Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα επέβαλε πρόστιμο σε Τράπεζα για παράβαση του δικαιώματος πρόσβασης σε πληροφορίες σχετικά με δεδομένα που αφορούσαν πελάτη της. Πιο συγκεκριμένα, ο πελάτης κατήγγειλε ότι παρόλο που ζήτησε εγγράφως από την τράπεζα να του γνωστοποιήσει τα πρόσωπα τα οποία κατά συγκεκριμένο χρονικό διάστημα επεξεργάστηκαν τα στοιχεία τραπεζικού λογαριασμού του, ουδέποτε έλαβε απάντηση. Κατόπιν των προαναφερθέντων, η Αρχή επέβαλε στην τράπεζα πρόστιμο ύψους 10.000 ευρώ για μη εκπλήρωση της υποχρέωσής της να απαντήσει στον προσφεύγοντα εντός της προβλεπόμενης προθεσμίας, καθώς και την κύρωση της προειδοποίησης να ικανοποιήσει το δικαίωμα πρόσβασής του εντός 5 ημερών από τη λήψη της απόφασης. Επιπλέον, της απηύθυνε περαιτέρω συστάσεις σχετικά με την ασφάλεια των δεδομένων των τραπεζικών λογαριασμών και τη διευκόλυνση των πελατών της όσον αφορά την απόδειξη άσκησης των προβλεπόμενων δικαιωμάτων τους πρόσβασης και αντίρρησης.
Ειδικότερα και σύμφωνα με την απόφαση :
1. Στο άρθρο 2 στοιχ. α ́ και γ ́ του ν. 2472/1997 ορίζονται οι έννοιες των απλών δεδομένων και του υποκειμένου αυτών αντίστοιχα, ενώ στο στοιχ. δ ́ του ίδιου άρθρου ορίζεται και η έννοια της επεξεργασίας, στην οποία συμπεριλαμβάνονται «η χρήση» και «κάθε άλλης μορφής διάθεση… ».Ακολούθως, στο άρθρο 4 του ν. 2472/1997 ορίζονται οι βασικές αρχές της επεξεργασίας, ενώ στο άρθρο 5 του ίδιου νόμου ορίζονται οι επιμέρους προϋποθέσεις για τη νομιμότητά της. Επιπρόσθετα,στο άρθρο 10 του ίδιου νόμου ορίζονται οι υποχρεώσεις του υπεύθυνου επεξεργασίας και του εκτελούντος την επεξεργασία σχετικά με το απόρρητο και την ασφάλεια της επεξεργασίας, από όπου προκύπτει ρητά ότι ουσιώδες στοιχείο της νόμιμης επεξεργασίας είναι η λήψη των κατάλληλων μέτρων ασφάλειας και ο έλεγχος αυτών από τον υπεύθυνο επεξεργασίας. Τα μέτρα ασφάλειας πρέπει α) να διασφαλίζουν ότι τα δεδομένα χρησιμοποιούνται μόνον για τον εκάστοτε επιδιωκόμενο σκοπό και β) να εξασφαλίζουν επίπεδο ασφάλειας ανάλογο προς τους κινδύνους που συνεπάγεται η επεξεργασία και η φύση των δεδομένων που είναι αντικείμενο της επεξεργασίας λαμβάνοντας υπόψη τις τεχνολογικές εξελίξεις και το κόστος (βλ., ενδεικτικά, Απόφαση 1/2015 της Αρχής). Περαιτέρω, το άρθρο 12 του ν. 2472/1997 καθιερώνει το δικαίωμα πρόσβασης του υποκειμένου στα δεδομένα που το αφορούν με κύριο σκοπό να βεβαιώνεται το υποκείμενο για την ακρίβεια και τον σύννομο χαρακτήρα της επεξεργασίας των δεδομένων του (βλ. αιτιολογική σκέψη41 της Οδηγίας 95/46/ΕΚ). Ως εκ τούτου, για την ικανοποίηση του δικαιώματος πρόσβασης δεν απαιτείται η επίκληση έννομου συμφέροντος, αφού θεωρείται δεδομένο το έννομο συμφέρον (έστω και ηθικό) του υποκειμένου να λάβει γνώση πληροφοριών, οι οποίες το αφορούν και οι οποίες έχουν καταχωρηθεί σε αρχείο που τηρεί ο υπεύθυνος επεξεργασίας, έτσι ώστε να πραγματώνεται η βασική αρχή του δικαίου για την προστασία των προσωπικών δεδομένων, που συνίσταται στη διαφάνεια της επεξεργασίας ως προϋπόθεση κάθε περαιτέρω ελέγχου της νομιμότητάς της εκ μέρους του υποκειμένου των δεδομένων (βλ., ενδεικτικά, Αποφάσεις της Αρχής υπ’ αριθμ. 71/2013, 72/2013, 98/2014, 149/2014, 48/2015, 71/2015, 16/2017, 32/2017, 33/2017).
