Εξακολουθούμενη διαρροή στοιχείων των τραπεζικών συναλλαγών της καταγγέλλουσας σε τρίτο πρόσωπο, μέσω της αποστολής ειδοποιήσεων winbank alerts σε λανθασμένο email
Πρόστιμο ύψους δέκα χιλιάδων ευρώ επιβλήθηκε στην Τράπεζα Πειραιώς από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, για την παράβαση της αρχής της εμπιστευτικότητας των δεδομένων (άρ. 5 παρ. 1 του ΓΚΠΔ) και των υποχρεώσεών της εκ των άρθρων 33 και 34 του ΓΚΠΔ (απόφαση 6/2022).
Επιπλέον η Αρχή απηύθυνε προειδοποίηση προς την Τράπεζα σε σχέση με τα ελλιπή τεχνικά και οργανωτικά μέτρα ασφάλειας (άρθρα 24 και 32 ΓΚΠΔ) που διαπιστώθηκαν, εξαιτίας της απουσίας μέτρων επιβεβαίωσης των ηλεκτρονικών διευθύνσεων που δηλώνονται για τον σκοπό της αποστολής ειδοποιήσεων Winbank Alerts.
Ειδικότερα, η καταγγέλλουσα τυχαία διαπίστωσε ότι προσωπικά της δεδομένα κοινοποιούνταν εκ μέρους της τράπεζας σε τρίτο πρόσωπο που φέρει το ονοματεπώνυμό της, εν αγνοία της και χωρίς τη θέλησή της.
Αμέσως, ενημέρωσε εγγράφως την τράπεζα, η οποία αφού προέβη σε ελέγχους, διαπίστωσε ότι το πρόβλημα οφείλεται στην εσφαλμένη διεύθυνση e-mail που είχε δηλώσει ο σύζυγος και συνδικαιούχος της καταγγέλλουσας για την αποστολή ειδοποιήσεων Winbank alerts.
Παρ’ όλα αυτά, η τράπεζα δεν προέβη σε καμία ενέργεια για την παύση της αποστολής των ειδοποιήσεων, αλλά συνέχισε να προβαίνει σε παραβίαση της εμπιστευτικότητας των δεδομένων της καταγγέλλουσας, μέσω της αθέμιτης κοινοποίησής τους σε τρίτο πρόσωπο , αναμένοντας την άσκηση δικαιώματος διόρθωσης της εσφαλμένης διεύθυνσης εκ μέρους του υποκειμένου – συνδικαιούχου της καταγγέλλουσας.
Παρά την εκ νέου διαμαρτυρία της καταγγέλλουσας προς την τράπεζα, η καταγγελλόμενη εξακολούθησε να αδρανεί, με αποτέλεσμα η καταγγέλλουσα να προχωρήσει στην υποβολή καταγγελίας στην Αρχή.
Η Αρχή επεσήμανε ότι, δεδομένου ότι η καταγγέλλουσα απευθύνθηκε στην καταγγελλόμενη Τράπεζα με την ιδιότητα του υποκειμένου των δεδομένων (πληροφοριών τραπεζικών συναλλαγών που και η ίδια πραγματοποιούσε μέσω του λογαριασμού της) αναφέροντας τη διαπιστωμένη διαρροή των δεδομένων αυτών σε τρίτο πρόσωπο, που συνιστά περιστατικό παραβίασης των προσωπικών δεδομένων της σύμφωνα με το άρθρο 4 άρ. 12 του ΓΚΠΔ και παραβίαση της αρχής της εμπιστευτικότητας, εναπόκειται πλέον στην Τράπεζα, ως υπεύθυνο επεξεργασίας, να αξιολογήσει το περιστατικό σύμφωνα με τα άρθρα 33 και 34 του ΓΚΠΔ και να προβεί στις απαραίτητες ενέργειες για την αντιμετώπιση της παραβίασης, λαμβάνοντας μέτρα για την άμβλυνση των δυσμενών συνεπειών της.
Επιπλέον, η Τράπεζα όφειλε να λάβει επιπλέον διορθωτικά μέτρα για να διασφαλίσει την ασφάλεια των δεδομένων, σύμφωνα με τα άρθρα 24 και 32 του ΓΚΠΔ, λαμβάνοντας υπόψη το ως άνω περιστατικό και επαναξιολογώντας τη διαδικασία δήλωσης ηλεκτρονικής διεύθυνσης από πελάτη και χρήστη των υπηρεσιών της, προσθέτοντας, εάν κρίνεται απαραίτητο, επιπλέον βήματα προς επιβεβαίωση ότι η δηλωθείσα διεύθυνση ανήκει στο πρόσωπο που τη δήλωσε.
Η Αρχή έκρινε ότι η αρχή της ακεραιότητας και εμπιστευτικότητας των δεδομένων επιβάλλει τη λήψη μέτρων από την καταγγελλόμενη τράπεζα ως υπεύθυνο επεξεργασίας, αμέσως μόλις τέθηκε εις γνώση της η εξακολουθούμενη διαρροή των στοιχείων των τραπεζικών συναλλαγών τους σε τρίτο πρόσωπο, μέσω της παύσης της αποστολής ειδοποιήσεων μέχρι την επίλυση του ζητήματος.
