Garante per la protezione dei dati personali (Garante) har bötfällt Bper Banca S.p.A. med 10 000 euro för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att den registrerade den 12 januari 2019 skickat ett e-postmeddelande till Bper Banca med en begäran om att radera hans personuppgifter. Bper Banca svarade några dagar senare och bad den registrerade att lämna in sitt ID-kort och vissa ytterligare handlingar för att möjliggöra hans identifiering. Den registrerade följde detta och skickade den begärda dokumentationen. Bper Banca vidtog dock inga ytterligare åtgärder efter att ha mottagit dessa handlingar.
Den 18 april 2019 lämnade den registrerade in ett rekommenderat brev med mottagningsbevis till Bper Banca genom sin advokat. Han bad Bper Banca omedelbart radera samtliga personuppgifter som finns i någon databas som förvaltas av företaget. Den 21 maj 2019 skickade han, med tanke på att Bper Banca inte svarade, en påminnelse. Först den 17 juni 2019, fyra månader efter den lagstadgade tidsfristen, svarade Bper Banca på den registrerades begäran om radering. Den registrerade lämnade därför in ett klagomål till Garante för bristen på ett adekvat och snabbt svar på hans begäran om radering.
Under utredningen hävdade Bper Banca att företaget inte kunde svara på den första begäran på grund av ett internt missförstånd. Med tanke på de olika roller som den registrerade hade inom Bper Banca (arbetssökande, kund och anställd) var det dessutom komplicerat för företaget att samordna begäran. Slutligen orsakade ett byte av Bper Bancas e-postsystem vissa störningar i kommunikationsflödet. Detta ledde till att Bper Banca misslyckats med att begära en förlängning av handläggningstiden för begäran och slutligen till ett sent svar till den registrerade.
Garante noterade att Bper Banca endast svarat på den registrerades begäran om radering. Myndigheten konstaterade att Bper Banca slutförde begäran först fyra månader efter det att den lagstadgade tidsfristen enligt artikel 12.3 GDPR löpt ut, vilket innebar att Bper Banca brutit mot skyldigheten att svara utan onödigt dröjsmål och under alla omständigheter inom en månad efter mottagandet av begäran från nämnda artikel.
Dessutom konstaterade Garante att Bper Banca, med tanke på komplexiteten och antalet förfrågningar, kunde ha utnyttjat den förlängning av tidsfristen med två månader som föreskrivs i artikel 12.3 GDPR. Bper Banca underlät dock att göra detta. Bper Banca informerade inte heller den registrerade om dennes rätt att lämna in ett klagomål till en tillsynsmyndighet och att söka rättslig prövning i enlighet med artikel 12.4 GDPR. Dessutom konstaterade Garante att Bper Banca inte informerat den registrerade tillräckligt om företagets behov av att fortsätta lagra vissa uppgifter om den registrerade.
Garante drog slutsatsen att Bper Bancas sena och otillräckliga svar på den registrerades begäran om radering var olaglig, vilket inneburit en överträdelse av artikel 12 GDPR i samband med artikel 17 GDPR.
Garante ansåg med hänvisning till skäl 148 i dataskyddsförordningen att överträdelsen inte kunde betraktas som en “mindre överträdelse”. Med hänsyn till överträdelsens art, allvar och varaktighet, graden av ansvar och det sätt på vilket Garante fått kännedom om överträdelsen, ålade myndigheten därför Bper Banca böter på 10 000 euro för de ovannämnda överträdelserna.