2. Αναφορικά με την υποχρέωση του υπεύθυνου επεξεργασίας να ικανοποιεί το δικαίωμα πρόσβασης εντός της προβλεπόμενης προθεσμίας των δεκαπέντε (15) ημερών, διαπιστώνεται ότι,εν προκειμένω, η τράπεζα Εurobank δεν απάντησε εμπροθέσμως στον προσφεύγοντα αναφορικά με το αίτημά του να λάβει σαφείς πληροφορίες σχετικά με τα δεδομένα που τον αφορούν, καθώς και σχετικά με οποιοδήποτε άλλο στοιχείο που αφορά στην περαιτέρω επεξεργασία αυτών, όπως π.χ. οι σκοποί της επεξεργασίας, οι αποδέκτες ή κατηγορίες αποδεκτών, η εξέλιξη της επεξεργασίας για το χρονικό διάστημα από την προηγούμενη ενημέρωσή του κ.α. (βλ. ιδίως άρθρο 12 παρ. 2 και 4 του ν. 2472/1997). Ειδικότερα, ο προσφεύγων άσκησε το δικαίωμα πρόσβασης α) για πρώτη φορά με το από … ηλεκτρονικό μήνυμά του, στο οποίο η Τράπεζα απάντησε με την από … επιστολή της κατά τρόπο γενικό και αόριστο («Πρόσβαση στους λογαριασμούς των πελατών της Τράπεζας έχουν αποκλειστικά και μόνο τα νομίμως εξουσιοδοτημένα αρμόδια όργανα αυτής.») και β) για δεύτερη φορά με την από … εξώδικη δήλωση διαμαρτυρίας – πρόσκληση, στην οποία η Τράπεζα απάντησε με την από … εξώδικη απάντηση κατόπιν παρέμβασης της Αρχής, όπως αναφέρεται και στο ιστορικό της παρούσας (βλ. υπ’ αριθμ. πρωτ. Γ/ΕΞ/2303-1/18-05-2017 έγγραφο της Αρχής προς την Τράπεζα και υπ’ αριθμ. πρωτ. Γ/ΕΙΣ/4779/21-06-2017 απάντηση της τελευταίας, κατόπιν του υπ’ αριθμ. πρωτ. Γ/ΕΙΣ/4648/15-06-2017 αιτήματός της για παροχή παράτασης ως προς την προθεσμία απάντησης). Ο ισχυρισμός της Τράπεζας ότι το πρώτο από … 2017 ηλεκτρονικό αίτημα του προσφεύγοντος ήταν αόριστο διότι αναφερόταν σε μεγάλο χρονικό διάστημα (από … 2015μέχρι της αποστολής του) δεν αίρει την υποχρέωσή της να απαντήσει εμπροθέσμως έστω και με αυτή την αιτιολογία. Επίσης, το δεύτερο αίτημα του προσφεύγοντος, αν και απόλυτα ορισμένο και σαφές, απαντήθηκε μετά από δυο (2) μήνες και μόνον κατόπιν παρέμβασης της Αρχής. Από τα παραπάνω προκύπτει ότι η Τράπεζα καθυστέρησε αδικαιολόγητα να ικανοποιήσει το δικαίωμα πρόσβασης του προσφεύγοντος, καθώς απάντησε ουσιαστικά ύστερα από τεσσερισήμισι μήνες,λαμβανομένου υπόψη ότι ο προσφεύγων άσκησε για πρώτη φορά το δικαίωμα πρόσβασης με το από … 2017 ηλεκτρονικό μήνυμά του, ενώ η Τράπεζα απάντησε στις … 2017. Συνεπώς η τράπεζαEurobank δεν ικανοποίησε το δικαίωμα πρόσβασης του υποκειμένου κατά τους όρους του άρθρου12 παρ. 4 του ν. 2472/1997, καθώς απάντησε με αδικαιολόγητη χρονική καθυστέρηση και στα δυο αιτήματα, ήτοι σχεδόν μετά από έναν μήνα στο πρώτο αίτημα και μετά από δυο μήνες στο δεύτερο αίτημα και μόνον κατόπιν παρέμβασης της Αρχής.
