Οι αποφάσεις αφορούν στο chip των χρεωστικών/πιστωτικών καρτών τύπου Mastercard των πελατών των τραπεζών
Με τέσσερις αποφάσεις της η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα προχώρησε στην επιβολή προστίμων για την επεξεργασία δεδομένων μέσω πιστωτικών/χρεωστικών καρτών από τις τράπεζες Εθνική, Πειραιώς, Alpha και Eurobank.
Όπως αναφέρεται στις αποφάσεις, η Αρχή εξέτασε, κατόπιν σχετικού ερωτήματος το οποίο υποβλήθηκε, τη συμμόρφωση των τραπεζών με τα διαλαμβανόμενα στην υπ’ αριθμ. 48/2018 Απόφαση της Αρχής.
Οι σχετικές καταγγελίες αφορούσαν την υποχρεωτική αντικατάσταση χρεωστικών/πιστωτικών καρτών με νέες, οι οποίες είχαν ως προεπιλογή τη δυνατότητα ανέπαφων (contactless) συναλλαγών.
Η Αρχή, αφού εξέτασε ζητήματα ασφάλειας της εν λόγω επεξεργασίας καθώς επίσης και τους σχετικούς κινδύνους, και λαμβάνοντας υπόψη και τις διεθνείς, κατά την επίμαχη περίοδο, προδιαγραφές αναφορικά με τις ανέπαφες χρεωστικές ή/και πιστωτικές κάρτες βάσει και των σχετικών πληροφοριών που δόθηκαν από τις εταιρείες Mastercard και Visa, εξέδωσε την υπ΄ αριθμ. 48/2018 Απόφαση, με την οποία απηύθυνε σύσταση στις εν λόγω Τράπεζες, εφόσον ένας πελάτης τους δηλώσει ότι δεν επιθυμεί να έχει κάρτα με δυνατότητα πραγματοποίησης ανέπαφων συναλλαγών, είτε να παρέχουν τη δυνατότητα απενεργοποίησης της ανέπαφης λειτουργίας μίας τέτοιας κάρτας είτε να χορηγούν νέα κάρτα χωρίς δυνατότητα ανέπαφων συναλλαγών.
Κατά την εξέταση των υποθέσεων προέκυψε ότι, ως προς το σκέλος της ως Απόφασης το οποίο αφορούσε την τήρηση, στο chip των χρεωστικών/πιστωτικών καρτών τύπου Mastercard των πελατών της Τράπεζας, πληροφορίες για τις τελευταίες 10 συναλλαγές που έχει πραγματοποιήσει ο κάτοχός τους σε φυσικό κατάστημα, οι οποίες πληροφορίες μπορούν να αναγνωστούν «ανέπαφα», χωρίς να παρέχεται ειδική προς τούτο ενημέρωση, οι τράπεζες δεν είχαν συμμορφωθεί, αφού αφού δεν παρείχαν σχετική ενημέρωση παρά ξεκίνησε διαδικασίες αντικατάστασης των εν λόγω καρτών.
Η Αρχή με τις παρακάτω αποφάσεις της επέβαλε πρόστιμο 20.000 ευρώ σε κάθε μία από τις τράπεζες για παραβίαση του άρθρου 13 του Κανονισμού (ΕΕ) 2016/679 (ΓΚΠΔ):
Απόφαση 53/2022 – Επεξεργασία δεδομένων μέσω πιστωτικών/χρεωστικών καρτών από την Εθνική Τράπεζα
Απόφαση 54/2022 – Επεξεργασία δεδομένων μέσω πιστωτικών/χρεωστικών καρτών από την Τράπεζα Πειραιώς
Απόφαση 55/2022 – Επεξεργασία δεδομένων μέσω πιστωτικών/χρεωστικών καρτών από την Τράπεζα Eurobank
Απόφαση 56/2022 – Επεξεργασία δεδομένων μέσω πιστωτικών/χρεωστικών καρτών από την Τράπεζα Alphabank