Agencia Espanola Proteccion Datos (AEPD) har utfärdat en sanktionsavgift på 70 000 euro mot Banco Bilbao Vizcaya Argentaria A.A. (BBVA) för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att den registrerade var en advokat som hade ett konto i banken BBVA. I november 2020 skickade advokaten ett skriftligt klagomål till BBVA på uppdrag av en klient som var kund hos samma bank. I december 2020 överlämnade BBVA ett svar till kunden och angav därvid advokatens privata adress som de förvarade i sin privata kundfil. Därigenom avslöjade BBVA advokatens hemadress för en tredje part.
AEPD ansåg först att behandlingen advokatens personuppgifter som utfördes i samband med hanteringen av ett kundklagomål som advokaten lämnat in i egenskap av kundens advokat, utgjorde en överträdelse av principen om ändamålsbegränsning i artikel 5.1 (b) GDPR, eftersom personuppgifterna behandlades på ett sätt som inte överensstämde med de ändamål för vilka uppgifterna ursprungligen samlats in. BBVA hade nämligen samlat in uppgifterna för att upprätta ett personligt bankkonto för advokaten.
Dessutom konstaterade AEPD en överträdelse av artikel 32 GDPR, eftersom det faktum att en tredje part fått obehörig tillgång till information som rör advokaten, leder till slutsatsen att BBVA inte effektivt vidtagit lämpliga tekniska och organisatoriska åtgärder för att förhindra en sådan incident.
AEPD konstaterade även att BBVA även brutit mot principen om integritet och konfidentialitet i artikel 5.1 (f) GDPR genom att BBVA avslöjade advokatens hemadress för en tredje part utan rättslig grund, vilket strider mot tystnadsplikten. Även om BBVA förklarade att incidenten var ett engångshändelse höll AEPD banken ansvariga, eftersom ett sådant fel strider mot den noggrannhet som den måste följa och en brist på noggrannhet också anses vara ett klandervärt beteende.
AEPD har utfärdat en sanktionsavgift mot BBVA med 50 000 euro för överträdelse av artikel 5.1 (b) GDPR och 5.1 (f) GDPR samt med ytterligare 20 000 euro för överträdelse av artikel 32 GDPR. AEPD begärde dock inte att BBVA, i enlighet med artikel 58.2 (d) GDPR, skulle se till att deras behandling var förenlig med GDPR, eftersom fallet endast gällde en enda persons missbrukade uppgifter och misstaget redan hade korrigerats.