En registrerads begäran att få granska sina egna uppgifter ska uppfyllas innan en begäran om att radera uppgifter uppfylls – en bank fick en anmärkning för sina bristfälliga förfaringssätt
Dataskyddsombudsmannen har gett en bank en anmärkning för förfarande som strider mot dataskyddsförordningen vid tillgodoseendet av de registrerades rättigheter. Banken hade inte uppfyllt begäranden av två av sina tidigare kunder att få granska eller radera sina egna uppgifter i enlighet med dataskyddsbestämmelserna. Dataskyddsombudsmannen anser att det är särskilt klandervärt att banken hade raderat en persons uppgifter innan personens rätt att granska uppgifterna hade tillgodosetts.
Två personer meddelade dataombudsmannens byrå att de hade fått ett kundbrev från banken trots att de hade bett banken radera sina kunduppgifter när kundrelationen upphörde.
I det ena fallet berättade personen att hen upprepade gånger hade bett banken radera sina uppgifter, men hade aldrig fått någon bekräftelse om huruvida uppgifterna hade raderats.
Den andra personen hade efter att ha fått kundbrevet bett att få granska alla sina personuppgifter i bankens system, men hade inte fått något svar på sin begäran. När personen senare hade fått en kopia av sina uppgifter från banken hade personen bett banken radera uppgifterna. Enligt personens syn innehöll den kopia av kunduppgifterna som banken skickat uppgifter som borde redan ha raderats. En del av uppgifterna fattades också från kopian.
Enligt banken handlar båda fallen om mänskliga misstag. Banken berättade dataombudsmannen byrå att banken kommer att kontakta sin tidigare kund för att skicka de saknade uppgifterna till kunden. Senare meddelade banken dock att efter en riskbedömning om förvarande av uppgifterna hade banken raderat de resterande uppgifterna. Uppgifterna raderades innan personens begäran att få granska sina uppgifter hade uppfyllt till fullo.
I det andra fallet hade banken inte raderat alla uppgifter eftersom banken hade ansett att fortfarande kunna förvara dem till exempel av lagstadgade skäl. På grund av bankens interna missförstånd fick kunden dock aldrig någon bekräftelse om att begäran behandlats.
Brister i tillgodoseendet av den registrerades rättigheter
Dataombudsmannen anser att banken borde ha raderat uppgifter var förvaring inte längre var nödvändig och utan dröjsmål informera kunden om skälen till varför en del av uppgifterna inte kunde raderas.
Dataombudsmannen konstaterar att om den registrerade begär att både granska och radera uppgifter ska man sträva efter att tillgodose granskningsrätten i sin helhet innan uppgifterna raderas. Granskningsrätten kan inte längre tillgodoses när uppgifterna har raderats. ”Framöver kommer vi att överväga en påföljdsavgift i dylika situationer även om det handlar om ett enskilt fall”, säger dataombudsmannen Anu Talus.
Besluten har inte vunnit laga kraft.
Dataombudsmannens beslut:
• Beslut 7587/162/20 på finska (pdf)
• Beslut 1601/452/18 på svenska (pdf)
• Beslut 1601/452/18 på finska (pdf)
Mer information:
Biträdande dataombudsman Heljä-Tuulia Pihamaa, helja-tuulia.pihamaa(at)om.fi, tfn 029 56 66787
Mer information om den registrerades rättigheter på vår webbplats