Search
Close this search box.

Italien: Bper Banca bötfälls med 10 000 euro för sent svar på registrerads begäran om radering

Garante per la protezione dei dati personali (Garante) har bötfällt Bper Banca S.p.A. med 10 000 euro för överträdelser av dataskyddsförordningen (GDPR).

Av beslutet framgår att den registrerade den 12 januari 2019 skickat ett e-postmeddelande till Bper Banca med en begäran om att radera hans personuppgifter. Bper Banca svarade några dagar senare och bad den registrerade att lämna in sitt ID-kort och vissa ytterligare handlingar för att möjliggöra hans identifiering. Den registrerade följde detta och skickade den begärda dokumentationen. Bper Banca vidtog dock inga ytterligare åtgärder efter att ha mottagit dessa handlingar.

Den 18 april 2019 lämnade den registrerade in ett rekommenderat brev med mottagningsbevis till Bper Banca genom sin advokat. Han bad Bper Banca omedelbart radera samtliga personuppgifter som finns i någon databas som förvaltas av företaget. Den 21 maj 2019 skickade han, med tanke på att Bper Banca inte svarade, en påminnelse. Först den 17 juni 2019, fyra månader efter den lagstadgade tidsfristen, svarade Bper Banca på den registrerades begäran om radering. Den registrerade lämnade därför in ett klagomål till Garante för bristen på ett adekvat och snabbt svar på hans begäran om radering.

Under utredningen hävdade Bper Banca att företaget inte kunde svara på den första begäran på grund av ett internt missförstånd. Med tanke på de olika roller som den registrerade hade inom Bper Banca (arbetssökande, kund och anställd) var det dessutom komplicerat för företaget att samordna begäran. Slutligen orsakade ett byte av Bper Bancas e-postsystem vissa störningar i kommunikationsflödet. Detta ledde till att Bper Banca misslyckats med att begära en förlängning av handläggningstiden för begäran och slutligen till ett sent svar till den registrerade.

Garante noterade att Bper Banca endast svarat på den registrerades begäran om radering. Myndigheten konstaterade att Bper Banca slutförde begäran först fyra månader efter det att den lagstadgade tidsfristen enligt artikel 12.3 GDPR löpt ut, vilket innebar att Bper Banca brutit mot skyldigheten att svara utan onödigt dröjsmål och under alla omständigheter inom en månad efter mottagandet av begäran från nämnda artikel.

Dessutom konstaterade Garante att Bper Banca, med tanke på komplexiteten och antalet förfrågningar, kunde ha utnyttjat den förlängning av tidsfristen med två månader som föreskrivs i artikel 12.3 GDPR. Bper Banca underlät dock att göra detta. Bper Banca informerade inte heller den registrerade om dennes rätt att lämna in ett klagomål till en tillsynsmyndighet och att söka rättslig prövning i enlighet med artikel 12.4 GDPR. Dessutom konstaterade Garante att Bper Banca inte informerat den registrerade tillräckligt om företagets behov av att fortsätta lagra vissa uppgifter om den registrerade.

Garante drog slutsatsen att Bper Bancas sena och otillräckliga svar på den registrerades begäran om radering var olaglig, vilket inneburit en överträdelse av artikel 12 GDPR i samband med artikel 17 GDPR.

Garante ansåg med hänvisning till skäl 148 i dataskyddsförordningen att överträdelsen inte kunde betraktas som en “mindre överträdelse”. Med hänsyn till överträdelsens art, allvar och varaktighet, graden av ansvar och det sätt på vilket Garante fått kännedom om överträdelsen, ålade myndigheten därför Bper Banca böter på 10 000 euro för de ovannämnda överträdelserna.

Mer information

Myndighet: Garante per la protezione dei dati personali (Garante)

Land: Italien

Lagrum: Art. 12 GDPR, art. 17 GDPR

Sanktionsavgift: 10 000 euro

Mottagare: Bper Banca S.p.A.

Beslutsnummer: 9815947

Beslutsdatum: 2022-09-15

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

07 MAR

AI – Introduktion till artificiell intelligens

Kursen ger dig de rättsliga förutsättningarna för utveckling, upphandling och användning av AI.

14 MAR

Cybersäkerhet - Introduktion till NIS2-direktviet

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

21 MAR

AI - Introduktion till AI-förordningen

En genomgång av de viktigaste reglerna i den nya AI-förordningen och hur du kan använda AI-system på ett lagenligt sätt.