Αναφορικά με την υποχρέωση του υπεύθυνου επεξεργασίας να δίνει στο υποκείμενο των δεδομένων ικανοποιητική απάντηση κατά την άσκηση του δικαιώματος πρόσβασης, διαπιστώνεται ότι, εν προκειμένω, η τράπεζα Εurobank δεν απάντησε ικανοποιητικά στο αίτημα του προσφεύγοντος να λάβει σαφείς πληροφορίες σχετικά με τα δεδομένα που τον αφορούν, καθώς και σχετικά με οποιοδήποτε άλλο στοιχείο που αφορά στην περαιτέρω επεξεργασία των δεδομένων του, όπως π.χ. οι σκοποί της επεξεργασίας, οι αποδέκτες ή κατηγορίες αποδεκτών, η εξέλιξη της επεξεργασίας για το χρονικό διάστημα από την προηγούμενη ενημέρωσή του κ.α. (βλ. ιδίως άρθρο12 παρ. 2 και 4 του ν. 2472/1997). Ειδικότερα, όπως προαναφέρθηκε, η από … 2017 γενική και αόριστη απάντηση («Πρόσβαση στους λογαριασμούς των πελατών της Τράπεζας έχουν αποκλειστικά και μόνο τα νομίμως εξουσιοδοτημένα αρμόδια όργανα αυτής.») ουδόλως μπορεί να κριθεί ικανοποιητική, ενώ ο περαιτέρω ισχυρισμός της Τράπεζας ότι με την από … 2017 εξώδικη απάντησή της ικανοποίησε πλήρως το δικαίωμα αυτό, κρίνεται απορριπτέος, καθώς η Τράπεζα οφείλει να αποκαλύψει τα στοιχεία τόσο του υπαλλήλου που εκτέλεσε την αναζήτηση στον τραπεζικό λογαριασμό του προσφεύγοντος όσο και του προσώπου που φέρεται να αμφισβήτησε τη συναλλαγή και στο οποίο, μάλιστα, όπως και η ίδια η Τράπεζα ομολογεί, αποκαλύφθηκαν δεδομένα του προσφεύγοντος με τη χορήγηση σε αυτό σχετικού αντιγράφου παραστατικού κατάθεσης, συνεπώς σαφώς πρόκειται για έναν νέο αποδέκτη για τον οποίο το υποκείμενο πρέπει να ενημερωθεί. Ειδικότερα, η Τράπεζα αβάσιμα ισχυρίζεται ότι η αποκάλυψη προσωπικών δεδομένων υπαλλήλων της δεν συμπεριλαμβάνεται στο περιεχόμενο του δικαιώματος πρόσβασης,καθώς από τον ορισμό του «αποδέκτη» στην διάταξη του άρθρου 2 στοιχ. ι ́ του ν. 2472/1997καθίσταται σαφές ότι αποδέκτης των δεδομένων είναι κ ά θ ε πρόσωπο (φυσικό ή νομικό) στο οποίο αυτά ανακοινώνονται ή μεταδίδονται, ανεξαρτήτως μάλιστα αν πρόκειται για τρίτο ή όχι,δηλαδή αποδέκτης μπορεί να είναι ένας απλός εργαζόμενος – υπάλληλος του υπεύθυνου επεξεργασίας, ένας νέος υπεύθυνος επεξεργασίας, ένας εκτελών την επεξεργασία ή κάποιος τρίτος.