Hellenic Data Protection Authority (HDPA) har utfärdat en sanktionsavgift på 100 000 euro mot Piraeus Bank S.A för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att Piraeus Bank skickat ett brev till den registrerade med information om att banken överlåtit hanteringen av lån och kreditrelaterade fordringar till ett kredithanteringsföretag (AFS), bankens helägda dotterbolag. I brevet informerades också om att den registrerade var föremål för en fordran och att dennes personuppgifter delats med AFS, som hanterade fordran.
Den registrerade lämnade in en begäran om tillgång till Piraeus Bank enligt artikel 15 GDPR och bad om mer detaljerad information såsom datum, medel och syfte med överföringen av sina personuppgifter, samt låneavtalets nummer och eventuella andra personuppgifter. Piraeus Bank svarade att brevet skickats till den registrerade av misstag och bad denne att bortse från informationen eftersom den registrerades personuppgifter inte delats och fanns kvar på bankens servrar. Den registrerade var missnöjd med svaret och lämnade in ett klagomål till HDPA och hävdade att Piraeus Bank inte gett tillräcklig information. Dessutom hävdade den registrerade att denne inte hade något låne- eller kreditrelaterat krav hos Piraeus Bank och att det därför inte fanns någon rättslig grund för att dela den registrerades uppgifter med AFS.
HDPA inledde en granskning avseende Piraeus Bank. HDPA konstaterade att personuppgifter från den registrerade, liksom från ett stort antal kunder som var involverade i lån med noll i saldo, felaktigt inkluderats i en gäldenärslista och fick personliga brev. Enligt HDPA hade Piraeus Bank ingen rättslig grund för denna behandling av personuppgifter och bröt därför mot artiklarna 5.1 (a) och 6 GDPR.
Vidare konstaterade HDPA att Piraeus Bank inte vidtagit tillräckliga organisatoriska och tekniska åtgärder för att säkerställa att behandlingen av personuppgifter uppfyller de rättsliga kraven, i strid med artikel 25.1 GDPR. HDPA konstaterade även att svaret på begäran om tillgång var ofullständigt eftersom Piraeus Bank endast informerade de registrerade om att deras uppgifter fanns kvar på bankens servrar, men inte klargjorde vilka ytterligare behandlingar som utfördes. HDPA drog därför slutsatsen att Piraeus Bank även hade brutit mot artikel 15.1 GDPR.