Συνολικό πρόστιμο 210.000 ευρώ επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα στην Τράπεζα Πειραιώς, για παράνομη επεξεργασία προσωπικών δεδομένων και παραβίαση του δικαιώματος πρόσβασης (ΑΠΔΠΧ 25/2023).

Πιο αναλυτικά, στην Αρχή κατέφυγε πολίτης, ο οποίος κατήγγειλε ότι η Τράπεζα Πειραιώς Α.Ε. διαβίβασε τα προσωπικά του δεδομένα σε Εταιρεία Διαχείρισης Απαιτήσεων από Δάνεια και Πιστώσεις, χωρίς ωστόσο να έχει προς τούτο νόμιμο λόγο και δικαίωμα, καθώς ουδεμία απαίτηση υπήρχε πλέον σε βάρος του.

Σύμφωνα με τις αρχές επεξεργασίας των δεδομένων κατ’ άρθρο  5 ΓΚΠΔ, τα προσωπικά δεδομένα υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο.

Σύμφωνα δε με την αρχή της λογοδοσίας, ο υπεύθυνος επεξεργασίας «φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση», γεγονός που συνεπάγεται την υποχρέωση του υπευθύνου επεξεργασίας να δύναται να αποδείξει τη συμμόρφωση, συμπεριλαμβανομένης της νομικής τεκμηρίωσης κάθε πράξης επεξεργασίας που διενεργεί σύμφωνα με τις νομικές βάσεις που παρέχει ο ΓΚΠΔ και το εθνικό δίκαιο προστασίας δεδομένων.

Κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι σύννομη, μόνο εάν ισχύει τουλάχιστον μία από τις προϋποθέσεις που τίθενται στο άρθρο 6 παρ. 1 του ΓΚΠΔ. Εφόσον μία εκ των εν λόγω προϋποθέσεων συντρέχει, τότε αυτή αποτελεί και τη νομική βάση για την επεξεργασία.

Εν προκειμένω, η Αρχή διαπίστωσε ότι η Τράπεζα, ως υπεύθυνη επεξεργασίας προέβη σε αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα μεγάλου αριθμού (23.259) φυσικών προσώπων χωρίς νόμιμη αιτία, καθώς λόγω αναφερόμενων από την ίδια «συστημικών» παραμετροποιήσεων των παραγόμενων λιστών αποδεκτών των εξατομικευμένων επιστολών, εντάχθηκε εκ παραδρομής και παρήχθη συστημικά λίστα αποδεκτών, στην οποία περιλαμβάνονταν και πελάτες και άλλα πρόσωπα που, καίτοι δεν ενέχονταν στο υπό διαχείριση χαρτοφυλάκιο, καθώς εμφάνιζαν μηδενικό υπόλοιπο, έλαβαν την εν λόγω επιστολή.

Επομένως, τα εν λόγω δεδομένα δεν έχρηζαν οποιασδήποτε επεξεργασίας και δεν υπήρχε νόμιμη βάση για την επεξεργασία στην οποία υποβλήθηκαν, ήτοι της παραγωγής της λίστας και της αποστολής της επιστολής στα υποκείμενα των δεδομένων.

Συνεπώς, η Αρχή διαπίστωσε ότι έχει επέλθει παραβίαση της αρχής της νομιμότητας (άρθρα 5 παρ. 1 α’ και 6 ΓΚΠΔ) από την Τράπεζα,  ως υπεύθυνη επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των ως άνω αναφερθέντων φυσικών προσώπων, μεταξύ των οποίων και του καταγγέλλοντος,.

Περαιτέρω, διαπίστωσε ότι δεν έχει προκύψει διαβίβαση των δεδομένων των παραπάνω προσώπων στον Διαχειριστή. Με δεδομένο, όμως, ότι ο γενικότερος έλεγχος συνεχίζεται και δεν έχει ακόμη ολοκληρωθεί, η Αρχή επιφυλάσσεται ρητά να ασκήσει τις αρμοδιότητές της ως προς το συγκεκριμένο ζήτημα στο μέλλον.

Επίσης, προέκυψε ότι κατά τη διαδικασία επιλογής των φυσικών προσώπων, στα οποία η Τράπεζα θα απέστελνε ενημερωτική επιστολή, δεν ελήφθησαν τα κατάλληλα μέτρα ώστε αυτή η επιλογή να πραγματοποιηθεί με τις απαραίτητες εγγυήσεις για την εφαρμογή της αρχής της νόμιμης επεξεργασίας των δεδομένων των εν λόγω προσώπων και δεν διασφαλίστηκε ότι θα τύχουν επεξεργασίας μόνο τα δεδομένα που είναι απαραίτητα για τον σκοπό της ενημέρωσης των προσώπων για τη διαβίβαση των δεδομένων τους.

Αναφορικά με το δικαίωμα πρόσβασης που άσκησε ο καταγγέλλων, η Αρχή έκρινε ότι η Τράπεζα δεν αποκρίθηκε εναργώς αρνητικά στο ερώτημα εάν τα δεδομένα του καταγγέλλοντος διαβιβάστηκαν στον Διαχειριστή, αλλά περιορίστηκε να ανακαλέσει την αρχική επιστολή και το περιεχόμενό της, υποδηλώνοντας ότι δεν έχει πραγματοποιηθεί η επεξεργασία που εκ παραδρομής αναφέρθηκε και δεν έχουν διαβιβαστεί τα δεδομένα στον Διαχειριστή.

Η Τράπεζα, η οποία ως υπεύθυνη επεξεργασίας έχει την υποχρέωση να ικανοποιεί προσηκόντως το δικαίωμα πρόσβασης των υποκειμένων,  όφειλε να απαντήσει στον αιτούντα/καταγγέλλοντα συγκεκριμένα ότι τα δεδομένα του δεν έτυχαν επεξεργασίας για τον σκοπό που αναφέρθηκε στην πρώτη εκ παραδρομής αποσταλείσα επιστολή και δεν διαβιβάστηκαν στον Διαχειριστή.

Κατόπιν των ανωτέρω, η Αρχή επέβαλε στην Τράπεζα διοικητικό πρόστιμο συνολικού ύψους 210.000 ευρώ, για παραβίαση των άρθρων 5 παρ. 1(α) και 6, 25 παρ. 1 και 15 παρ. 1 ΓΚΠΔ.

Πηγή