till kunden och angav därvid advokatens privata adress som de förvarade i sin privata kundfil. Därigenom avslöjade BBVA advokatens hemadress för en tredje part.

AEPD ansåg först att behandlingen advokatens personuppgifter som utfördes i samband med hanteringen av ett kundklagomål som advokaten lämnat in i egenskap av kundens advokat, utgjorde en överträdelse av principen om ändamålsbegränsning i artikel 5.1 (b) GDPR, eftersom personuppgifterna behandlades på ett sätt som inte överensstämde med de ändamål för vilka uppgifterna ursprungligen samlats in. BBVA hade nämligen samlat in uppgifterna för att upprätta ett personligt bankkonto för advokaten.

Dessutom konstaterade AEPD en överträdelse av artikel 32 GDPR, eftersom det faktum att en tredje part fått obehörig tillgång till information som rör advokaten, leder till slutsatsen att BBVA inte effektivt vidtagit lämpliga tekniska och organisatoriska åtgärder för att förhindra en sådan incident.

AEPD konstaterade även att BBVA även brutit mot principen om integritet och konfidentialitet i artikel 5.1 (f) GDPR genom att BBVA avslöjade advokatens hemadress för en tredje part utan rättslig grund, vilket strider mot tystnadsplikten. Även om BBVA förklarade att incidenten var ett engångshändelse höll AEPD banken ansvariga, eftersom ett sådant fel strider mot den noggrannhet som den måste följa och en brist på noggrannhet också anses vara ett klandervärt beteende.

AEPD bötfällde BBVA med 50 000 euro för överträdelse av artikel 5.1 (b) GDPR och 5.1 (f) GDPR samt med ytterligare 20 000 euro för överträdelse av artikel 32 GDPR. AEPD begärde dock inte att BBVA, i enlighet med artikel 58.2 (d) GDPR, skulle se till att deras behandling var förenlig med GDPR, eftersom fallet endast gällde en enda persons missbrukade uppgifter och misstaget redan hade korrigerats.

Mer information

Myndighet: Agencia Espanola Proteccion Datos (AEPD)

Land: Spanien

Lagrum: Art. 5 GDPR, art. 32 GDPR, art.  58 GDPR, art. 83 GDPR

Sanktionsavgift: 70 000 euro

Mottagare: Banco Bilbao Vizcaya Argentaria A.A.

Beslutsnummer: PS/00375/2022

Beslutsdatum: N/A

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

07 MAR

AI – Introduktion till artificiell intelligens

Kursen ger dig de rättsliga förutsättningarna för utveckling, upphandling och användning av AI.

14 MAR

Cybersäkerhet - Introduktion till NIS2-direktviet

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

21 MAR

AI - Introduktion till AI-förordningen

En genomgång av de viktigaste reglerna i den nya AI-förordningen och hur du kan använda AI-system på ett lagenligt sätt.