Κατόπιν των ανωτέρω, η Αρχή διαπίστωσε παράβαση εκ μέρους της Τράπεζας Πειραιώς της αρχής της εμπιστευτικότητας των δεδομένων, καθώς και παράβαση των εκ των άρθρων 33 και 34 του ΓΚΠΔ υποχρεώσεων της καταγγελλόμενης, δεδομένου ότι δεν γνωστοποίησε το περιστατικό στην Αρχή ή στο υποκείμενο, ούτε έλαβε μέτρα για την άμβλυνση των συνεπειών της παραβίασης (παύση αποστολής ειδοποιήσεων) και για την αποφυγή αντίστοιχων περιστατικών στο μέλλον.
Περαιτέρω, διαπιστώθηκαν ελλιπή τεχνικά και οργανωτικά μέτρα ασφάλειας, τα οποία οδήγησαν στο ως άνω περιστατικό, ιδίως διαπιστώθηκε η απουσία μέτρων και διαδικασιών προς επιβεβαίωση της ορθότητας των διευθύνσεων e-mail που δηλώνονται στην Τράπεζα για τη λήψη ειδοποιήσεων.
Απόσπασμα απόφασης
Θα πρέπει να σημειωθεί ότι, αντίθετα με όσα υποστηρίζει η καταγγελλόμενη τράπεζα, το πρόβλημα με τη μη αναγνώριση του συμβόλου της τελείας (.) από την υπηρεσία Gmail είναι γνωστό και δεν ενδιαφέρει εν προκειμένω, αφού δεν είναι αυτό το κρίσιμο σφάλμα από το οποίο προέκυψε η διαρροή των δεδομένων της καταγγέλλουσας. Αντιθέτως, δεδομένου ότι η ύπαρξη ή μη τελείας δεν διαφοροποιεί στην πράξη μια διεύθυνση gmail από μια άλλη, η μόνη σημαντική διαφορά μεταξύ των δύο διευθύνσεων, στην οποία θα έπρεπε να εστιάσει η καταγγελλόμενη, είναι το εκ παραδρομής (του συνδικαιούχου) τεθέν γράμμα i αντί του ορθού e στο όνομα … .
Περαιτέρω, η καταγγέλλουσα πράγματι δεν νομιμοποιείται να ασκήσει το δικαίωμα διόρθωσης προσωπικών δεδομένων για λογαριασμό του συζύγου της και συνδικαιούχου του λογαριασμού, ο οποίος είχε δηλώσει την εσφαλμένη διεύθυνση e-mail για την παραλαβή των ειδοποιήσεων alerts. Επιπλέον, δεν προσκομίστηκαν έγγραφα από τα οποία να προκύπτει η άσκηση δικαιώματος διόρθωσης εκ μέρους του συνδικαιούχου της καταγγέλλουσας και υποκειμένου των δεδομένων (της εν λόγω ηλεκτρονικής διεύθυνσης).
Ωστόσο, δεδομένου ότι η καταγγέλλουσα απευθύνθηκε στην καταγγελλόμενη Τράπεζα με την ιδιότητα του υποκειμένου των δεδομένων (πληροφοριών τραπεζικών συναλλαγών που και η ίδια πραγματοποιούσε μέσω του λογαριασμού της) αναφέροντας τη διαπιστωμένη διαρροή των δεδομένων αυτών σε τρίτο πρόσωπο, που συνιστά περιστατικό παραβίασης των προσωπικών δεδομένων της σύμφωνα με το άρθρο 4 άρ. 12 ΓΚΠΔ και παραβίαση της αρχής της εμπιστευτικότητας, εναπόκειται πλέον στην Τράπεζα, ως υπεύθυνο επεξεργασίας, να αξιολογήσει το περιστατικό σύμφωνα με τα άρθρα 33 και 34 ΓΚΠΔ και να προβεί στις απαραίτητες ενέργειες για την αντιμετώπιση της παραβίασης, λαμβάνοντας μέτρα για την άμβλυνση των δυσμενών συνεπειών της (άρθρο 32 παρ. 1 στοιχ. δ) ΓΚΠΔ). Επιπλέον, η Τράπεζα όφειλε να λάβει επιπλέον διορθωτικά μέτρα για να διασφαλίσει την ασφάλεια των δεδομένων, σύμφωνα με τα άρθρα 24 και 32 ΓΚΠΔ, λαμβάνοντας υπόψη το ως άνω περιστατικό και επαναξιολογώντας τη διαδικασία δήλωσης ηλεκτρονικής διεύθυνσης από πελάτη και χρήστη των υπηρεσιών της, προσθέτοντας, εάν κρίνεται απαραίτητο, επιπλέον βήματα προς επιβεβαίωση ότι η δηλωθείσα διεύθυνση ανήκει στο πρόσωπο που τη δήλωσε.
Σε κάθε περίπτωση και ανεξαρτήτως των ενεργειών στις οποίες θα μπορούσε να προβεί η καταγγέλλουσα ή/και ο σύζυγός της και συνδικαιούχος για τη διόρθωση των προσωπικών τους δεδομένων ασκώντας τα δικαιώματά τους ως υποκείμενα, η αρχή της ακεραιότητας και εμπιστευτικότητας των δεδομένων επιβάλλει τη λήψη μέτρων από την καταγγελλόμενη τράπεζα ως υπεύθυνο επεξεργασίας, αμέσως μόλις τέθηκε εις γνώση της η εξακολουθούμενη διαρροή των στοιχείων των τραπεζικών συναλλαγών τους σε τρίτο πρόσωπο, μέσω της παύσης της αποστολής ειδοποιήσεων μέχρι την επίλυση του ζητήματος.
Δείτε ολόκληρη την απόφαση στο dpa.gr.