Κατά ρητή επιταγή του ν. 2472/1997, οι αποδέκτες πρέπει να γνωστοποιούνται ατομικώς ο καθένας ή ανά κατηγορία τόσο στην Αρχή (βλ. άρθρο 6 παρ. στοιχ. στ ́ του ν. 2472/1997) όσο και στο υποκείμενο των δεδομένων (βλ. άρθρο 11 παρ. 1 στοιχ. γ ́ και άρθρο 12 παρ. 2 στοιχ. β ́ του ν. 2472/1997), δηλαδή οι αποδέκτες θα πρέπει να καθίστανται ορισμένοι ή έστω οριστοί1, ώστε να αποσαφηνίζονται ο ρόλος και η ευθύνη τους σε σχέση με την επεξεργασία, ιδίως μάλιστα σε περίπτωση που καταγγέλλεται περιστατικό παράνομης επεξεργασίας, όπως εν προκειμένω, το οποίο η Τράπεζα όφειλε αμέσως να διερευνήσει, όπως θα αναλυθεί και στη συνέχεια. Η απόφαση,πάντως, της Τράπεζας να χορηγήσει πλήρη στοιχεία του προσφεύγοντος σχετικά με τη συγκεκριμένη συναλλαγή σε άλλο πελάτη της χωρίς να επικαλεστεί το τραπεζικό απόρρητο, ενώ έναντι του προσφεύγοντος προβάλει το τραπεζικό απόρρητο για την ίδια ακριβώς συναλλαγή,ενέχει αξιολογική αντινομία και καθιστά την αιτιολόγηση της άρνησης αποκάλυψης των στοιχείων του άλλου πελάτη προσχηματική (βλ. και Απόφαση 16/2017 της Αρχής, σελ. 14). Και αυτό, γιατί η Τράπεζα κρίνει ότι ισχύει το τραπεζικό απόρρητο έναντι του προσφεύγοντος – υποκειμένου των δεδομένων και ακολούθως δεν του γνωστοποιεί τα στοιχεία του συγκεκριμένου προσώπου που κατέθεσε χρήματα στο λογαριασμό του, ενώ όσον αφορά το έτερο αυτό πρόσωπο έκρινε,αντιθέτως, ότι δεν ισχύει το τραπεζικό απόρρητο και ότι ακολούθως έπρεπε να του χορηγήσει στοιχεία τραπεζικού λογαριασμού του προσφεύγοντος με την άμεση έκδοση αντιγράφου αποδεικτικού κατάθεσης, όπου αναγράφονται, μεταξύ άλλων, το πλήρες ονοματεπώνυμο και ο αριθμός λογαριασμού του προσφεύγοντος. Έτσι, ως προς τον έναν πελάτη της (προσφεύγοντα) που της υπέβαλε μάλιστα εγγράφως τα αιτήματά του, η Τράπεζα προέβαλε το τραπεζικό απόρρητο προκειμένου να μην του χορηγήσει πλήρη στοιχεία σχετικά με την υπό αμφισβήτηση συναλλαγή,ενώ ως προς έτερο πελάτη της (πρόσωπο που φέρεται να αμφισβήτησε τη συναλλαγή) η Τράπεζα δεν προέβαλε το τραπεζικό απόρρητο προκειμένου να του χορηγήσει πλήρη στοιχεία σχετικά με την ίδια ακριβώς συναλλαγή, αρκούμενη μάλιστα σε ένα «προφορικό» του αίτημα, όπως άλλωστε ομολογεί και η ίδια. Συνεπώς, πέρα από το γεγονός ότι η τράπεζα Eurobank απάντησε με αδικαιολόγητη χρονική καθυστέρηση και στα δυο αιτήματα του προσφεύγοντος (βλ. ανωτέρω σκέψη 2), η τελική της απάντηση ουδόλως μπορεί να κριθεί ως ικανοποιητική, συνεπώς συντρέχει περίπτωση δεύτερης αυτοτελούς παράβασης των διατάξεων του άρθρου 12 παρ. 2 και 4 του ν. 2472/1997.
