Първа глоба е наложена по новия регламент за защита на личните данни, станал известен като GDPR.
С 1000 лева е глобена банка, която е звъняла на свой клиент, но не за неговия кредит, а за неуредени сметки на съседката му, става ясно от съобщение, публикувано в сайта на адвокатско дружество.
Възмутеният гражданин най-напред подал заявление до банката, в което е поискал заличаване на личните му данни. След като банката не се произнесла, клиентът подал второ заявление, по което тя вече се произнесла в законоустановения срок.
Независимо от това човекът е подал жалба до Комисията за защита на личните данни. КЗЛД е уважила исканията му по 2 от точките. По-сериозното нарушение, за което е и наложена глобата от 1000 лева е, че обработването на личните данни на жалбоподателя не е свързано със сключения между него и банката договор за предоставяне на потребителски кредит.
Целта, за която са обработвани данните на субекта, е различна и несъвместима с първоначалните, изрично указани и легитимни цели, за които банката е информирала клиента си при сключването на договор. Това предпоставя необходимост от предоставяне на допълнително съгласие, каквото човекът не е давал.
Второто признато нарушение е свързно с отговора, който е дала банаката на клиента си при искането му за заличаване на личните данни. В отговора си тя не го е уведомила пред кого са разкрити данните му. Не го е уведомила и за това, че в банката има автоматизирана система за решение пред кого да се предоставят данните.
По това нарушение обаче банката не е глобена, а само е задължена да допълни отговора си.
Интересно и двусмислено е решението на КЗЛД по въпроса дали клиентът може да бъде облъчван с СМС-и и имейли за целите на директния маркетинг, след като не иска това.
При подписването на договор за потребителски кредит жалбоподателят е декларирал, че се съгласява данните му да бъдат обработвани за „директен маркетинг, включително да му бъдат изпращани рекламни писма си СМС-и. КЗЛД постановява, че субектът има право по всяко време да възрази срещу обработване на данните му за целите на директния маркетинг. Жалбоподателят обаче не го е направил изрично в депозираното заявление до банката. Макар Комисията да отбелязва, че заявлението за заличаване на лични данни целѝ и възражение срещу обработването, тя приема, че в конкретния случай нарушение не е налице, защото няма конкретно посочване на термина „възражение“ от страна на субекта и това освобождава банката от отговорност.