Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 10 000 euro mot Banca popolari di Bari S.p.a. för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att en registrerad in ett klagomål till Garante mot banken Banca popolari di Bari. Den registrerade gjorde en begäran om tillgång i egenskap av arvinge till sin avlidne far. Begäran grundades på artikel 15 GDPR och nationell rätt, där det särskilt hänvisas till arvingar som är förmånstagare till livförsäkringar. Den registrerade hävdade att Banca popolari di Bari, trots upprepade förfrågningar, inledningsvis uppgav att det inte fanns några konton i hennes fars namn.
Efter att Garante ingripit svarade Banca popolari di Bari delvis och erbjöd tillgång till kontoutdrag för de senaste tio åren, men krävde en formell begäran enligt nationell rätt. Den registrerade insisterade på att få tillgång till alla uppgifter som rörde hennes far, varpå banken slutligen tillhandahöll kontoutdrag för den avlidne personen. Garante inledde dock ett förfarande mot Banca popolari di Bari för överträdelser av artikel 12.3, 12.4 och 12.5 GDPR avseende de åtgärder som vidtagits på begäran av den registrerade.
Banca popolari di Bari hävdade att den registrerade av misstag skickat sin begäran till en annan e-postadress än den som var avsedd för dataskyddsombudet. Banca popolari di Bari trodde dessutom inledningsvis att det inte fanns några konton i den avlidnes namn och därefter klassificerade bankens organisationsenhet begäran fel. Allt detta ledde till att begäran inte kunde hanteras inom de föreskrivna tidsramarna.
Garante konstaterade att Banca popolari di Bari inte besvarat den registrerades begäran om tillgång till personuppgifter utan onödigt dröjsmål eller senast en månad efter mottagandet av begäran, i enlighet med artikel 12.3 GDPR. Banca popolari di Bari underlät dessutom att inom samma tidsfrist informera den registrerade om skälen till den bristande efterlevnaden och om möjligheten att lämna in ett klagomål till en dataskyddsmyndighet eller begära rättslig prövning i enlighet med artikel 12.4 GDPR.
Garante tillbakavisade även Banca popolari di Baris påstående att orsaken till det försenade svaret var att begäran om tillgång riktats till en annan e-postadress än den som är avsedd för sådana förfrågningar. Garante lyfte fram EDPB:s riktlinjer 01/2022 om registrerades rättigheter, där det klargörs att registrerade inte är skyldiga att använda ett visst format för att lämna in en begäran om att utöva sin rätt till tillgång. Det finns i själva verket inga krav enligt GDPR som de registrerade måste följa när de väljer en kommunikationskanal genom vilken de tar kontakt med Banca popolari di Bari.
Mot denna bakgrund har Garante utfärdat Garante en sanktionsavgift på 10 000 euro mot Banca popolari di Bari för underlåtenhet att besvara begäran om tillgång.