Den spanska dataskyddsmyndigheten Agencia Espanola Proteccion Datos (“AEPD”) har bötfällt Caixabank Payments & Consumer EFC, EP, S.A.U. med 3 miljoner euro för brott mot artikel 6.1 i dataskyddsförordningen (“GDPR”).
Av beslutet framgår att utredningen mot Caixabank inleddes av AEPD efter ett klagomål 2018 från en enskild individ som informerade myndigheten om att Caixabank tagit en kreditupplysning på honom samt erbjudit honom en förhandsbeviljad kredit utan att det funnits någon pågående avtalsrelation parterna emellan. Under utredningen framkom vidare att Caixabank inte tillhandahållit tillräcklig information om personuppgiftsbehandlingen, inklusive den profilering som banken gjort, eller den rättsliga grund som användes för att genomföra behandlingen, varför Caxiabank agerat i strid med artikel 6.1 GDPR.
Enligt AEPD fanns ett flertal försvårande omständigheter som påverkade nivån på de utdömda sanktionsavgifterna, som exempelvis:
- Brottets art, svårighetsgrad och varaktighet, med beaktande av arten, omfattningen eller syftet med behandlingen i fråga, eftersom brottet är ett resultat av det förfarande som Caxiabank har utformat för att samla in samtycke till att utföra profiler i kommersiellt syfte med sina kunder, vilket innebär en betydande risk för de registrerades rättigheter med hänsyn till den särskilt ingripande karaktären av sådan personuppgiftsbehandling
- Uppsåtet eller oaktsamheten vid överträdelsen
- Det starka sambandet mellan den person som begått överträdelsen och behandlingen av personuppgifter
- Caxiabanks status som ett stort företag och dess verksamhetsvolym
- Den stora volymen av uppgifter och behandlingen som varit föremål för ärendet
- Det stora antalet berörda parter