Datenschutzbehörde (DSB) har utfärdat en sanktionsavgift på 9500 euro mot C* Bank AG för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att en registrerad lämnat in en begäran om tillgång enligt artikel 15 GDPR till banken som hon var kund hos. Eftersom den registrerade inte fått någon information inom en månad från begäran ansåg hon att hennes rätt till tillgång kränkts av banken och lämnade in ett klagomål till DSB. Den registrerade uppgav att hon kort därefter fått ett e-postmeddelande från banken om att de skulle fortsätta med raderingen av hennes personuppgifter, trots att hon inte begärt radering utan tillgång till sina uppgifter.
DSB konstaterade att det var uppenbart att banken felaktigt uppfattat den registrerades begäran om tillgång som en begäran om radering. DSB ansåg därför att banken kränkt den registrerades rätt till tillgång till sina personuppgifter och därmed agerat i strid med artikel 15 GDPR och artikel 12.3 GDPR.
DSB inledde ett sanktionsförfarande mot banken och tillät denne att föra fram argument till sitt försvar. Banken hävdade att dataskyddsombudet misstagit sig i fråga om begäran och därför fortsatte med ett raderingsförfarande. Banken anförde vidare att denne skulle anställa ytterligare en medarbetare för att hjälpa till med dataskyddsfrågor och att denne skulle överväga extern rådgivning för framtida förfrågningar från registrerade.
Med beaktande av bankens årliga omsättning och överträdelsens art, som var tydlig och oberättigad i detta fall, bedömde DSB vidare huruvida dataskyddsombudets beteende kunde tillskrivas banken för att åläggas enligt artikel 83.5 GDPR. Med hänvisning till EU-domstolens dom i mål C-807/21 ansåg DSB att ett sådant beteende kan tillskrivas banken som juridisk person om överträdelsen först kan tillskrivas en fysisk person som agerar inom ramen för bankens ekonomiska verksamhet på dennes vägnar.
I detta fall drog DSB slutsatsen att dataskyddsombudets agerande tydligt kan tillskrivas banken. DSB hänvisade vidare till den subjektiva omständigheten huruvida banken handlat uppsåtligen eller av oaktsamhet vid överträdelsen av GDPR. I detta avseende kunde DSB inte finna några omständigheter som visade att banken agerat avsiktligt, eftersom varken banken eller dataskyddsombudet själv kunde förstå hur ett sådant misstag kunnat inträffa. DSB ansåg därför att banken agerat oaktsamt enligt artikel 83.2 (b) GDPR och utfärdade banken en sanktionsavgift på 9 500 euro.