Υποβλήθηκε στην Αρχή Προστασίας Προσωπικών Δεδομένων καταγγελία κατά της Τράπεζας για περιστατικό παραβίασης προσωπικών δεδομένων, συνιστάμενο στην αποστολή ειδοποιήσεων Alerts σε τρίτο πρόσωπο, με το ονοματεπώνυμο της καταγγέλλουσας, το οποίο συνεχιζόταν παρά τη σχετική ενημέρωση της Τράπεζας. Από τη διερεύνηση προέκυψε ότι το περιστατικό οφειλόταν στην εσφαλμένη δήλωση ηλεκτρονικής διεύθυνσης εκ μέρους του συνδικαιούχου της καταγγέλλουσας. Παρότι η Τράπεζα ειδοποιήθηκε σχετικά, δεν προέβη στη διακοπή της αποστολής των ειδοποιήσεων αλλά υπέδειξε προς την καταγγέλλουσα τον τρόπο με τον οποίο θα έπρεπε να ασκηθεί το δικαίωμα διόρθωσης εκ μέρους του συνδικαιούχου, ως υποκειμένου ανακριβών δεδομένων. Διαπιστώθηκε παράβαση της αρχής της εμπιστευτικότητας (άρθ. 5 παρ. 1 στοιχ. δ) και στ) ΓΚΠΔ) και παράβαση των υποχρεώσεων της Τράπεζας για γνωστοποίηση του περιστατικού στην Αρχή και στο υποκείμενο (άρθρα 33 και 34 ΓΚΠΔ) για τις οποίες επιβλήθηκε πρόστιμο συνολικού ύψους 10.000 €. Επιπλέον η Αρχή απηύθυνε προειδοποίηση προς την Τράπεζα σε σχέση με τα ελλιπή τεχνικά και οργανωτικά μέτρα ασφάλειας (άρθρα 24 και 32 ΓΚΠΔ) που διαπιστώθηκαν, εξαιτίας της απουσίας μέτρων επιβεβαίωσης των ηλεκτρονικών διευθύνσεων που δηλώνονται για τον σκοπό της αποστολής ειδοποιήσεων Alerts.