Den spanska dataskyddsmyndigheten Agencia Espanola Proteccion Datos (“AEPD”) har bötfällt CaixaBank S.A. med 6 miljoner euro för brott mot artiklarna 6, 13 och 14 i dataskyddsförordningen (“GDPR”).
Av beslutet framgår att CaixaBank ombett sina kunder att samtycka till en ny integritetspolicy som gjort det möjligt för banken att överföra kunderans personuppgifter till alla bolag inom CaixaBank-koncernen. De kunder som inte ville samtycka till den nya personuppgiftsbehandlingen skulle enligt CaixaBank skicka ett meddelande till varje enskilt bolag i företagsgruppen.
Enligt AEPD har CaixaBank, genom sitt handlande, brutit mot sina informationsskyldigheter enligt artiklarna 13 och 14 i GDPR då informationen som tillhandahölls kunderna enligt integritetspolicyn inte var konsekvent, innehöll ett oklart språk och inte gav tillräcklig information om vilken typ av personuppgifter som skulle behandlas. Vidare ansåg AEPD att informationen om de registrerades rättigheter och CaixaBanks kontaktinformation inte tillhandahölls på ett konsekvent sätt.
Av beslutet framgår även att AEPD konstaterat att CaixaBank behandlat sina kunders personuppgifter i strid med kundernas berättigade intressen, och att det samtycke som CaixaBank fått från sina kunder inte uppfyllde kraven på ett giltigt samtycke enligt GDPR. Vidare ansåg AEPD att brister i CaixaBanks rutiner gjort det möjligt för banken att inhämta samtycken från kunderna. Med dessa samtycken överförde CaixaBank personuppgifterna till de andra bolagen i CaixaBank-koncernen, vilket utgör ett brott mot artikel 6 i GDPR.