Agencia Espanola Proteccion Datos (AEPD) har utfärdat en sanktionsavgift på 180 000 euro mot Trive Credit Spain S.L. för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att finansbolaget Trive Credit tillhandahåller lån, inklusive mikrolån online. I september 2023 lämnade en registrerad in ett klagomål till AEPD med motiveringen att Trive Credit inte hade svarat på hans begäran om tillgång.
Under AEPD:s utredning kunde Trive Credit inte bevisa att bolaget hade svarat på begäran om tillgång. AEPD förelade därför Trive Crediti i mars 2024 att svara på begäran om tillgång genom att tillhandahålla de begärda uppgifterna eller avslå begäran med en förklaring. AEPD fastställde en tidsfrist på tio arbetsdagar för att följa beslutet. Den registrerade kontaktade AEPD i juli 2024 och uppgav att Trive Credit inte hade följt beslutet. AEPD skickade då två förelägganden till Trive Credit om att följa beslutet inom fem respektive tio arbetsdagar. AEPD inledde ett sanktionsförfarande i december 2024, eftersom Trive Credit inte hade svarat på myndighetens förelägganden.
Trive Credit hävdade att den registrerade hade missbrukat sina rättigheter enligt GDPR. Enligt Trive Credit hade denne redan behandlat den registrerades begäran om radering i januari 2023. Dessutom hävdade Trive Credit att begäran om tillgång var en del av en ”konfrontationsstrategi” som syftade till att skada företaget; detta inkluderade två stämningsansökningar, 80 telefonsamtal och minst två klagomål till AEPD. Slutligen hävdade Trive Credit att han redan hade svarat på tre begäranden om tillgång det året.
AEPD konstaterade ett brott mot artikel 58.2 (c) GDPR, eftersom Trive Credit inte hade följt myndighetens tidigare beslut att besvara den registrerades begäran om tillgång. AEPD lyfte särskilt att Trive Credit har ett proaktivt ansvar att bevisa sin efterlevnad av GDPR i enlighet med artikel 5.2 GDPR, vilket omfattar hela ”livscykeln” för behandlingen av personuppgifter.
Sanktionsavgiften uppgick ursprungligen till 225 000 euro, men sänktes till 180 000 euro efter att Trive Credit gjort en omgående betalning och erkänt sitt ansvar för överträdelsen. AEPD ansåg att det var en allvarlig överträdelse, eftersom Trive Credit inte hade bevisat att bolaget hade uppfyllt sina skyldigheter enligt GDPR. Dessutom hade Trive Credit inte följt AEPD:s beslut. Detta hindrade AEPD från att utöva en av myndighetens primära funktioner, nämligen att se till att GDPR efterlevs.