Υπόθεση παραβίασης προσωπικών δεδομένων από την τράπεζα, μέσω του συστήματος web banking, απασχόλησε την Επίτροπο Προστασίας Δεδομένων Προσωπικού Χαρακτήρα της Κυπριακής Δημοκρατίας.
Σύμφωνα με το ιστορικό, πελάτης της Ελληνικής Τράπεζας, είχε πρόσβαση σε οικονομικά δεδομένα άλλου πελάτη, μέσω του web banking system.
Ειδοποίησε την Τράπεζα, η οποία απέστειλε έντυπο Γνωστοποίησης Παραβίασης Δεδομένων Προσωπικού Χαρακτήρα στο Γραφείο της Επιτρόπου.
Παρόλο που η Τράπεζα προχώρησε σε διόρθωση δεδομένων που αντιστοιχούσαν στον συγκεκριμένο πελάτη, εντούτοις δεν προχώρησε και στη διόρθωση διεύθυνσης οικίας, με αποτέλεσμα όταν εκδόθηκε νέα κάρτα στο όνομα του άλλου πελάτη, αυτή να σταλεί στον πρώτο, ο οποίος και πάλι ενημέρωσε την Τράπεζα για το λάθος αυτό.
Η Επίτροπος κατέληξε ότι υπήρξε παράβαση εκ μέρους της Ελληνικής Τράπεζας του Κανονισμού 2016/679 (ΓΚΠΔ).
Ωστόσό, λαμβάνοντας υπόψιν όλα τα γεγονότα και τους μετριαστικούς παράγοντες οι οποίοι ήταν κατά πολύ περισσότεροι από τους επιβαρυντικούς, η Επίτροπος αποφάσισε όπως μη επιβάλει διοικητικό πρόστιμο σε αυτήν την περίπτωση.
Δόθηκε εντολή προς την Ελληνική Τράπεζα, όπως θεσπίσει τέτοια μέτρα ασφαλείας και πρακτικές, ούτως ώστε να καθίστανται οι πράξεις επεξεργασίας σύμφωνες με τις διατάξεις του ΓΚΠΔ και όπως σε διάστημα τριών μηνών, πληροφορήσει την Επίτροπο για τις ενέργειες στις οποίες προέβη για συμμόρφωση με την Απόφαση.
Δεδομένου ότι παρά τη διαπίστωση παραβίασης δεν επιβλήθηκε πρόστιμο, άξιοι αναφοράς είναι στη συγκεκριμένοι περίπτωση οι μετριαστικοί (1-10) και επιβαρυντικοί (11-16) παράγοντες, τους οποίους έλαβε υπόψη η Επίτροπος:
(1) Τον περιορισμένο αριθμό υποκειμένων των δεδομένων των οποίων τα δεδομένα έχουν εκτεθεί (δύο στο σύνολο).
(2) Την ανυπαρξία δόλου εκ μέρους του υπεύθυνου επεξεργασίας, αφού η παραβίαση ήταν αποτέλεσμα ανθρώπινου λάθους.
(3) Το γεγονός ότι ο υπεύθυνος επεξεργασίας προέβαινε σε ενέργειες διόρθωσης των λαθών του, ευθύς μετά την ειδοποίηση γι’ αυτά από το υποκείμενο των δεδομένων.
(4) Το ότι υπάρχει συνεργασία μεταξύ του υπεύθυνου επεξεργασίας και της Εποπτικής Αρχής.
(5) Το γεγονός ότι ο υπεύθυνος επεξεργασίας εφαρμόζει πολιτικές και κώδικες στον χώρο εργασίας όπως π.χ. Πολιτική Προστασίας Δεδομένων, Πλαίσιο Προστασίας Δεδομένων, Πολιτική Ασφάλειας Πληροφοριών, Πειθαρχικός Κώδικας, και Κώδικας Επαγγελματικής Συμπεριφοράς και Ηθικής, τους οποίους οι υπάλληλοι οφείλουν να γνωρίζουν και εφαρμόζουν.
(6) Το ότι υπήρξε παραδοχή λαθών τόσο για το θέμα των δικλείδων ασφαλείας του συστήματος, όσο και για την ανάγκη της Τράπεζας για άμεση ανάληψη δράσης για διερεύνηση περιστατικών και υποβολή σχετικής γνωστοποίησης στο Γραφείο μου εντός της προθεσμίας.
(7) Το γεγονός ότι πλείστα των δεδομένων του Μ.Κ. που εκτέθηκαν προς τον Σ.Γ., όπως φάνηκε εν τέλει, ανήκουν σε νομική οντότητα η οποία ήταν συνδεδεμένη με φυσικό πρόσωπο.
(8) Το ότι δεν πραγματοποιήθηκαν μη εξουσιοδοτημένες συναλλαγές, αφού απαιτείτο επιπρόσθετος κωδικός ασφάλειας – one time password και δεν υπήρξαν οικονομικές συνέπειες στα υποκείμενα των δεδομένων.
(9) Τον μεγάλο αριθμό καταχωρίσεων. Μόνο για το έτος 2019 έγιναν πέραν των 15000 καταχωρίσεων στο σύστημα της Τράπεζας.
(10) Το ότι ένα τραπεζικό ίδρυμα έχει αυξημένο βαθμό ευθύνης, έναντι οποιουδήποτε άλλου υπεύθυνου επεξεργασίας, για τήρηση τέτοιων μέτρων ασφαλείας ώστε να διαφυλάσσονται τα οικονομικά δεδομένα των πελατών του.
(11) Το ότι εντός του έτους 2019, γνωστοποιήθηκαν στην Εποπτική Αρχή, ακόμη 7 παραβιάσεις εμπιστευτικότητας δεδομένων των πελατών της Ελληνικής Τράπεζας, χωρίς όμως πάντα να αφορά στα ίδια περιστατικά όπως στην παρούσα περίπτωση.
(12) Το ότι αποκαλύφθηκαν οικονομικά δεδομένα και παραβιάστηκε η εμπιστευτικότητα τους.
(13) Την μη τήρηση της πρέπουσας διαδικασίας και την μεγάλη καθυστέρηση στην υποβολή Γνωστοποίησης Παραβίασης με βάση το Άρθρο 33 παρ. 1 του ΓΚΠΔ 2016/679.
(14) Το γεγονός ότι παρόλο που υπήρχαν δικλείδες ασφαλείας, αυτές δεν ήταν ικανές να αποτρέψουν την παραβίαση.
(15) Το γεγονός ότι παρατηρούνται συχνά περιστατικά παραβίασης που οφείλονται σε ανθρώπινο λάθος υπαλλήλων της Τράπεζας.
(16) Τέλος, το γεγονός ότι η Τράπεζα έλαβε γνώση για τις παραβιάσεις και αντιλήφθηκε τα λάθη τα οποία έγιναν, αφότου ειδοποιήθηκε και τις δύο φορές από ένα εκ των δύο επηρεαζόμενων προσώπων.
Η απόφαση είναι διαθέσιμη στο dataprotection.gov.cy