Agencia Espanola Proteccion Datos (AEPD) har utfärdat en sanktionsavgift på 120 000 euro mot Banco Bilbao Vizcaya Argentaria, S.A. (“BBVA”) för brott mot artikel 32 i dataskyddsförordningen (GDPR).
Av beslutet framgår att BBVA, som är en bank, inte vidtagit några andra säkerhetsåtgärder än att implementera en automatisk telefontjänst som begärde identifieringsdata (DNI) för att bekräfta inringande kundens identitet. Enligt AEPD är denna säkerhetsåtgärd inte tillräcklig i förhållande till risken avseende de personuppgifter som behandlas av BBVA.
Avseende de påförda sanktionsavgifterna lyfter AEPD följande försvårande faktorer:
- Det höga antalet kunder och därmed antalet berörda registrerade,
- Att BBVA är ett solvent företag som har de tekniska medlen för att vidta lämpliga säkerhetsåtgärder varför bristerna visar på försummelse från bankens sida, och
- BBVS:s höga grad av ansvar gentemot sina kunder.
Sanktionsavgiften uppgick ursprungligen till 200 000 euro, men sänktes till 120 000 euro efter att BBVA gjort en omgående betalning och erkänt sitt ansvar för överträdelsen.