Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 10 000 euro mot Findomestic Banca S.p.A. för överträdelse av artiklarna 5.1 (a) och (c) i dataskyddsförordningen (GDPR).
Av beslutet framgår att Garante tagit emot ett klagomål från en privatperson. Enligt den klagande har Findomestic Banca obehörigt skickat flera betalningspåminnelser till den klagandes make angående ett lån som den klagande hade hos banken. Maken var borgensman för ett av de tre lån som den klagande hade hos banken, men inte för det aktuella lånet. Enligt Findomestic Banca var de aktuella betalningspåminnelserna resultatet av ett internt missförstånd som lett till att makens telefonnummer lagts in i systemet som huvudkontakt för eventuella betalningspåminnelser.
Efter att ha tittat närmare på ärendet konstaterade Garante att Findomestic Banca brutit mot principerna om laglighet, korrekthet och öppenhet enligt artikel 5.1 (a) GDPR samt lagringsminimering enligt artikel 5.1 (c) GDPR. Garante har genom ett allmänt beslut från den 30 november 2005 klargjort att alla som behandlar personuppgifter i samband med inkassoverksamhet måste följa principen om att behandlingen ska vara laglig, vilket kränks vid omotiverade meddelanden till tredje part som exempelvis familjemedlemmar och arbetskamrater avseende en gäldenärs betalningsanmärkningar.
På grundval av de fastställda omständigheterna har utfärdats en sanktionsavgift på 10 000 euro mot Findomestic. Vid kvantifieringen av sanktionsavgiften tog Garante bland annat hänsyn till att det inte förekommit några tidigare överträdelser och att makens telefonnummer snabbt raderats från den klagandes lånedokumentation. Som en kompletterande påföljd beslutade Garante att beslutet skulle offentliggöras på myndighetens webbplats. Findomestic Banca har 30 dagar på sig att lösa tvisten genom att betala ett belopp som motsvarar hälften av den utdömda påföljden.