Agencia Espanola Proteccion Datos (AEPD) har utfärdat en sanktionsavgift på 56 000 euro mot IDFinance Spain, S.A.U. för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att en registrerad lämnat in ett klagomål till den AEPD mot kreditinstitutet IDFinance. Den registrerade hävdade att IDFinance olagligen behandlade uppgifter om en felaktig skuld i sina kreditupplysningssystem, trots att den registrerade bestridit den aktuella skulden i domstol.
I en svarsskrivelse hävdade IDFinance att företaget raderat den registrerades uppgifter, men att det i detta fall inträffat ett tekniskt fel som lett till att personuppgifterna laddats upp på nytt i kreditupplysningssystemet. När IDFinance insåg felet tog företaget omedelbart bort uppgifterna.
AEPD konstaterade att IDFinances behandling var felaktig och berodde på en sekretessbrist på grund av ett tekniskt fel. AEPD konstaterade därför att det inte fanns någon rättslig grund för behandlingen i strid med artikel 6.1 GDPR. Sanktionsavgiften uppgick ursprungligen till 70 000 euro, men sänktes till 56 000 euro efter att företaget gjort en omgående betalning och erkänt sitt ansvar för överträdelsen. Vid beräkningen av sanktionsbeloppet ansåg AEPD att kopplingen mellan IDFinances verksamhet som finansinstitut och behandlingen av personuppgifter var en försvårande omständighet, med tanke på risken för den registrerade.