Den kroatiska dataskyddsmyndigheten har kritiserat en bank för att ha fortsatt behandla en kunds personuppgifter för marknadsföringsändamål efter att dennes samtycke dragits tillbaka. Fallet började med att en kund, som haft ett avtal med banken fram till november 2017, hade gett sitt samtycke till att banken fick använda hans personuppgifter för marknadsföring. När avtalet upphörde drog kunden inte formellt tillbaka sitt samtycke. Men efter att ha mottagit marknadsföringserbjudanden i slutet av 2021, kontaktade kunden banken för att ifrågasätta deras fortsatta användning av hans data. Banken svarade att de skulle tolka kundens förfrågan som ett återkallande av samtycket. Trots detta fortsatte banken att skicka marknadsföringsmaterial till kunden som lämnade in ett klagomål till dataskyddsmyndigheten.
Banken menar att den fortsatta behandlingen berodde på grund av ett tekniskt fel i deras system. Dataskyddsmyndigheten fann att banken inte längre hade någon rättslig grund för att behandla kundens personuppgifter efter att samtycket dragits tillbaka. Enligt GDPR får personuppgifter endast behandlas om det finns en specifik och laglig grund. I detta fall fanns ingen sådan grund efter att avtalsförhållandet avslutades och samtycket hade återkallats. Myndigheten fastslog att bankens behandling av kundens data bröt mot reglerna om ändamålsbegränsning och laglig grund.
Eftersom banken hade slutat behandla uppgifterna vid tidpunkten för beslutet, ansåg dock myndigheten att inga ytterligare åtgärder eller böter var nödvändiga.