4. Αναφορικά με το καταγγελλόμενο περιστατικό παράνομης επεξεργασίας/παραβίασης της ασφάλειας των δεδομένων, η Τράπεζα ομολογεί ότι έλεγξε τους λογαριασμούς του προσφεύγοντος χωρίς να προηγηθεί έγγραφο αίτημα του προσώπου που φέρεται να αμφισβήτησε συγκεκριμένη συναλλαγή, για την οποία φέρεται να διενεργήθηκε ο ανωτέρω έλεγχος, και χωρίς προηγουμένως να ενημερώσει τον προσφεύγοντα. Επισημαίνεται, καταρχάς, ότι η τεκμηρίωση που προσκόμισε η Τράπεζα σχετικά με την υπό κρίση επεξεργασία δεδομένων τραπεζικού λογαριασμού δεν είναι επαρκής. Ειδικότερα, η Τράπεζα δεν απέδειξε τους ισχυρισμούς της σχετικά με έλεγχο τραπεζικού λογαριασμού του προσφεύγοντος κατόπιν αιτήματος άλλου προσώπου, καθώς το μόνο που προσκόμισε στην Αρχή είναι ένα αντίγραφο του από … 2015 παραστατικού αναφορικά με την μεταφορά του ποσού των …… Ευρώ στον λογαριασμό του προσφεύγοντος και, μάλιστα, «[…] με διαγεγραμμένο το ονοματεπώνυμο του πελάτη για λόγους τήρησης του τραπεζικού απορρήτου. […]»(βλ. υπ’ αριθμ. πρωτ. Γ/ΕΙΣ/7318/12-10-2017 υπόμνημα της τράπεζας Eurobank). Με βάση το εύρημα αυτό, ελλοχεύουν για την ασφάλεια των δεδομένων συγκεκριμένοι κίνδυνοι, ήτοι 1) μη εξουσιοδοτημένη πρόσβαση σε στοιχεία λογαριασμών πελατών της τράπεζας και 2) περαιτέρω διάθεση/διάδοση των στοιχείων τραπεζικών λογαριασμών εν αγνοία του κατόχου του λογαριασμού.Αν οι ισχυρισμοί της Τράπεζας περί ελέγχου κατόπιν προφορικής αμφισβήτησης συναλλαγής από άλλο πρόσωπο γίνουν δεκτοί, ακολούθως θα πρέπει να γίνει δεκτό ότι οι προαναφερόμενοι κίνδυνοι εξελίχθηκαν, εν προκειμένω, σε περιστατικό παράνομης επεξεργασίας δεδομένων, ήτοι σε πρόσβαση υπαλλήλου της τράπεζας στον τραπεζικό λογαριασμό του προσφεύγοντος χωρίς νόμιμο λόγο και σε διάθεση στοιχείων συγκεκριμένης τραπεζικής συναλλαγής σε άλλο πρόσωπο χωρίς έγγραφο αίτημα του προσώπου αυτού, ως στοιχειώδες μέτρο τεκμηρίωσης της νομιμότητας της συγκεκριμένης επεξεργασίας. Συνεπώς, από τα στοιχεία του φακέλου της υπόθεσης, προκύπτει,καταρχάς, ότι, κατά την περίοδο που έλαβε χώρα το εν λόγω περιστατικό (μεταξύ … 2015 και … 2015), η τράπεζα Eurobank επεξεργάστηκε τα στοιχεία λογαριασμού του προσφεύγοντος χωρίς νόμιμο λόγο (βλ. άρθρο 10 σε συνδυασμό με άρθρα 4 και 5 του ν. 2472/1997), καθώς δεν απέδειξε ότι ανέκυψε πράγματι «υπηρεσιακή ανάγκη» για την εν λόγω αναζήτηση και περαιτέρω διάθεση προσωπικών δεδομένων, όπως ισχυρίζεται. Λαμβανομένου υπόψη ότι τα γεγονότα, που συνιστούν τις κατ’ ιδίαν συνθήκες του συγκεκριμένου περιστατικού ελέγχου του λογαριασμού του προσφεύγοντος δεν βεβαιώθηκαν απολύτως, σε συνδυασμό με το ότι ούτε στην Αρχή, όπως προαναφέρθηκε, αποκαλύφθηκαν τα στοιχεία του προσώπου που φέρεται να αμφισβήτησε τη συγκεκριμένη συναλλαγή (νέος αποδέκτης των δεδομένων), κρίνεται ότι πρέπει να απευθυνθεί στην Τράπεζα η σύσταση για τη βελτίωση των σχετικών διαδικασιών της σύμφωνα με όσα η ίδια έχει εκθέσει στην Αρχή.
Πηγή: