İspanyol Veri Koruma Otoritesi (AEPD), Caja Rural de Gijón Sociedad Cooperativa Asturiana de Crédito adlı bankaya Genel Veri Koruma Tüzüğü’nü (GDPR) ihlal ettiği gerekçesiyle 95.000 € para cezası uygulamıştır. Ancak, bankanın cezayı gönüllü olarak ödemesi nedeniyle bu tutar 76.000 €’ya düşürülmüştür.

AEPD, Caja Rural de Gijón Sociedad Cooperativa Asturiana de Crédito’da bir kişisel veri güvenliği ihlali yaşandığının bildirilmiş olduğunu açıklamıştır. Bu bildirimin, bankanın veri işleme hizmeti sağlayıcısı olan Rural Servicios Informáticos SL tarafından yapıldığı belirtilmiştir. AEPD’ye göre bu ihlal sonucunda siber saldırganlar, banka müşterilerinin kişisel verilerine erişim sağlamıştır.

Yapılan incelemeler sonucunda, AEPD, Caja Rural de Gijón Sociedad Cooperativa Asturiana de Crédito’nun GDPR’nin 5(1)(f) maddesinde belirtilen gizlilik ilkesini ihlal ettiğini tespit etmiştir. Saldırganların, yetersiz teknik ve organizasyonel önlemler nedeniyle 7.326 müşteriye ait kişisel verilere erişim sağlayabildiği belirlenmiştir.

Ancak, AEPD, bankanın GDPR’nin şu maddelerini ihlal etmediğini belirtmiştir:

• GDPR’nin 32. maddesi, çünkü kişisel veri ihlalinden bağımsız olarak, güvenlik önlemlerinin eksikliğine dair bir kanıt bulunamamıştır.
• GDPR’nin 33. maddesi, çünkü banka, veri işleme hizmeti sağlayıcısına ihlalin AEPD’ye bildirilmesi için gerekli talimatları verdiğini kanıtlayabilmiştir.

Bu tespitler sonucunda, AEPD tarafından banka aleyhine 95.000 € para cezası uygulanmıştır. Ancak, bankanın cezayı gönüllü olarak ödemesi nedeniyle bu tutar 76.000 €’ya indirilmıştır.