Office of the Commissioner for Personal Data Protection har utfärdat en sanktionsavgift på 10 000 euro mot Housing Finance Corporation för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att Housing Finance Corporation är en bank som specialiserar sig på att tillhandahålla långfristiga lån för bostäder, utbildning och hälsa. År 2023 lämnade den registrerade in en ansökan om lån ett tredje lån till Housing Finance Corporation. Den registrerade informerades per brev om att hans ansökan hade avslagits på grund av ett osäkert lån som han hade fått för flera år sedan. I brevet nämnde Housing Finance Corporation också att enligt bankens system hade en tidigare låneansökan från 2020 avslagits av samma skäl.
Den registrerade lämnade in ett klagomål till dataskyddsmyndigheten där han uppgav att han hade reglerat det påstådda osäkra lånet 2020, vilket framgick av databasen hos kreditupplysningsföretaget Artemis. Detta lån borde inte ha ingått i de uppgifter som Housing Finance Corporation förvarade. Han hävdade också att uppgifterna om den andra låneansökan inte borde ha lagrats i mer än sex månader, enligt Housing Finance Corporation integritetspolicy.
Housing Finance Corporation förklarade att systemet saknade automatisk radering av uppgifter, vilket innebar att varje dokument måste hanteras manuellt av personal med tillgång till systemet. Brist på personal gjorde processen tidskrävande och mer utsatt för mänskliga fel. Housing Finance Corporation hävdade dessutom att referensen till den andra låneansökan i avslagsbrevet var ett misstag och att uppgifterna inte aktivt sparades, utan endast beaktades av bankens kreditkommitté.
För det första konstaterade dataskyddsmyndigheten att Housing Finance Corporation underlåtit att vidta meningsfulla och effektiva tekniska och organisatoriska åtgärder för att säkerställa efterlevnaden av GDPR, i enlighet med artikel 24 GDPR. Istället begränsade sig Housing Finance Corporation till skriftliga policyer utan praktisk tillämpning. Housing Finance Corporations oförmåga att radera uppgifter på grund av tekniska eller organisatoriska svårigheter befriar inte banken från sina skyldigheter att efterleva bestämmelserna.
För det andra konstaterade dataskyddsmyndigheten att avslagsbrevet för den tredje låneansökan innehöll en detaljerad analys av skälen till avslaget på den andra låneansökan. Denna analys visade att avslaget baserades på information som fortfarande var tillgänglig i Housing Finance Corporations ansökningssystem efter den lagstadgade sexmånadersperioden för lagring. Även om uppgifterna om det osäkra lånet hade raderats lagligt från Artemis-databasen, eftersom lånet hade betalats tillbaka i sin helhet, fanns de fortfarande tillgängliga i bankens databas. Dataskyddsmyndigheten ansåg att Housing Finance Corporation borde ha raderat uppgifterna eftersom de var felaktiga. Housing Finance Corporation hade därmed brutit mot principerna om riktighet artikel 5.1 (d) GDPR och lagringsminimering artikel 5.1 (e) GDPR.