Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) ansåg att en banks behandling av en minderårigs personuppgifter, i syfte att bevilja ett babylån, var laglig enligt artikel 6.1 (c) dataskyddsförordningen (GDPR), eftersom banken var rättsligt förpliktad att samla in den minderårigas personuppgifter enligt nationell rätt.
Av beslutet framgår att NAIH tagit emot ett klagomål från en minderårigs vårdnadshavare, som hävdade att banken behandlat den minderårigas personuppgifter på ett olagligt sätt. Den minderåriges förmyndare hade ansökt om ett babylån hos banken. Dessa lån är avsedda att finansiera barnrelaterade kostnader.
För att kunna behandla låneansökan hade banken begärt en kopia av den minderårigas identitetshandlingar, som innehöll uppgifter om den minderårigas bostadsadress, kön, födelsedatum och nationella identifikationsnummer. För att göra detta åberopade banken artikel 6.1 (b) GDPR som rättslig grund för behandlingen. I klagomålet hävdade den sökande att behandlingen var oproportionerlig och onödig med hänsyn till deras avtal med banken, vilket den minderårige inte var part i.
Som svar på klagomålet kontaktade NAIH banken för att få mer information. Banken svarade att nationell rätt kräver att bankerna behandlar minderårigas identitetshandlingar. För att kunna visa att de följer de inhemska bankreglerna är bankerna dessutom skyldiga att dokumentera på vilken grund de har beviljat lån och lagra all relevant information i samband med detta.
NAIH konstaterade att nationell rätt kräver att bankerna behandlade de uppgifter som avses. Behandlingen var därför legitim eftersom den var nödvändig för att uppfylla en rättslig förpliktelse som banken omfattades av artikel 6.1 (c) GDPR. Enligt NAIH har banken felaktigt angett artikel 6.1 (b) GDPR som rättslig grund för behandlingen. NAIH ansåg dock att angivandet av en felaktig rättslig grund för behandling enligt artikel 6 GDPR inte gjorde behandlingen olaglig.