Datatilsynet har utfärdat ett föreläggande om regelefterlevnad och en reprimand till Komplett Bank ASA för överträdelser av artiklarna 6, 12, 13 och 15-22 i dataskyddsförordningen (GDPR).
Av beslutet framgår att Datatilsynet tagit emot ett klagomål från en av Komplett Banks kunder där den klagande framfört att banken behandlat dennes personuppgifter på ett olagligt sätt, att den klagande fått direktmarknadsföring utan att ha haft möjlighet att välja bort detta, och att banken fortsatt att skicka marknadsföringsmeddelanden trots att den klagande motsatt sig denna personuppgiftsbehandling.
Datatilsynets utredning av ärendet visade att Komplett Banks dataskyddsombud i skriftväxling med den klagande informerat den klagande om att behandlingen av dennes personuppgifter grundade sig på artikel 6.1 (b) GDPR (behandlingen var nödvändig för att fullgöra ett avtal), men att dataskyddsombudet i senare korrespondens även hade hänvisat till artikel 6.1 (f) GDPR (behandlingen var nödvändig för ändamål som rört bankens berättigade intressen) som rättslig grund.
I detta avseende konstaterade Datatilsynet att Komplett Bank inte kunde åberopa artikel 6.1 (b) GDPR som rättslig grund eftersom behandlingen av personuppgifter i marknadsföringssyfte inte var nödvändig för att fullgöra kreditkortserviceavtalet med den klagande. Vidare konstaterade Datatilsynet att även om Komplett Bank kunde åberopa artikel 6.1 (f) GDPR som rättslig grund, så var det inte möjligt för banken att ändra sin rättsliga grund retroaktivt, särskilt inte mot bakgrund av principen om öppenhet enligt artikel 5.1 (a) GDPR.
Datatilsynet konstaterade dessutom att Komplett Banks fortsatta behandling efter den klagandes invändningar utgjort en överträdelse av artikel 21.3 GDPR (den klagandes rätt att göra invändningar). Datatilsynet konstaterade därutöver att Komplett Bank brutit mot artiklarna 13.1, 12.1, 12.3 och 21.4 GDPR genom att:
- underlåta att tillhandahålla den klagande en möjlighet till opt-out,
- tillhandahålla vilseledande och otillräcklig information när banken ursprungligen fått den klagandes samtycke,
- underlåta att göra den klagande medveten om sin rätt att göra invändningar, och
- underlåta att följa tidsfristerna för att besvara den registrerades förfrågningar.
Mot bakgrund till ovanstående beslutade Datatilsynet att utfärda dels ett föreläggande om regelefterlevnad där Komplett Bank ålades att vidta åtgärder för att tillgodose förfrågningar enligt artikel 21.3 GDPR, dels ett föreläggande om regelefterlevnad där banken ålades att implementera åtgärder för att säkerställa att förfrågningar från registrerade enligt artiklarna 15-22 GDPR besvaras inom de tidsfrister som anges i artikel 12.3 GDPR.
Datatilsynet beslutade även om att utfärda en tillrättavisning då Komplett Bank behandlat personuppgifter i strid med artiklarna 6.1, 12.1, 12.3, 13.1, 13.2, 21.3 och 21.4 GDPR.