Agencia Espanola Proteccion Datos (AEPD) har utfärdat en sanktionsavgift på 150 000 euro mot Banco Cetelem S.A. för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att en person har lämnat in ett klagomål till AEPD då Banco Ceteleme gjort debiteringar från personens konto till en tredje part utan att det ens fanns ett avtalsförhållande mellan den registrerade och Banco Ceteleme. Under sin utredning upptäckte AEPD också att det gjorts ytterligare debiteringar från personens konto trots klagomål och begäran från personen om att uppgifterna skulle raderas.
Av beslutet framgår att den 20 oktober 2023 lämnade en registrerad person in ett klagomål till den AEPD mot Banco Cetelem. Den registrerade hävdade att Banco Cetelem, som erbjöd lånetjänster, gjort ett stort antal oönskade debiteringar på hans bankkonto. Den registrerade lämnade in ett flertal klagomål mot Banco Cetelem samt en polisanmälan avseende debiteringarna. Den registrerade begärde också att hans kontouppgifter skulle raderas från Banco Cetelems system och att han skulle få tillbaka det belopp som han lagt ut på grund av de felaktiga debiteringarna.
Banco Cetelem hävdade att debiteringarna inträffat till följd av ett mänskligt misstag. Banco Cetelem informerade AEPD om att den registrerades bankkontonummer felaktigt hänförts till en gäldenärs avtal och därefter lagrats på detta sätt i Banco Cetelems databas. Banco Cetelem raderade den registrerades kontouppgifter från sin databas efter det att den registrerade lämnat in sitt första klagomål, men att banken sedan sålt skulden till ett tredjepartsföretag och att avtalet fortfarande innehöll det felaktiga kontonumret.
AEPD konstaterade att Banco Cetelem brutit mot artiklarna 6.1 och 17 GDPR genom att behandla den registrerades kontonummer utan rättslig grund och genom att inte tillmötesgå den registrerades begäran om radering. Sanktionsavgiften uppgift till 250 000 euro mot Banco Cetelem, men sänktes till 150 000 euro på grund av den frivillig betalning och erkännande av ansvar.