Πρόστιμο μαμούθ στην Alpha Bank – Τι έκανε σε πελάτη

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα επέβαλε πρόστιμο ύψους 60.000 ευρώ στην Alpha Bank, για παράνομη παροχή πληροφοριών.

Πρόστιμο μαμούθ στην Alpha Bank - Τι έκανε σε πελάτη

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα επέβαλε πρόστιμο ύψους 60.000 ευρώ σε μια τράπεζα, λόγω παράνομης αποκάλυψης προσωπικών δεδομένων στη σύζυγο του καταγγέλλοντος. Ωστόσο, κύριος λόγος της επιβολής ήταν τα λάθη και οι παραλείψεις της τράπεζας στη διαχείριση του περιστατικού παραβίασης δεδομένων.

Σύμφωνα με την καταγγελία, η τράπεζα Alpha Bank χορήγησε στη σύζυγο του καταγγέλλοντα ενημέρωση σχετικά με την τήρηση πιστωτικής κάρτας στο όνομά του, καθώς και εκτυπωμένες αποδείξεις όλων των συναλλαγών που αυτός είχε πραγματοποιήσει τους προηγούμενους 3-4 μήνες.

Η χορήγηση – διαβίβαση αυτή έγινε χωρίς να έχει προηγηθεί ενημέρωσή του, ως υποκειμένου των δεδομένων και είχε ως αποτέλεσμα, σύμφωνα με την καταγγελία, τη σημαντική διατάραξη της οικογενειακής ειρήνης και της σχέσης του καταγγέλλοντος με τη σύζυγό του.

Η Αρχή κάλεσε την καταγγελλόμενη Τράπεζα να παράσχει πληροφορίες επί της καταγγελίας, διευκρινίζοντας ιδίως: α) αν  χορήγησε πληροφορίες σχετικά με τις συναλλαγές που είχαν πραγματοποιηθεί μέσω της προσωπικής πιστωτικής κάρτας του καταγγέλλοντος στη σύζυγό του, με ποια νομική βάση και διαδικασία, και για ποιο λόγο δεν ενημερώθηκε σχετικά ο καταγγέλλων ως υποκείμενο των δεδομένων, β) πότε έλαβε γνώση για το καταγγελλόμενο περιστατικό εκ μέρους του καταγγέλλοντος και σε ποιες ενέργειες προέβη στη συνέχεια. Παράλληλα, η Τράπεζα εκλήθη να προσκομίσει τις σχετικές Πολιτικές της και να διευκρινίσει αν τηρήθηκαν τα προβλεπόμενα σε αυτές και αν τα καταγγελλόμενα αντιμετωπίστηκαν ως περιστατικό παραβίασης δεδομένων, σύμφωνα με τα άρθρα 33-34 ΓΚΠΔ.

Τι απάντησε η Alpha Bank

Η Τράπεζα επιβεβαίωσε την τέλεση της παραβίασης, την οποία απέδωσε σε λάθος υπαλλήλου τοπικού καταστήματός της. Ειδικότερα, η Τράπεζα ισχυρίστηκε πως πράγματι έλαβε παράπονο πελάτη της για τη διαρροή των προσωπικών δεδομένων του, ωστόσο τα στοιχεία που είχαν υποβληθεί δεν ήταν επαρκή για την έναρξη σχετικής έρευνας, καθώς ήταν δύσκολος τόσο ο εντοπισμός του τρόπου και της προέλευσης της διαρροής, όσο και ο προσδιορισμός του χρονικού διαστήματος στο οποίο θα έπρεπε η έρευνα να εκτείνεται.

Σύμφωνα με την καταγγελλόμενη, ο καταγγέλλων επανήλθε εκ νέου, προσκομίζοντας νέα στοιχεία, μετά τη λήψη των οποίων ενημερώθηκε εκ νέου ο Εσωτερικός Έλεγχος, προκειμένου να εκκινήσει η σχετική έρευνα.

