Den spanska dataskyddsmyndigheten Agencia Espanola Proteccion Datos (AEPD) har bötfällt CaixaBank, S.A. med 2,1 miljoner euro för överträdelse av artiklarna 6, 6.1 och 7.4 i dataskyddsförordningen (GDPR).
Av beslutet framgår att AEPD tagit emot klagomål från kunder som hävdat att CaixaBank (tidigare Bankia S.A.) krävt att de skulle uppfylla vissa villkor i sin så kallade digitala profil för att den skulle skapas (villkoren var redan förkryssade). Enligt klagomålen var de tvungna att uppge sitt telefonnummer och sin e-postadress och ge sitt samtycke till att deras personuppgifter i kommersiellt syfte överfördes till tredje part, inklusive företag inom Bankia-koncernen, samt att de samtyckte till att ta emot anpassad reklam om produkter, tjänster, kampanjer eller rabatter.
Vidare framgick av klagomålen att det i den förhandsinformation som gällde kundernas digitala profil angetts att kontot endast skulle skapas om alla ovanstående villkor var uppfyllda, och att kunder med detta konto kommer att undantas från att behöva betala olika avgifter, då dessa endast behöver betalas av kunder som inte har ett digitalt konto.
Efter sin utredning fann AEPD att CaixaBank överträtt artikel 6 GDPR, i samband med artikel 7.4 GDPR, eftersom CaixaBank hämtat in ett samtycke för andra ändamål än de som angetts i det överenskomna avtalet, genom att koppla samtycket till betalningsbefrielse från de ovannämnda avgifterna. AEPD ansåg särskilt att kravet på att ge samtycke för två olika former av behandlingar, dvs. för att skicka reklammeddelanden och för överföring av personuppgifter till de andra företag i Bankia-koncernen, innebar att samtycket inte gavs frivilligt. AEPD ansåg dessutom att CaixaBank agerat i strid med artikel 6.1 GDPR eftersom banken inhämtade ett samtycke genom att kryssa i rutor i förväg, vilket innebar att samtycket inte var frivilligt, specifikt, informerat och otvetydigt.
När AEPD fattade sitt beslut tog AEPD hänsyn till försvårande omständigheter som bland annat det faktum att det inträffade är ett resultat av CaixaBanks policy att kräva kundernas samtycke för behandling av deras personuppgifter genom att införa ett betalningsfrihet från olika avgifter, vilket berörde ett stort antal berörda parter.
Till följd av detta beslutade AEPD att bötfälla CaixaBank med 2 000 000 euro och 100 000 euro för överträdelse av artikel 6 GDPR, i samband med artikel 7.4 GDPR, respektive artikel 6.1 GDPR.