Πρόστιμο συνολικού ύψους 15.000 ευρώ επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα στην εταιρεία Vodafone για παράνομη επεξεργασία δεδομένων πιστωτικής κάρτας συνδρομητής της!
Της Πωλίνας Βασιλοπούλου
Σύμφωνα με την καταγγελία που ερεύνησε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα ο προσφεύγων, συνδρομητής της εταιρείας Vodafone, ανέφερε ότι επικοινώνησε τηλεφωνικά με την εταιρεία τον Ιούνιο του 2016 και εξόφλησε τον λογαριασμό του υποδεικνύοντας τα στοιχεία της πιστωτικής του κάρτας. Τον επόμενο μήνα (Αύγουστος 2016) ο προσφεύγων επικοινώνησε εκ νέου για την εξόφληση του επόμενου λογαριασμού του, και, προτού υποδείξει τα στοιχεία της πιστωτικής του κάρτας, ενημερώθηκε ότι η συναλλαγή δεν μπορεί να ολοκληρωθεί χωρίς προηγούμενη έγκριση του λογιστηρίου της εταιρείας και, για το λόγο αυτό, θα επικοινωνούσαν μαζί του αργότερα. Ωστόσο, την ίδια ημέρα, ο προσφεύγων έλαβε μήνυμα στο κινητό του τηλέφωνο ότι ο συγκεκριμένος λογαριασμός εξοφλήθηκε από την κάρτα που είχε δηλώσει, γεγονός που τον ανάγκασε να ακυρώσει τη συγκεκριμένη κάρτα και να ζητήσει την έκδοση νέας.
Στη συνέχεια, µε εξώδικη δήλωσή του, η οποία εστάλη µέσω δικηγόρου, ο προσφεύγων ζήτησε από τη Vodafone α) να διαγράψει όλα τα στοιχεία πιστωτικών καρτών του που φέρονταν να τηρούνται στα αρχεία της, όπως προέκυψε, καταρχάς, στο πλαίσιο εξέτασης της υπόθεσης του από το Συνήγορο του Καταναλωτή και να τον ενημερώσει εγγράφως για τη διαγραφή και β) να απαντήσει σε συγκεκριμένα ερωτήματα που έθεσε σχετικά µε την προηγηθείσα επεξεργασία των σχετικών δεδομένων του. Επίσης, µε την ίδια δήλωση ο προσφεύγων υπενθύμισε στην εταιρεία το τηλεφωνικό αίτημά του για χορήγηση των σχετικών καταγεγραμμένων συνομιλιών του.
«Μεμονωμένο περιστατικό λόγω παρανόησης…»
Σύμφωνα πάντα µε την καταγγελία, η μόνη απάντηση που έλαβε ο προσφεύγων είναι η κοινοποίηση της απαντητικής επιστολής της Vodafone προς το Συνήγορο του Καταναλωτή στην οποία αναφέρονται, μεταξύ άλλων, τα ακόλουθα: «[…] το περιστατικό που περιγράφεται στην αναφορά του καταγγέλλοντος αποτελεί μεμονωμένο περιστατικό, το οποίο συνέβη από παρανόηση υπαλλήλου της εταιρείας µας, που εκ παραδρομής προέβη εσφαλμένα στην καταχώρηση των στοιχείων του ανωτέρω καταγγέλλοντος στο σύστημα που τηρεί νομίμως η εταιρεία µας για τους συνδρομητές – πελάτες της εταιρείας µας, οι οποίοι έχουν επιλέξει την πληρωμή των λογαριασμών τους µε πάγια εντολή εξόφλησης λογαριασμών µε χρέωση της πιστωτικής, χρεωστικής ή προπληρωμένης κάρτας τους. Ως εκ περισσού τονίζεται ότι ήδη τα στοιχεία της κάρτας του κ.… έχουν διαγραφεί πλήρως από το ανωτέρω σύστημα. […]».
Επιπρόσθετα, ο προσφεύγων επισημαίνει ότι εξαιτίας της παράνομης, κατά την άποψή του, επεξεργασίας δεδοµένων πιστωτικής του κάρτας, αναγκάστηκε να ακυρώσει τη συγκεκριµένη κάρτα και να ζητήσει την έκδοση νέας, µε όλη την ταλαιπωρία που η διαδικασία αυτή συνεπάγεται.
Στην απόφαση της Αρχής (υπ΄αριθμόν 89/2017) επισημαίνεται «ότι α) η εταιρεία Vodafone δεν απέδειξε τους ισχυρισµούς της σχετικά µε τις προσβάσεις εξουσιοδοτηµένων υπαλλήλων της στα στοιχεία πιστωτικών καρτών, καθώς και σχετικά µε τα αρχεία καταγραφής και τα αντίγραφα ασφαλείας, και β) πριν την εισαγωγή του PCI, τα στοιχεία πιστωτικών καρτών ήταν διαθέσιµα σε όλους τους εξουσιοδοτηµένους υπαλλήλους. Με βάση τα ευρήµατα αυτά, ελλοχεύουν για την ασφάλεια των δεδοµένων συγκεκριµένοι κίνδυνοι, ήτοι 1) µη εξουσιοδοτηµένη πρόσβαση στα δεδοµένα πιστωτικών καρτών και 2) χρήση των στοιχείων πιστωτικής κάρτας για µη εξουσιοδοτηµένεςχρεώσεις, δηλαδή εν αγνοία και χωρίς τη συγκατάθεση του κατόχου της κάρτας. Οι κίνδυνοι αυτοί εξελίχθηκαν, εν προκειµένω, σε περιστατικό παράνοµης επεξεργασίας δεδοµένων πιστωτικής κάρτας χωρίς συγκατάθεση του υποκειµένου τους, ήτοι σε παράνοµη πρόσβαση υπαλλήλου της εταιρείας σε στοιχεία πιστωτικής κάρτας που είχαν δοθεί κατά τη διάρκεια προηγούµενης συναλλαγής του και παρανόµως είχαν τηρηθεί από την εταιρεία, καθώς και σε περαιτέρω χρήση αυτών σε επόµενη συναλλαγή».
Τελικά, η Αρχή κατέληξε ότι «λαμβάνοντας υπόψη τη βαρύτητα των παραβάσεων των άρθρων 10 και 12 του ν. 2472/1997 που αποδείχθηκαν και της προσβολής που επήλθε από αυτή στο υποκείµενο των δεδοµένων, όπως αυτή εκτέθηκε αναλυτικά ανωτέρω, κρίνει ότι πρέπει να επιβληθούν στην εταιρεία Vodafone, ως υπεύθυνο επεξεργασίας, οι προβλεπόµενες στο άρθρο 21 παρ. 1 εδαφ. β΄ του ν. 2472/1997 κυρώσεις που αναφέρονται στο διατακτικό και οι οποίες τυγχάνουν ανάλογες µε τη βαρύτητα εκάστης παράβασης και της προσβολής του προσφεύγοντος εξ’ αυτών, καθώς και ότι πρέπει να της επισηµανθεί επιπλέον η υποχρέωση να συµµορφωθεί µε τις συστάσεις που της έχει ήδη απευθύνει µε την Απόφαση 71/2017 σχετικά µε την ικανοποίηση των δικαιωµάτων ενηµέρωσης και πρόσβασης των υποκειµένων των δεδοµένων σε καταγεγραµµένες συνοµιλίες».