Agencia Espanola Proteccion Datos (AEPD) har utfärdat en sanktionsavgift 200 000 euro mot Caiaxabank S.A. för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att ärendet väcktes genom ett klagomål där den registrerade uppgav att Caiaxabank hade kontaktat den regsitrerade med information om ändringar i sin integritetspolicy samt aviserat kommande förfrågningar om samtycke till riktad reklam. Detta skedde trots att den registrerade inte längre var kund hos Caixabank. Vid en begäran om tillgång till sina uppgifter framkom att Caiaxabank fortsatt behandla information som härrörde från ett avslutat hypotekslån.
AEPD avvisade först klagomålet med motiveringen att uppgifterna fortfarande fanns i Caiaxabanks register och därför skulle betraktas som ett kundförhållande. Efter överklagande ändrade myndigheten sin bedömning och inledde ett sanktionsförfarande i juni 2024. Caixabank försvarade sig med att avtalet gav rätt att lagra uppgifterna fram till 2030 och att behandlingen därför var laglig enligt artikel 6.1 (b) GDPR.
AEPD konstaterade att den registrerade hade sagt upp sitt bolåneavtal med Caixabank 2008, vilket innebar att banken hade behållit personuppgifterna i nästan 16 år. AEPD ansåg att Caixabank hade lagrat personuppgifterna under en orimligt lång tid och därmed brutit mot principen om lagringsbegränsning enligt artikel 5.1 (e) GDPR.
AEPD ansåg att det rörde sig om en allvarlig överträdelse, på grund av den långa lagringstiden och de fyra tidigare sanktionsavgifter som AEPD hade ålagt Caixabank för överträdelser av GDPR.