De privacytoezichthouder in Litouwen heeft op 16 mei zijn eerste AVG-boete opgelegd aan de bank ‘MisterTango’. Na onderzoek van de gegevensinspectie bleek dat MisterTango veel meer persoonsgegevens verwerkt dan nodig is voor het uitvoeren van de door de gebruiker aangevraagde pinbetalingen.
Naast de gebruikelijke gegevens bij een overschrijving werd door MisterTango ook de namen en bedragen van de afzenders, datums, onderwerpen en een deel van de berichttekst voor ongelezen berichten, omvang van de beschikbare leningen, de naam van het pensioenfonds, geaccumuleerde bedragen, soorten kredieten (bijvoorbeeld huisvesting), openstaande saldi, bedragen en data van andere betalingen en uitgegeven bedragen met betaalkaarten verwerkt.
De gegevensautoriteit vindt in dit geval dat artikel 5 van de AVG door MisterTango wordt geschonden. Dit artikel uit de AVG stelt namelijk dat verwerking van persoonsgegevens beperkt dient te blijven tot wat noodzakelijk is voor de doeleinden waarvoor die gegevens in eerste instantie zijn verzameld. Daarnaast bleek uit een onderzoek door de toezichthouder dat een lijst met betalingen die door MisterTango werd verwerkt, ten minste 2 dagen onbeveiligd op het internet beschikbaar was.
Volgens de toezichthouder is in deze situatie sprake van een datalek. Volgens de privacyautoriteit had MisterTango op grond van artikel 33 AVG de verplichting om binnen 72 uur melding te maken van het datalek, maar de bank heeft nagelaten om dit te doen. De Litouwse privacytoezichthouder heeft om die reden een boete opgelegd van €61.500,00.
De Functionaris
Ligusterbaan 16a
2908 LW Capelle aan den IJssel
KvK-nummer: 69175829
btw-nummer: NL 8577.68.190.B01
