Περιπτώσεις παράνομης χορήγησης από τράπεζες των κινήσεων τραπεζικού λογαριασμού σε τρίτο
Πρώτη περίπτωση
Τράπεζα. Παράνομη χορήγηση σε κληρονόμο κινήσεων λογαριασμού
Απόφαση ΑΠΔΠΧ
Ημερομηνία
30/03/2023
Αριθμός απόφασης
4
Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) εξέτασε καταγγελία πελάτη της Τράπεζας Πειραιώς για παράνομη χορήγηση στοιχείων κινήσεων και υπολοίπου δύο τραπεζικών λογαριασμών στους οποίους ήταν συνδικαιούχος με αποθανούσα συγγενή του, σε κληρονόμο της τελευταίας, τα οποία στη συνέχεια χρησιμοποιήθηκαν στο πλαίσιο αγωγής εναντίον του καταγγέλλοντος.
Η Τράπεζα κατόπιν διερεύνησης του περιστατικού εντόπισε ότι, εξαιτίας σφάλματος του υπαλλήλου της, ο οποίος αντίθετα στις οδηγίες που του είχαν δοθεί, δεν πρόσεξε ότι επρόκειτο για κοινούς λογαριασμούς και δεν ζήτησε γνωμάτευση της Νομικής Υπηρεσίας της Τράπεζας, τα στοιχεία είχαν πράγματι χορηγηθεί στην αντίδικο του καταγγέλλοντος.
Ωστόσο, η Τράπεζα δεν προχώρησε σε γνωστοποίηση του περιστατικού στην Αρχή και στο υποκείμενο, εκτιμώντας ότι δεν είχε τη σχετική υποχρέωση διότι είχε λάβει επαρκή τεχνικά και οργανωτικά μέτρα, τα οποία πάντως δεν μπορούν να αποτρέψουν μεμονωμένα ανθρώπινα σφάλματα.
Η Αρχή διαπίστωσε παράβαση της αρχής της νομιμότητας της επεξεργασίας και της εμπιστευτικότητας των δεδομένων (άρθ. 5 παρ. 1 α) και στ) ΓΚΠΔ) και παράβαση των υποχρεώσεων της Τράπεζας για γνωστοποίηση του περιστατικού στην Αρχή και στο υποκείμενο (άρθρα 33 και 34 ΓΚΠΔ) για τις οποίες επιβλήθηκε πρόστιμο ύψους 30.000 ευρώ.
Το πλήρες κείμενο της απόφασης ΑΠΔΠΧ για επιβολή προστίμου σε Τράπεζα για παράνομη διαβίβαση και μη γνωστοποίηση περιστατικού παραβίασης δεδομένων
Δεύτερη περίπτωση
Τράπεζα. Παράνομη χορήγηση κινήσεων πιστωτικής κάρτας
Πρόστιμο 60.000 ευρώ επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα σε Τράπεζα για την παράνομη χορήγηση στη σύζυγο του καταγγέλλοντα ενημέρωση σχετικά με την τήρηση πιστωτικής κάρτας στο όνομά του, καθώς και εκτυπωμένες αποδείξεις όλων των συναλλαγών που αυτός είχε πραγματοποιήσει τους προηγούμενους 3-4 μήνες.
Η χορήγηση – διαβίβαση αυτή έγινε χωρίς να έχει προηγηθεί ενημέρωσή του, ως υποκειμένου των δεδομένων και είχε ως αποτέλεσμα, σύμφωνα με την καταγγελία, τη σημαντική διατάραξη της οικογενειακής ειρήνης και της σχέσης του καταγγέλλοντος με τη σύζυγό του.
