Agencia Espanola Proteccion Datos (AEPD) har utfärdat en sanktionsavgift på 5 miljoner euro mot CaixaBank S.A. för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att en kund vid CaixaBank hittat bevis på en betalning från en okänd tredje part till en annan person som var okänd för honom på sitt bankkonto. Han kunde se avsändarens och mottagarens namn, hemadress, IBAN för kontona samt överföringens ursprung och destination. Kunden kontaktade bankens kundtjänst. På grund av det otillräckliga svaret från företaget anmälde kunden händelsen till AEPD.
AEPD inledde en utredning och konstaterade att CaixaBank inte hade vidtagit tillräckliga tekniska och organisatoriska åtgärder för att förhindra att sådana incidenter inträffade eller för att minimera deras konsekvenser. CaixaBank hade därmed inte uppfyllt principerna om integritet och konfidentialitet, inbyggt dataskydd (Privacy by Design) och dataskydd som standard (Privacy by Default), samt säkerhet för personuppgifter.
AEPD beslutade att påföra CaixaBank tre administrativa sanktionsavgifter för överträdelse av artikel 5.1 (f) GDPR med 2 miljoner euro, artikel 25 GDPR med 1,5 miljoner euro och artikel 32 GDPR med 1,5 miljoner euro, totalt belopp på 5 miljoner euro. AEPD beordrade också banken att vidta korrigerande åtgärder för att åtgärda bristerna i dess system och för att garantera efterlevnaden av GDPR.