Talijansko nadzorno tijelo u svibnju 2022. g. izreklo je kaznu u iznosu od 100.000,00 eura voditelju obrade, i to banci Intesa Sanpaolo SpA, a sve iz razloga što je službenik banke propustio provjeriti je li treća strana (otac klijentice banke) ovlaštena za pristup podacima o bankovnom računu klijentice prije priopćavanja podataka.
Naime, službenik banke je dao podatke ocu klijentice, koji je prethodnih godina imao pristup podacima iste obzirom je klijentica bila maloljetna, a sve bez provjere ima li otac i dalje pravo na takav pristup.
Kćer je prijavila slučaj nadzornom tijelu, te se ispostavilo da ista više nije bila maloljetna, te da stoga otac nije imao pravo na pristup njenim podacima.
Voditelj obrade se branio da je službenik postupao u dobroj vjeri, sve obzirom na prethodno pravo pristupa oca podacima klijentice, kao i obzirom je otac klijentice bio bivši zaposlenik voditelja obrade, te je i to navelo je službenika banke da vjeruje da je još uvijek ovlašten za pristup računovodstvenim podacima.
Nadzorno tijelo zaključilo je ne postoji pravna osnova za obradu podataka o računu klijentice banke, te da je predmetna obrada suprotna odredbi članka 5. stavak 1. točka a) i f) i članka 6. GDPR-a.
Nadalje, nadzorno tijelo zaključilo je da se voditelj obrade u predmetnom slučaju ne može pozivati na dobru vjeru službenika, te da je službenik bio u obvezi provjeriti je li otac klijentice banke još uvijek ovlašten za pristup detaljima računa iste.
Ovaj slučaj podsjeća na potrebu redovite edukacije svih zaposlenika o GDPR-u, sve s ciljem izbjegavanja kršenja odredbi GDPR-a, a time i kazni nadzornih tijela.