Dataskyddsmyndigheten i Lettland undersökte på eget bevåg en internetleverantör gällande dess behandling av personuppgifter. Myndigheten granskade specifikt dess överföring av personuppgifter till skuldindrivningstjänster. Leverantören hävdade att dessa överföringar gjordes i syfte att kontrollera de registrerades betalningsförmåga när ett avtal skulle upprättas. Undersökningen visade att dessa kontroller av betalningsförmåga genomfördes utan att verifierade de registrerades identitet. Det visade sig bland annat att, då leverantören inte hade verifierat uppgifterna, det hade gjorts en överföring av minderårigas personuppgifter till en skuldindrivningstjänst.
Myndigheten ansåg att detta var en överträdelse av principerna för behandling av personuppgifter i GDPR. De menar att behandlingen bröt mot både principen om laglighet, korrekthet och öppenhet samt principen om integritet och konfidentialitet. Undersökningen visade även att leverantören jämförde personuppgifterna med andra personuppgifter i sin databas vilket bedömdes vara en överträdelse av principerna om uppgiftsminimering, lagringsminimering och ändamålsbegränsning. Slutligen bedömde myndigheten att leverantören saknade laglig grund för denna databehandling. På grund av alla dessa överträdelser utfärdade dataskyddsmyndigheten en straffsanktion på €1,200,000 till internetleverantören.
