Datatilsynet anser att det finns skäl att framföra allvarlig kritik mot Danske Bank A/S:s förfarande för hantering av begäranden om tillgång från registrerade inte har varit i enlighet med reglerna i dataskyddsförordningen (GDPR).
Av beslutet framgår att Datatilsynet genomfört en serie granskningar av fem utvalda bankers och sparbankers hantering av begäran om tillgång från kunder. Granskningarna fokuserade på riktlinjer och rutiner för att hantera kundförfrågningar om rätten till tillgång enligt artiklarna 12 och 15 GDPR.
Efter en genomgång av ärendet konstaterar Datatilsynet att Danske Banks förfarande för hantering av tillgång från registrerade består av ett skiktat tillvägagångssätt, där kunden kan få insyn i sin information på följande tre olika sätt:
- genom att få tillgång till viss information om sig själva via bankens självbetjäningslösning
- genom att begära en så kallad “CDI-rapport”, som inte innehåller all information som banken behandlar om personen i fråga, och
- genom att särskilt begära en så kallad fördjupningsrapport, som innehåller mer information om den berörda personen.
Enligt Datatilsynet har Danske Banks förfarande för hantering av registrerades rätt till tillgång, som har bestått av ett skiktat tillvägagångssätt, inte varit i enlighet med artiklarna 12 och 15 GDPR. Datatilsynet har härmed framhållit att Danske Banks förfarande, där den registrerade endast ges tillgång till en rapport som inte innehåller all information som den registrerade har rätt till enligt artikel 15 GDPR, och tillhörande information om att ytterligare personuppgifter kan lämnas på begäran, inte är i enlighet med dataskyddsförordningens regler för tillgång.
I den mån den registrerade är hänvisad att själv få tillgång till viss information i till exempel nätbank kan detta enligt Datatilsynet ske inom ramen för artiklarna 12 och 15 GDPR, förutsatt att det är enkelt och okomplicerat att själv hitta informationen.
Datatilsynet finner därför att det finns skäl att framföra allvarlig kritik mot Danske Banks förfarande för hantering av begäranden om tillgång från registrerade inte har varit i enlighet med artiklarna 12 och 15 GDPR. Datatilsynet noterar dock att Danske Bank efter myndighetens granskning ändrat bankens processer för hantering av registrerades begäran, men att myndigheten inte gjort någon separat utredning av bankens nya rutiner.