Agencia Espanola Proteccion Datos (AEPD) har utfärdat en sanktionsavgift på 2,5 miljoner euro mot Open Bank (den personuppgiftsansvarige) för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att en registrerad lämnat in ett klagomål till den bayerska dataskyddsmyndigheten mot Open Bank. Den registrerade klagade på att Open Bank begärt ursprungsbevis för flera penningbelopp på dennes bankkonto. Open Banks begäran grundade sig i gällande regler om penningtvätt. Den registrerade erbjuds dock ingen mekanism för att på ett säkert sätt tillhandahålla informationen utöver okrypterad e-post.
Ärendet lämnades över till AEPD eftersom Open Bank har sitt säte och huvudsakliga verksamhetsställe i Spanien.
AEPD konstaterade inledningsvis att att Open Bank hade en ofullständig konsekvensbedömning avseende dataskydd. Även om Open Bank gjort en konsekvensbedömning om sin allmänna behandling inkluderade den inte behandlingen av personuppgifter i samband med verifieringar av penningtvätt. Denna underlåtenhet ledde till en brist på lämpliga tekniska och organisatoriska åtgärder för att upprätthålla dataskyddsprinciperna och uppfylla kraven i GDPR.
Vidare konstaterade AEPD att enbart protokoll eller mallar är otillräckligt för att följa principerna om inbyggt dataskydd (Privacy by Design) och dataskydd som standard (Privacy by Default). Att bara genomföra den obligatoriska konsekvensbedömningen är inte tillräckligt för att uppfylla kraven som beskrivs i artikel 25 GDPR. För att uppfylla kraven i artikel 25 GDPR skulle Open Bank exempelvis ha utformat protokoll som informerade kunderna om att informationen även kunde skickats via post eller lämnas personligen på bankkontoren.
Därutöver konstaterade AEPD att Open Bank brutit mot artikel 32 GDPR. Enligt AEPD har Open Bank inte erbjudit ett säkert sätt att tillhandahålla den efterfrågade dokumentationen. AEPD konstaterade även att ett vanligt e-postmeddelande inte kan anses vara ett lämpligt sätt att garantera en säkerhetsnivå som är adekvat för risken med att skicka dokumentation som innehåller personliga finansiella uppgifter.
Sanktionsavgiften uppgick totalt på 2 500 000 euro, ett belopp på 1 500 000 euro för överträdelse av artikel 25 GDPR och 1 000 000 euro för överträdelse av artikel 32 GDPR.