Agencia Espanola Proteccion Datos (AEPD) har utfärdat en sanktionsavgift på 120 000 euro mot Banco Bilbao Vizcaya Argentaria S.A. (BBVA) för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att den registrerade var anställd av BBVA och att anställningsförhållandet upphörde i september 2021. När anställningsförhållandet upphörde fick den registrerade möjlighet att behålla arbetstelefonen för personligt bruk i enlighet med avtalsvillkoren i köpeavtalet. Efter några månaders användning kunde den registrerade plötsligt inte använda telefonen, som visade ett meddelande om att enheten administreras på distans av BBVA och att företagsuppgifter måste anges för vidare användning.
Den registrerade kontaktade BBVA som svarade med instruktioner om att återställa telefonen helt och hållet. Den registrerade ville dock behålla sina personuppgifter och återställde inte telefonen till fabriksinställningarna. Den registrerade lämnade därefter in ett klagomål till AEPD. AEPD inledde ett disciplinärt förfarande mot BBVA som hävdade att köpeavtalet som reglerade överföringen av arbetstelefonen till privat bruk gav dem rätt att radera uppgifter från telefonen.
Enligt AEPD gav köpekontraktet visserligen BBVA rätt att radera alla uppgifter som fanns i företagsapplikationer när som helst under eller efter anställningsförhållandet, men avtalet gav inte BBVA rätt att radera andra personuppgifter som inte fanns i företagsapplikationerna.
AEPD ansåg därför att BBVA inte kunde åberopa en rättslig grund enligt artikel 6.1 GDPR för behandlingen av uppgifterna i form av radering. Sanktionsavgiften uppgick till 200 000 euro, men sänktes till 120 000 euro efter att BBVA erkänt sitt ansvar för överträdelsen.