Agencia Espanola Proteccion Datos (AEPD) har utfärdat en sanktionsavgift på 1 600 000 euro mot Ing Bank NV, Sucursal en España för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att en kund öppnat ett så kallat “icke-lönekonto” hos ING Bank, vilket inte kräver inkomstbevis. Under 2022 informerades kunden om att kontot skulle omklassificeras om saldot översteg 30 000 euro, och banken rekommenderade då att kunden skulle öppna ett ytterligare konto och dela upp saldot.
För att öppna detta andra konto krävde banken att kunden samtyckte till att banken kontaktade det spanska socialförsäkringskontoret för att kontrollera ursprunget till pengarna som skulle sättas in. ING Bank hävdade att detta krav grundade sig på deras skyldigheter enligt den spanska penningtvättslagen (lag 10/2010). Kunden ifrågasatte dock detta och lämnade in ett klagomål till AEPD, med motiveringen att hon inte tillhörde någon av de högriskkategorier som enligt lagen kräver särskild kontroll.
AEPD granskade ärendet och kom fram till att banken inte kunde stödja sig på en rättslig förpliktelse enligt artikel 6.1 (c) GDPR, eftersom penningtvättslagen endast kräver särskilda verifieringsåtgärder i situationer där risken bedöms som hög, vilket inte var fallet här. AEPD ansåg vidare att det samtycke som banken inhämtade inte var frivillig , eftersom kunden inte hade något alternativ och samtycket var en förutsättning för att öppna kontot. Därmed uppfyllde det inte kraven enligt artikel 4.11 GDPR och därmed va olagligt enligt artikel 6.1 (a) GDPR.
Vidare kunde banken inte heller rättfärdiga behandlingen med stöd av berättigat intresse enligt artikel 6.1 (f) GDPR, eftersom kundens grundläggande rättigheter vägde tyngre. AEPD hänvisade till EDPB:s riktlinjer 05/2020 som anger att personuppgiftsansvariga inte kan gå från samtycke till andra rättsliga grunder försöka förlita sig på ett berättigade intresse för att i efterhand legitimera behandlingsaktiviteten.
AEPD drog därför slutsatsen att ING Bank brutit mot artikel 6.1 GDPR genom att behandla personuppgifter utan rättslig grund. Påföljden bestämdes ursprungligen till 2 000 000 euro, men i enlighet med spansk administrativ lagstiftning erbjöds banken en reduktion på 20 procent vid frivillig betalning utan att överklaga. Banken valde detta alternativ och betalade därmed det slutliga sanktionsbeloppet på 1 600 000 euro.