Garante per la protezione dei dati personali (Garante) har förelagt Intesa Sanpaolo S.p.A. att underrätta de registrerade om en personuppgiftsincident som uppfyller kraven för anmälningsplikt enligt dataskyddsförordningen (GDPR).
Av beslutet framgår att banken i juli 2024 anmält en personuppgiftsincident till Garante i enlighet med artikel 33 GDPR. Incidenten bestod i att en anställd hos Intesa Sanpaolo utan behörighet hade fått åtkomst till finansiella uppgifter rörande nio registrerade, vilka inte var kunder vid den filial där den anställde arbetade. Den anställde uppgav att åtkomsten skett av personlig nyfikenhet, och banken avslutade därefter anställningsförhållandet efter intern utredning.
Intesa Sanpaolo gjorde bedömningen att incidenten inte innebar en hög risk för de registrerades rättigheter och friheter och underlät därför att underrätta de registrerade i enlighet med artikel 34.1 GDPR. Istället skickade banken ett informellt meddelande till de berörda personerna, vilket inte uppfyllde kraven i artikel 34.2 GDPR. Garante gjorde en annan bedömning och ansåg att incidenten medförde en sådan risk som motiverade en underrättelse till de registrerade. Bedömningen grundades bland annat på att de uppgifter som olovligen kommits åt avsåg registrerades ekonomiska förhållanden, att den aktuella åtkomsten potentiellt kunde klassificeras som ett brott enligt nationell rätt, samt att Intesa Sanpaolo som aktör inom banksektorn är skyldig att upprätthålla en särskilt hög nivå av integritet och sekretess.
Vidare konstaterade Garante att inget av de undantag från anmälningsskyldigheten som anges i artikel 34.3 GDPR var tillämpligt. När det gäller undantaget i artikel 34.3 (c) GDPR, enligt vilket underrättelse inte krävs om det skulle innebära en oproportionerligt stor ansträngning, ansåg Garante att Intesa Sanpaolo hade tillgång till de registrerades kontaktuppgifter, eftersom dessa personer var befintliga kunder. Underrättelsen kunde därför inte anses vara oproportionerlig.
Garante hänvisade även till Europeiska dataskyddsstyrelsens (European Data Protection Board, EDPB) riktlinjer om anmälan av personuppgiftsincidenter enligt GDPR, där det särskilt betonas att incidenter som rör finansiella uppgifter innebär en hög risk eftersom de kan leda till identitetsstöld när de kombineras med andra typer av information. Enligt riktlinjerna ska den personuppgiftsansvarige i sådana fall underrätta de registrerade utan onödigt dröjsmål.
Slutligen konstaterade Garante att det så kallade kundvårdande brev som Intesa Sanpaolo planerat att skicka ut till alla kunder inte kunde anses utgöra en underrättelse enligt artikel 34 GDPR, eftersom brevet hade ett annat syfte och inte uppfyllde kraven vad gäller innehåll, tydlighet och dokumentation.
Mot denna bakgrund beslutade Garante att Intesa Sanpaolo, i enlighet med artiklarna 34.4 och 58.2 (e) GDPR, utan onödigt dröjsmål och senast inom 20 dagar ska underrätta de registrerade om incidenten. Underrättelsen ska ske personligen genom banktjänstemän vid den filial där kundens konto är öppnat, och dokumentationen av underrättelsen ska ske skriftligen i enlighet med artikel 5.2 GDPR, som stadgar att den personuppgiftsansvarige ska kunna visa att behandlingen sker i enlighet med förordningen.