Agencia Espanola Proteccion Datos (AEPD) har bötfällt Ibercaja med 100 000 euro för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att en kvinna lämnat sina och sitt barns personuppgifter till den spanska banken Ibercaja i syfte att få tillgång till en avliden persons kontonummer och inleda en arvsprocess. Under processen öppnade Ibercaja ett konto i den minderåriga registrerades namn för att överföra en del av de medel som den avlidne personen hade i banken. När mamman fick kännedom om bankkontot lämnade hon in ett klagomål till AEPD och hävdade att Ibercaja inte hade bett om hennes samtycke. Ibercaja bekräftade att det inte fanns något samtycke men hävdade att kontot var inaktivt och att det var nödvändigt för den fördelning och den utdelning av den avlidnes tillgångar som modern begärde.
AEPD ansåg att Ibercajas öppnande av kontot inte var nödvändigt för att utföra den tjänst som modern begärde, eftersom hon kunde välja att öppna kontot i en annan bank. AEPD påpekade att moderns begäran om att inleda arvsförfarandet inte i sig innebär att banken kan använda barnets uppgifter för andra ändamål, till exempel för att öppna ett bankkonto. AEPD betonade att även om kontot inte var aktivt var enbart införandet av den registrerades personuppgifter i bankens informationssystem olagligt, eftersom det inte hade godkänts av deras lagliga företrädare.
AEPD påminde om att dataskyddsförordningen kräver att personuppgiftsansvariga ska inhämta ett informerat och otvetydigt samtycke för vart och ett av ändamålen med behandlingen av personuppgifter. Det faktum att den registrerade lämnade sina personuppgifter i syfte att få tillgång till banksaldon gör det således inte möjligt att behandla dessa uppgifter för andra ändamål, till exempel för att skapa ett bankkonto i ett av hennes minderåriga barns namn. Mot denna bakgrund ansåg AEPD att Ibercaja agerat i strid med artiklarna 6.1 och 15 GDPR.