Το πόρισμα του Εσωτερικού Ελέγχου επιβεβαίωσε τη διαρροή των προσωπικών δεδομένων του καταγγέλλοντος, η οποία αποδόθηκε σε ευθύνη λειτουργού καταστήματος, χωρίς ωστόσο να διαγνωστεί δόλος εκ μέρους της. Τούτο διότι, σύμφωνα με το πόρισμα: α) τα προσωπικά δεδομένα του καταγγέλλοντος γνωστοποιήθηκαν κατόπιν αιτήματος άμεσα συγγενούς προσώπου (συζύγου), β) η σύζυγος του καταγγέλλοντα, η οποία υπήρξε εσφαλμένα αποδέκτης των δεδομένων του, τυγχάνει συνδικαιούχος του σε άλλα προϊόντα της Τράπεζας καθώς και κάτοχος πρόσθετης πιστωτικής κάρτας με κύριο δικαιούχο τον καταγγέλλοντα, γ) η διαρροή πραγματοποιήθηκε στο πλαίσιο εξυπηρέτησης / ενημέρωσης της συζύγου του καταγγέλλοντα για μια σειρά από προϊόντα, στα οποία είναι δικαιούχος ή συνδικαιούχος η ίδια, με το τελευταίο εξ αυτών να αφορά την επίμαχη πιστωτική κάρτα του καταγγέλλοντα συζύγου της και δ) η σύζυγος του καταγγέλλοντα παραπλάνησε την Λειτουργό του Καταστήματος ισχυριζόμενη ότι είχε δήθεν τη σχετική εξουσιοδότηση του κατόχου της κάρτας και συζύγου της για την παραλαβή αντιγράφου των κινήσεων της πιστωτικής κάρτας του.

Ως προς τη διαχείριση της παραβίασης, με βάση τα άρθρα 33-34 ΓΚΠΔ, η Τράπεζα ισχυρίστηκε ότι «το περιστατικό αντιμετωπίσθηκε ως παραβίαση προσωπικών δεδομένων, ακολουθήθηκαν όλες οι σχετικές διαδικασίες καταγραφής και χειρισμού του, η υπαίτια υπάλληλος παραπέμφθηκε στο Πειθαρχικό Συμβούλιο και τιμωρήθηκε αυστηρά με πειθαρχική ποινή παύσης ενός (1) μήνα, ενώ δεν έγινε γνωστοποίηση προς το υποκείμενο κατ’ άρθρο 34 ΓΚΠΔ δεδομένου ότι το ίδιο είχε ενημερώσει την Τράπεζα για το περιστατικό, ούτε και προς την Αρχή, κατ’ άρθρο 33 ΓΚΠΔ, διότι ‘’αφορούσε μόνο ένα υποκείμενο και δεν υπήρχε περίπτωση να επηρέαζε τα δικαιώματα και τις ελευθερίες του ίδιου του υποκειμένου ή άλλων φυσικών προσώπων’’».

Η κρίση της Αρχής

Η Αρχή διαπίστωσε την παραβίαση δύο εκ των αρχών νομιμότητας του άρθρου 5 ΓΚΠΔ, τελεσθείσα δια της παράνομης διαβίβασης των προσωπικών δεδομένων του καταγγέλλοντος, καθώς και την παραβίαση της υποχρέωσης γνωστοποίησης του περιστατικού στην εποπτική αρχή, σύμφωνα με το άρθρο 33 ΓΚΠΔ.

Ειδικότερα, καταρχήν διαπιστώθηκε πως «η εκ μέρους της καταγγελλόμενης Τράπεζας χορήγηση προσωπικών δεδομένων σχετικά με τη χρήση της πιστωτικής κάρτας του καταγγέλλοντος στη σύζυγό του έγινε αθέμιτα, κατά παράβαση της αρχής της νομιμότητας, αντικειμενικότητας και διαφάνειας της επεξεργασίας (άρθρο 5 παρ. 1 α’ ΓΚΠΔ) και κατά παράβαση της αρχής της εμπιστευτικότητας των δεδομένων (άρθρο 5 παρ. 1 στ’ ΓΚΠΔ). Η εν λόγω μη εξουσιοδοτημένη επεξεργασία (κοινολόγηση με διαβίβαση) αποτελεί περιστατικό παραβίασης δεδομένων προσωπικού χαρακτήρα, σύμφωνα με τον ορισμό του άρθρου 4 αρ. 12 ΓΚΠΔ, το οποίο αποδίδεται σε σφάλμα υπαλλήλου της Τράπεζας».

Ως προς τη διαχείριση του περιστατικού παραβίασης, η Αρχή υπήρξε πιο αναλυτική και σαφώς πιο αυστηρή.