Σύμφωνα με την απόφαση 35/2023 της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα:
(απόσπασμα)
«η Τράπεζα δεν προχώρησε σε γνωστοποίηση του περιστατικού στην Αρχή σύμφωνα με το άρθρο 33 ΓΚΠΔ, χαρακτηρίζοντας εσφαλμένα τον κίνδυνο από αυτό ως «μηδενικό» (βλ. Απόσπασμα Μητρώου Περιστατικών Παραβίασης, ως σχετ. 1 του υπομνήματος της Τράπεζας), παρά το γεγονός ότι στη Φόρμα Αναλύσεως και Αξιολογήσεως Κινδύνου του περιστατικού (σχετ. 2 του υπομνήματος της Τράπεζας) έχουν καταγραφεί ως ενδεχόμενες επιπτώσεις για το υποκείμενο η «πρόκληση άγχους, στρες, ενόχληση και έλλειψη εμπιστοσύνης για την διαρροή των κινήσεων της πιστωτικής κάρτας του, στη σύζυγό του». Όπως προκύπτει από την ίδια Φόρμα, η σοβαρότητα των επιπτώσεων για το υποκείμενο έχει εκτιμηθεί ως «αμελητέα», όπως επίσης «αμελητέα» χαρακτηρίζεται και η πιθανότητα να προκληθεί βλάβη στο υποκείμενο, με την εξής αιτιολογία: «Το πλήθος και οι κατηγορίες των δεδομένων (κινήσεις μιας κάρτας για μέγιστη χρονική περίοδο … μηνών) και ο αποδέκτης τους, τα δεδομένα διέρρευσαν σε πρόσωπο του πλέον στενού οικογενειακού κύκλου του φυσικού προσώπου Β, εκτιμάται ότι μειώνουν σημαντικά την πιθανότητα επέλευσης υψηλών κινδύνων για τις ελευθερίες και τα δικαιώματα του φυσικού προσώπου Β. Κατόπιν των ανωτέρω η πιθανότητα να προκληθεί κίνδυνος για τα δικαιώματα και τις ελευθερίες του υποκειμένου ή βλάβη κρίνεται αμελητέα». Ωστόσο η εκτίμηση αυτή της Τράπεζας είναι προδήλως εσφαλμένη, δεδομένου ότι είναι βέβαιο ότι το περιστατικό επέφερε συνέπειες στα δικαιώματα και τις ελευθερίες του καταγγέλλοντος, αφού όπως ήταν ήδη γνωστό στην Τράπεζα, διατάραξε την προσωπική και οικογενειακή του ζωή. Προκύπτει εξάλλου ότι η Τράπεζα υποτιμά τις πιθανές συνέπειες της παραβίασης, υποστηρίζοντας με το υπόμνημά της ότι από την καταγραφή καθημερινών συναλλαγών, όπως είναι οι καταβολές προς το … ή το … δεν προκύπτει το είδος της παρεχόμενης υπηρεσίας, ισχυρισμός προδήλως αβάσιμος. Περαιτέρω, στην ίδια Φόρμα Αναλύσεως και Αξιολογήσεως Κινδύνου (Σχετ. 2 του υπομνήματος) σημειώνεται ότι «Λόγω της φύσης του περιστατικού και με δεδομένο ότι, πλέον, δεν δύνανται να αποτραπούν οι επιπτώσεις του περιστατικού, δεν υφίσταται η δυνατότητα για διορθωτικές ενέργειες εκ μέρους της Τράπεζας», εκτίμηση επίσης εσφαλμένη, αφού η Τράπεζα θα μπορούσε σε κάθε περίπτωση να λάβει μέτρα για τον περιορισμό των επιπτώσεων του περιστατικού: Για παράδειγμα, θα μπορούσε να επικοινωνήσει με τη σύζυγο και αποδέκτη των δεδομένων του καταγγέλλοντος, να την ενημερώσει για το γεγονός ότι η διαβίβαση των συναλλακτικών πληροφοριών του προς την ίδια είχε γίνει παράνομα, κατά παράβαση των διαδικασιών της τράπεζας και του τραπεζικού απορρήτου και να την καλέσει να επιστρέψει τις σχετικές εκτυπώσεις στην Τράπεζα και να καταστρέψει τυχόν αντίγραφά τους, καθώς και να μη γνωστοποιήσει περαιτέρω τις σχετικές πληροφορίες σε τρίτους. Έτσι, παρότι η Τράπεζα αναγνωρίζει ότι εν προκειμένω έγινε παράνομη επεξεργασία και αθέμιτη διαβίβαση των δεδομένων του καταγγέλλοντος και καταχώρησε το περιστατικό στο Μητρώο Περιστατικών Παραβίασης Δεδομένων, εν τέλει δεν το γνωστοποίησε στην Αρχή κατ’ άρθρο 33 ΓΚΠΔ, δεν έλαβε μέτρα για τον μετριασμό των συνεπειών του και δεν έλαβε επιπλέον μέτρα για την αποτροπή παρόμοιων περιστατικών στο μέλλον, πέρα από την επιβολή στην υπαίτια υπάλληλο της πειθαρχικής ποινής της παύσης ενός μήνα, η οποία, κατά την Τράπεζα, προορίζεται να δράσει αποτρεπτικά και για το λοιπό προσωπικό. Σημειώνεται επίσης ότι η Τράπεζα δεν εκδήλωσε οποιοδήποτε ενδιαφέρον ή μια έστω τυπική απολογία για την ηθική βλάβη που υπέστη ο καταγγέλλων εξαιτίας του περιστατικού.
