Den spanska dataskyddsmyndigheten Agencia Espanola Proteccion Datos (“AEPD”) har bötfällt Kutxabank, SA, med 60 000 euro för brott mot artikel 17 dataskyddsförordningen (“GDPR”).
Av beslutet framgår att AEPD inlett en utredning efter ett klagomål från en tidigare kund som hävdade att banken inte tillgodosett hans begäran om att radera hans personuppgifter. Den registrerade var tidigare kund hos banken. Under tiden kundrelationen pågick utnyttjade han sin rätt att radera sina personuppgifter. När han försökte öppna ett nytt konto hos banken informerades han om att detta inte var möjligt eftersom hans personuppgifter fortfarande blockerades (på grund av hans tidigare raderingsbegäran). Kutxabank informerade vidare den registrerade om att han behövde avblockera uppgifterna om han ville öppna ett nytt konto. För detta ändamål bifogades ett formulär till brevet. I formuläret angavs att den registrerade återkallade sin rätt till radering och att hans personuppgifter åter fick användas av Kutxabank.
Enligt AEPD motsvarar en tillfällig blockering av personuppgifter inte rätten till radering enligt artikel 17 GDPR. AEPD betonade också att raderade eller blockerade personuppgifter inte får behandlas igen när ett nytt avtalsförhållande ingås med den personuppgiftsansvarige, även om syftet med den nya behandlingen är detsamma som det tidigare.
Det utdömda bötesbeloppet på 100 000 euro sänktes till 60 000 euro då Kutxabank erkänt sitt misstag och frivilligt betalat avgiften.