בנקים אינם רשאים לכרוך את איסוף המידע שנועד לצורך הפעלת חשבון בנק יחד עם שימוש במידע הזה למוצרים פיננסיים אחרים של הבנק - כך מורה הרשות להגנת המידע בהולנד ששלחה השבוע מכתב לאיגוד הבנקים ההולנדי בנושא. על רקע זה נקבע כי הבנקים גם לא רשאים לשלוח הצעות מותאמות אישית על סמך פרטי התשלום של לקוחותיהם.
תקנות הגנת המידע האירופיות (GDPR) מאפשרות לעבד מידע למטרה אחרת מהמטרה לשמה נאסף המידע לכתחילה, בתנאי שהעיבוד הנוסף יעמוד במבחן התאימות לפי סעיף 6(4). על מנת שתתקיים 'תאימות' נדרש בין היתר להוכיח קשר בין המטרה לשמה נאסף המידע מלכתחילה לבין מטרת העיבוד הנוסף; ההקשר בו נאסף המידע, בפרט ביחסים בין נושאי המידע לבעל השליטה; ואופי המידע ובפרט האם מדובר במידע רגיש.
הרגולטור קבע כי אין לראות בנושא המידע שנתן הסכמתו לפתיחת חשבון כמי שיכול לצפות את המטרה הנוספת לעיבוד, במיוחד כאשר המידע שבו נעשה שימוש נוסף נאסף רק בעת חיוב או זיכוי של החשבון. בנוסף, קיימת ציפיה של נושא המידע כי הבנק לא יבצע עיבוד נוסף במידע ככל שהוא רגיש יותר. חשבון בנק ופרטי תשלום נותנים תמונה מלאה על חייו של אדם. זהו איננו רק מידע פיננסי אלא מידע היכול ללמד על שייכות פוליטית ודתית (תרומות), מצב בריאותי ועוד. הרגולטור הזכיר כי אפילו אם מדובר בלקוחות קיימים ובמוצרים פיננסיים דומים, עיבוד נוסף של מידע הנאסף מפרטי תשלום למטרות שיווק מחייב הסכמה נפרדת. מקור: רשות הגנת המידע ההולנדית