Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 17 628 000 euro mot en bank för överträdelser av dataskyddsförordningen (GDPR) vid överföring av kundkonton till ett helägt dotterbolag utan giltig rättslig grund.
Bakgrund
Garante inledde en utredning efter att ha mottagit fem klagomål från registrerade som uppgav att banken utan deras samtycke hade överfört deras konton till sitt helägda dotterbolag. Utredningen visade att överföringen berörde 275 000 registrerade och att uppgifter om ytterligare cirka 2,1 miljoner registrerade förväntades överföras vid ett senare tillfälle.
Överföringen riktade sig till kunder som banken identifierat som “övervägande digitala kunder”, det vill säga kunder som i huvudsak använde digitala kanaler för sina banktransaktioner. Banken hävdade att den hade informerat de berörda kunderna i enlighet med artiklarna 13 och 14 GDPR, att behandlingen vilade på berättigat intresse enligt artikel 6.1 (f) GDPR samt att ingen otillåten profilering hade förekommit.
Myndighetens bedömning
Garante slog inledningsvis fast att identifieringen av “övervägande digitala kunder” utgjorde en separat behandlingsåtgärd i förhållande till själva kontoöverföringen och därmed krävde en egen rättslig grund. Identifieringen bedömdes utgöra profilering i den mening som avses i artikel 22 GDPR, eftersom banken kategoriserade registrerade utifrån specifika egenskaper, såsom ålder och användning av digitala kanaler, och överförde deras konton på grundval av dessa egenskaper. Behandlingen hade rättsliga konsekvenser för de registrerade och genomfördes med hjälp av automatiserade system.
Garante prövade därefter om banken kunde åberopa berättigat intresse som rättslig grund för profileringen. För att berättigat intresse ska vara tillämpligt krävs att den personuppgiftsansvarige genomför en intresseavvägning i enlighet med EDPB:s riktlinjer och EU-domstolens praxis. Garante konstaterade att banken inte hade genomfört en sådan avvägning på ett adekvat sätt, bland annat eftersom banken hävdat att behandlingen inte hade några negativa effekter på de registrerade utan att lägga fram bevis för detta. Banken hade inte heller visat att behandlingen låg inom ramen för de registrerades berättigade förväntningar. Garante drog slutsatsen att den enda tillämpliga rättsliga grunden hade varit samtycke enligt artikel 6.1 (a) GDPR, och att behandlingen därmed skett utan giltig rättslig grund i strid med artikel 6.1 GDPR.
Vad gäller informationsskyldigheten konstaterade Garante att banken hade brustit i kravet på öppenhet enligt artikel 5.1 (a) och artikel 14 GDPR. Informationen hade tillhandahållits via de registrerades onlinekonto eller app utan någon särskild avisering, vilket innebar att flera registrerade uppgav att de inte hade uppmärksammat meddelandet. Garante noterade också att meddelandets innehåll var bristfälligt, dels eftersom det endast hänvisade till profilering för direktmarknadsföringsändamål och inte för kontoöverföringarna, dels eftersom banken tillämpade en form av tyst samtycke genom att fastställa en tidsfrist för de registrerade att invända mot överföringen.
Sanktionsavgiften fastställdes till 17 628 000 euro, varvid Garante beaktade det stora antalet berörda registrerade.
Praktiska konsekvenser
Beslutet visar att finansiella aktörer som överför kunduppgifter inom en koncern måste säkerställa att varje behandlingsåtgärd vilar på en självständig och giltig rättslig grund. Att åberopa berättigat intresse förutsätter en dokumenterad och välgrundad intresseavvägning där hänsyn tas till de registrerades berättigade förväntningar och eventuella negativa effekter av behandlingen. Beslutet understryker också att information till registrerade måste lämnas på ett aktivt och tydligt sätt. Det är inte tillräckligt att göra information tillgänglig via en app eller ett onlinekonto utan särskild avisering, och tyst samtycke uppfyller inte GDPR:s krav.
Relaterad expertis
TechLaw bistår verksamheter i frågor som rör dataskydd, personuppgiftsansvar och regelefterlevnad enligt GDPR. Läs mer om vår expertis inom dataskydd och integritet.
Har ni frågor om hur dataskyddsreglerna påverkar er verksamhet är ni välkomna att kontakta oss.
Källa: Garante.