Σύμφωνα με την απόφασή της:

«[..] η Τράπεζα δεν προχώρησε σε γνωστοποίηση του περιστατικού στην Αρχή σύμφωνα με το άρθρο 33 ΓΚΠΔ, χαρακτηρίζοντας εσφαλμένα τον κίνδυνο από αυτό ως «μηδενικό» (βλ. Απόσπασμα Μητρώου Περιστατικών Παραβίασης, ως σχετ. 1 του υπομνήματος της Τράπεζας), παρά το γεγονός ότι στη Φόρμα Αναλύσεως και Αξιολογήσεως Κινδύνου του περιστατικού (σχετ. 2 του υπομνήματος της Τράπεζας) έχουν καταγραφεί ως ενδεχόμενες επιπτώσεις για το υποκείμενο η «πρόκληση άγχους, στρες, ενόχληση και έλλειψη εμπιστοσύνης για την διαρροή των κινήσεων της πιστωτικής κάρτας του, στη σύζυγό του». Όπως προκύπτει από την ίδια Φόρμα, η σοβαρότητα των επιπτώσεων για το υποκείμενο έχει εκτιμηθεί ως «αμελητέα», όπως επίσης «αμελητέα» χαρακτηρίζεται και η πιθανότητα να προκληθεί βλάβη στο υποκείμενο, με την εξής αιτιολογία: «Το πλήθος και οι κατηγορίες των δεδομένων (κινήσεις μιας κάρτας για μέγιστη χρονική περίοδο … μηνών) και ο αποδέκτης τους, τα δεδομένα διέρρευσαν σε πρόσωπο του πλέον στενού οικογενειακού κύκλου του φυσικού προσώπου Β, εκτιμάται ότι μειώνουν σημαντικά την πιθανότητα επέλευσης υψηλών κινδύνων για τις ελευθερίες και τα δικαιώματα του φυσικού προσώπου Β. Κατόπιν των ανωτέρω η πιθανότητα να προκληθεί κίνδυνος για τα δικαιώματα και τις ελευθερίες του υποκειμένου ή βλάβη κρίνεται αμελητέα». Ωστόσο η εκτίμηση αυτή της Τράπεζας είναι προδήλως εσφαλμένη, δεδομένου ότι είναι βέβαιο ότι το περιστατικό επέφερε συνέπειες στα δικαιώματα και τις ελευθερίες του καταγγέλλοντος, αφού όπως ήταν ήδη γνωστό στην Τράπεζα, διατάραξε την προσωπική και οικογενειακή του ζωή. Προκύπτει εξάλλου ότι η Τράπεζα υποτιμά τις πιθανές συνέπειες της παραβίασης, υποστηρίζοντας με το υπόμνημά της ότι από την καταγραφή καθημερινών συναλλαγών, όπως είναι οι καταβολές προς το … ή το … δεν προκύπτει το είδος της παρεχόμενης υπηρεσίας, ισχυρισμός προδήλως αβάσιμος. Περαιτέρω, στην ίδια Φόρμα Αναλύσεως και Αξιολογήσεως Κινδύνου (Σχετ. 2 του υπομνήματος) σημειώνεται ότι «Λόγω της φύσης του περιστατικού και με δεδομένο ότι, πλέον, δεν δύνανται να αποτραπούν οι επιπτώσεις του περιστατικού, δεν υφίσταται η δυνατότητα για διορθωτικές ενέργειες εκ μέρους της Τράπεζας», εκτίμηση επίσης εσφαλμένη, αφού η Τράπεζα θα μπορούσε σε κάθε περίπτωση να λάβει μέτρα για τον περιορισμό των επιπτώσεων του περιστατικού: Για παράδειγμα, θα μπορούσε να επικοινωνήσει με τη σύζυγο και αποδέκτη των δεδομένων του καταγγέλλοντος, να την ενημερώσει για το γεγονός ότι η διαβίβαση των συναλλακτικών πληροφοριών του προς την ίδια είχε γίνει παράνομα, κατά παράβαση των διαδικασιών της τράπεζας και του τραπεζικού απορρήτου και να την καλέσει να επιστρέψει τις σχετικές εκτυπώσεις στην Τράπεζα και να καταστρέψει τυχόν αντίγραφά τους, καθώς και να μη γνωστοποιήσει περαιτέρω τις σχετικές πληροφορίες σε τρίτους. Έτσι, παρότι η Τράπεζα αναγνωρίζει ότι εν προκειμένω έγινε παράνομη επεξεργασία και αθέμιτη διαβίβαση των δεδομένων του καταγγέλλοντος και καταχώρησε το περιστατικό στο Μητρώο Περιστατικών Παραβίασης Δεδομένων, εν τέλει δεν το γνωστοποίησε στην Αρχή κατ’ άρθρο 33 ΓΚΠΔ, δεν έλαβε μέτρα για τον μετριασμό των συνεπειών του και δεν έλαβε επιπλέον μέτρα για την αποτροπή παρόμοιων περιστατικών στο μέλλον, πέρα από την επιβολή στην υπαίτια υπάλληλο της πειθαρχικής ποινής της παύσης ενός μήνα, η οποία, κατά την Τράπεζα, προορίζεται να δράσει αποτρεπτικά και για το λοιπό προσωπικό. Σημειώνεται επίσης ότι η Τράπεζα δεν εκδήλωσε οποιοδήποτε ενδιαφέρον ή μια έστω τυπική απολογία για την ηθική βλάβη που υπέστη ο καταγγέλλων εξαιτίας του περιστατικού.

