Gegevensbeschermingsautoriteit (GBA) anser att en personuppgiftsansvarig måste ge tillgång till alla handlingar som konsulterats vid provningen av en registrerads kreditansökan, även om dessa handlingar skapats av tredje part för oberoende ändamål artikel 15 dataskyddsförordningen (GDPR).
Av beslutet framgår att en registrerad persons kreditansökan avslogs av den personuppgiftsansvarige. Följaktligen utövade den registrerade sin rätt till tillgång till den personuppgiftsansvarige och lämnade in ett klagomål till ombudsmannen för finansiella tjänster. Den personuppgiftsansvarige informerade honom om att tre akter konsulterats vid granskningen av hans kreditansökan: i) hans egen akt, ii) akten i det centrala kreditregistret, och iii) ett finansbolags akt. Den personuppgiftsansvarige delade med sig av hela innehållet i den registrerades akt och endast identiteten och kontaktuppgifterna för de respektive personuppgiftsansvariga. Den personuppgiftsansvarige uppmanade också den registrerade att kontakta de personuppgiftsansvariga för dessa akter för att utöva sin rätt till tillgång till dessa handlingar.
Den registrerade hävdade att den information som han hade fått tillgång till var ofullständig, eftersom den personuppgiftsansvarige också hade uppgift om syftet med krediten samt en kopia av hans identitetskort. Den registrerade bad den personuppgiftsansvarige att bekräfta att han fått tillgång till alla sina personuppgifter.
Enligt artikel 15.1 GDPR har den registrerade rätt att av den personuppgiftsansvarige få bekräftelse på om personuppgifter som rör honom eller henne behandlas och i så fall få tillgång till dessa personuppgifter. GBA ansåg att i det aktuella fallet hade den personuppgiftsansvarige inte direkt svarat på den registrerades fråga om att bekräfta att han fått tillgång till alla sina personuppgifter. Den registrerade fick således inte ett slutgiltigt svar eller tillgång i enlighet med artikel 15.1 GDPR.
Enligt artikel 15.3 GDPR ska den personuppgiftsansvarige dessutom tillhandahålla en kopia av de personuppgifter som behandlas. GBA ansåg att den personuppgiftsansvarige behandlat en bild av den registrerades identitetskort och underlåtit att tillhandahålla en kopia som svar på begäran. Den personuppgiftsansvarige hade därför brutit mot artikel 15.3 GDPR.
GBA förelade därför den personuppgiftsansvarige att tillmötesgå den registrerades begäran om tillgång genom att ge honom tillgång till alla personuppgifter som rör honom, samt en kopia av de aktuella uppgifterna.