Dataombudsmannen vid Tietosuojavaltuutetun toimisto (Dataombudsmannens byrå) har gett en bank en anmärkning för förfarande som strider mot dataskyddsförordningen (GDPR) vid tillgodoseendet av de registrerades rättigheter.
Av beslutet framgår att två personer meddelat Dataombudsmannens byrå att de fått ett kundbrev från banken trots att de hade bett banken radera deras kunduppgifter när kundrelationen upphörde.
I det ena fallet berättade personen att denne upprepade gånger bett banken radera dennes uppgifter, men hade aldrig fått någon bekräftelse om huruvida uppgifterna hade raderats eller inte.
Den andra personen hade efter att ha fått kundbrevet bett att få granska alla sina personuppgifter i bankens system, men hade inte fått något svar på sin begäran. När personen senare fått en kopia av sina uppgifter från banken hade personen bett banken radera uppgifterna. Enligt personens syn innehöll den kopia av kunduppgifterna som banken skickat uppgifter som redan borde ha raderats. En del av uppgifterna fattades också från kopian.
Enligt banken handlar båda fallen om mänskliga misstag. Banken berättade för Dataombudsmannen byrå att banken kommer att kontakta sin tidigare kund för att skicka de saknade uppgifterna till kunden. Senare meddelade banken dock att efter en riskbedömning om förvarande av uppgifterna hade banken raderat de resterande uppgifterna. Uppgifterna raderades innan personens begäran att få granska sina uppgifter hade uppfyllts till fullo.
I det andra fallet hade banken inte raderat alla uppgifter eftersom banken ansett att fortfarande kunna förvara dem till exempel av lagstadgade skäl. På grund av bankens interna missförstånd fick kunden dock aldrig någon bekräftelse om att begäran behandlats.
Enligt Dataombudsmannen borde banken ha raderat uppgifter då lagring inte längre var nödvändig och utan dröjsmål informera kunden om skälen till varför en del av uppgifterna inte kunde raderas.
Dataombudsmannen konstaterar vidare att om den registrerade begär att både granska och radera uppgifter ska den personuppgiftsansvarige sträva efter att tillgodose granskningsrätten i sin helhet innan uppgifterna raderas, då granskningsrätten inte längre kan tillgodoses när uppgifterna har raderats. Enligt Dataombudsmannen kommer myndigheten att överväga sanktionsavgifter i dylika situationer även om det handlar om ett enskilt fall.