9. Από τα παραπάνω εκτιθέμενα πραγματικά περιστατικά προκύπτουν μια σειρά από εσφαλμένες ενέργειες και παραλείψεις στη διαχείριση του υπό κρίση περιστατικού παραβίασης εκ μέρους της καταγγελλόμενης Τράπεζας. Συγκεκριμένα, η Τράπεζα, ως υπεύθυνος επεξεργασίας, παρότι είχε ενδείξεις για την πιθανή τέλεση περιστατικού παραβίασης, αρχικά δεν το διερεύνησε μεταθέτοντας την ευθύνη για τον εντοπισμό της πηγής της διαρροής στο υποκείμενο των δεδομένων, στη συνέχεια καθυστέρησε σημαντικά να το χειριστεί ως περιστατικό παραβίασης λόγω έλλειψης συνεννόησης μεταξύ των αρμοδίων Μονάδων της, ακολούθως υποτίμησε τις συνέπειές του για το υποκείμενο και εκτίμησε εσφαλμένα ότι δεν οφείλει να το γνωστοποιήσει στην Αρχή κατά το άρθρο 33 ΓΚΠΔ. Οι διαπιστωθείσες ελλείψεις και καθυστερήσεις κατά τον εσωτερικό χειρισμό της υπόθεσης δεν προκύπτει ότι οφείλονται σε ελλιπείς Πολιτικές και Διαδικασίες της Τράπεζας σύμφωνα με το άρθρο 24 παρ. 2 ΓΚΠΔ, αφού οι ενέργειες τις οποίες οφείλουν να ακολουθούν αμελλητί τα όργανα και οι υπηρεσίες της σε περίπτωση πιθανού περιστατικού παραβίασης προβλέπονται στα κείμενα που η Τράπεζα επικαλέστηκε και προσκόμισε (βλ. σχετ. 4-6 του υπ’ αρ. πρωτ. Γ/ΕΙΣ/125/09-01-2023 απαντητικού εγγράφου της Τράπεζας) αλλά στη μη τήρηση των εν λόγω διαδικασιών στην προκειμένη περίπτωση. Κατόπιν των ανωτέρω, προκύπτει ευθύνη της Τράπεζας για το γεγονός ότι καθυστέρησε για πολλούς μήνες να διερευνήσει το συμβάν ώστε να αποκτήσει εύλογο βαθμό βεβαιότητας και να το χειριστεί ως περιστατικό παραβίασης, αλλά και για το γεγονός ότι μετά την επιβεβαίωση του περιστατικού δεν προχώρησε σε γνωστοποίησή του στην Αρχή ούτε έλαβε μέτρα για τον μετριασμό των συνεπειών του»
Με βάση τις διαπιστώσεις αυτές, η Αρχή επέβαλε στην Τράπεζα διοικητικό πρόστιμο 10.000 ευρώ για την παραβίαση των άρθρων 5 παρ.1α’ και στ’ ΓΚΠΔ και 50.000 ευρώ για την παραβίαση του άρθρου 33 ΓΚΠΔ
Το πλήρες κείμενο της απόφασης 35/2023 της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα
Το άρθρο δημοσιεύτηκε πρώτη φορά στον Οδηγό του Πολίτη (odigostoupoliti.eu). Επιτρέπεται η αναδημοσίευση (όχι αυτολεξεί) του περιεχομένου του παρόντος άρθρου, μόνο με αναφορά, με ενεργό σύνδεσμο (link)(https://www.odigostoupoliti.eu), της πηγής προέλευσης