Tietosuojavaltuutetun toimisto (Dataombudsmannens byrå) har ålagt en bank att ändra sina rutiner och anpassa dem till gällande dataskyddsregler samt utfärdat en varning till banken för överträdelser av artiklarna 5.1 (f) och 25.1 i dataskyddsförordningen (GDPR).
Av beslutet framgår att en bankkund lämnat in ett klagomål till Dataombudsmannens byrå över att det varit möjligt att beställa en banks kreditkortsfaktura som e-faktura endast utifrån referensnumret på fakturan. På kreditkortsfakturan var det möjligt att se personuppgifter, som ett delvis svärtat kortnummer samt uppgifter om kreditkortets kreditgräns, kreditsaldo och köptransaktioner. På grund av detta har utomstående kunnat beställa en annan persons e-faktura åt sig själva till exempel till följd av ett skrivfel.
Enligt den redogörelse som banken lämnat räcker det med referensnummeruppgiften för att beställa kreditkortsfakturan som e-faktura. Banken har även anmält en separat personuppgiftsincident till Dataombudsmannens byrå, där en kund som gjort en e-fakturabeställning skrivit in referensnumret på sin egen kreditkortsfaktura fel, och till följd av detta beställt en annan persons e-faktura.
Dataombudsmannens byrå anser att det inte är lämpligt att en utomstående på grund av ett skrivfel ska få tillgång till en annan persons personuppgifter. Dataskyddsförordningen förutsätter bland annat att den personuppgiftsansvarige ska sörja för åtgärder för att förhindra att obehöriga får tillgång till personuppgifter. Dataombudsmannens byrå konstaterar att det till exempel av köptransaktionerna kan framgå känsliga uppgifter, som uppgifter om anlitande av hälso- och sjukvårdstjänster. Enligt Dataombudsmannens byrå har banken inte hade följt principerna om integritet och konfidentialitet enligt artikel 5.1 (f) GDPR och Privacy by Design and Privacy by Default enligt artikel 25.1 GDPR. Dataombudsmannens byrå ansåg därför att bankens förfarande för skydd av personuppgifter i samband med e-fakturering inte var förenligt med dataskyddsförordningen.
Dataombudsmannens byrå har mot bakgrund av ovanstående ålagt banken att ändra sina rutiner så att de stämmer överens med dataskyddsbestämmelserna. Myndigheten har också gett banken en anmärkning om behandling av personuppgifter i strid med dataskyddsförordningen. Banken har uppgett att de har börjat åtgärda situationen och utveckla till exempel en annan individualiseringsuppgift utöver enbart referensnumret för att beställa kreditkortsfakturan som e-faktura.