9. Από τα παραπάνω εκτιθέμενα πραγματικά περιστατικά προκύπτουν μια σειρά από εσφαλμένες ενέργειες και παραλείψεις στη διαχείριση του υπό κρίση περιστατικού παραβίασης εκ μέρους της καταγγελλόμενης Τράπεζας. Συγκεκριμένα, η Τράπεζα, ως υπεύθυνος επεξεργασίας, παρότι είχε ενδείξεις για την πιθανή τέλεση περιστατικού παραβίασης, αρχικά δεν το διερεύνησε μεταθέτοντας την ευθύνη για τον εντοπισμό της πηγής της διαρροής στο υποκείμενο των δεδομένων, στη συνέχεια καθυστέρησε σημαντικά να το χειριστεί ως περιστατικό παραβίασης λόγω έλλειψης συνεννόησης μεταξύ των αρμοδίων Μονάδων της, ακολούθως υποτίμησε τις συνέπειές του για το υποκείμενο και εκτίμησε εσφαλμένα ότι δεν οφείλει να το γνωστοποιήσει στην Αρχή κατά το άρθρο 33 ΓΚΠΔ. Οι διαπιστωθείσες ελλείψεις και καθυστερήσεις κατά τον εσωτερικό χειρισμό της υπόθεσης δεν προκύπτει ότι οφείλονται σε ελλιπείς Πολιτικές και Διαδικασίες της Τράπεζας σύμφωνα με το άρθρο 24 παρ. 2 ΓΚΠΔ, αφού οι ενέργειες τις οποίες οφείλουν να ακολουθούν αμελλητί τα όργανα και οι υπηρεσίες της σε περίπτωση πιθανού περιστατικού παραβίασης προβλέπονται στα κείμενα που η Τράπεζα επικαλέστηκε και προσκόμισε (βλ. σχετ. 4-6 του υπ’ αρ. πρωτ. Γ/ΕΙΣ/125/09-01-2023 απαντητικού εγγράφου της Τράπεζας) αλλά στη μη τήρηση των εν λόγω διαδικασιών στην προκειμένη περίπτωση. Κατόπιν των ανωτέρω, προκύπτει ευθύνη της Τράπεζας για το γεγονός ότι καθυστέρησε για πολλούς μήνες να διερευνήσει το συμβάν ώστε να αποκτήσει εύλογο βαθμό βεβαιότητας και να το χειριστεί ως περιστατικό παραβίασης, αλλά και για το γεγονός ότι μετά την επιβεβαίωση του περιστατικού δεν προχώρησε σε γνωστοποίησή του στην Αρχή ούτε έλαβε μέτρα για τον μετριασμό των συνεπειών του».

Με βάση τις διαπιστώσεις αυτές, η Αρχή επέβαλε στην Τράπεζα διοικητικό πρόστιμο 10.000 ευρώ για την παραβίαση των άρθρων 5 παρ.1α’ και στ’ ΓΚΠΔ και 50.000 ευρώ για την παραβίαση του άρθρου 33 ΓΚΠΔ.

Το πλήρες κείμενο της απόφασης 35/2023 της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα