Search
Close this search box.

Österrike: Bank bötfälls med 9 500 euro för kränkt registrerads rätt till tillgång

Datenschutzbehörde (DSB) har bötfällt C* Bank AG med 9 500 euro för överträdelser av dataskyddsförordningen (GDPR).

Av beslutet framgår att en registrerad lämnat in en begäran om tillgång enligt artikel 15 GDPR till banken som hon var kund hos. Eftersom den registrerade inte fått någon information inom en månad från begäran ansåg hon att hennes rätt till tillgång kränkts av banken och lämnade in ett klagomål till DSB. Den registrerade uppgav att hon kort därefter fått ett e-postmeddelande från banken om att de skulle fortsätta med raderingen av hennes personuppgifter, trots att hon inte begärt radering utan tillgång till sina uppgifter.

DSB konstaterade att det var uppenbart att banken felaktigt uppfattat den registrerades begäran om tillgång som en begäran om radering. DSB ansåg därför att banken kränkt den registrerades rätt till tillgång till sina personuppgifter och därmed agerat i strid med artikel 15 GDPR och artikel 12.3 GDPR.

DSB inledde ett sanktionsförfarande mot banken och tillät denne att föra fram argument till sitt försvar. Banken hävdade att dataskyddsombudet misstagit sig i fråga om begäran och därför fortsatte med ett raderingsförfarande. Banken anförde vidare att denne skulle anställa ytterligare en medarbetare för att hjälpa till med dataskyddsfrågor och att denne skulle överväga extern rådgivning för framtida förfrågningar från registrerade.

Med beaktande av bankens årliga omsättning och överträdelsens art, som var tydlig och oberättigad i detta fall, bedömde DSB vidare huruvida dataskyddsombudets beteende kunde tillskrivas banken för att bötfällas enligt artikel 83.5 GDPR. Med hänvisning till EU-domstolens dom i mål C-807/21 ansåg DSB att ett sådant beteende kan tillskrivas banken som juridisk person om överträdelsen först kan tillskrivas en fysisk person som agerar inom ramen för bankens ekonomiska verksamhet på dennes vägnar.

I detta fall drog DSB slutsatsen att dataskyddsombudets agerande tydligt kan tillskrivas banken. DSB hänvisade vidare till den subjektiva omständigheten huruvida banken handlat uppsåtligen eller av oaktsamhet vid överträdelsen av GDPR. I detta avseende kunde DSB inte finna några omständigheter som visade att banken agerat avsiktligt, eftersom varken banken eller dataskyddsombudet själv kunde förstå hur ett sådant misstag kunnat inträffa. DSB ansåg därför att banken agerat oaktsamt enligt artikel 83.2 (b) GDPR och bötfällde banken med 9 500 euro.

Mer information

Myndighet: Österreichische Datenschutzbehörde (DSB)

Land: Österrike

Lagrum: Art. 5 GDPR, art. 12 GDPR, art. 15 GDPR, art. 58 GDPR, art. 83 GDPR

Sanktionsavgift: 9 500 euro

Mottagare: N/A

Beslutsnummer: 2023-0.789.858

Beslutsdatum: 2023-11-12

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

07 MAR

AI – Introduktion till artificiell intelligens

Kursen ger dig de rättsliga förutsättningarna för utveckling, upphandling och användning av AI.

14 MAR

Cybersäkerhet - Introduktion till NIS2-direktviet

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

21 MAR

AI - Introduktion till AI-förordningen

En genomgång av de viktigaste reglerna i den nya AI-förordningen och hur du kan använda AI-system på ett lagenligt sätt.