Η Αρχή διαπιστώνει την παραβίαση και των υποχρεώσεων γνωστοποίησης και ανακοίνωσης των άρθρων 33-34 ΓΚΠΔ, επισημαίνοντας ότι αυτές είναι ανεξάρτητες της υποχρέωσης ασφάλειας του άρθρου 32 ΓΚΠΔ και δεν προϋποθέτουν την παραβίασή της (ΑΠΔΠΧ 4/2023)
Ενώπιον της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα υποβλήθηκε καταγγελία πολίτη για παράνομη χορήγηση προσωπικών δεδομένων από την Τράπεζά του στην αντίδικό του. Σύμφωνα με την καταγγελία, ο καταγγέλλων υπήρξε συνδικαιούχος δύο τραπεζικών λογαριασμών, με πρώτη δικαιούχο τη θεία του, ενώ μετά τον θάνατό της κατέστη μοναδικός δικαιούχος αυτός. Έτερη ανιψιά της αποβιωσάσης θείας και μια εκ των νομίμων κληρονόμων της, μετέβη σε κατάστημα της Τράπεζας, της οποίας ήταν και αυτή πελάτης, και υπέβαλε αίτημα χορήγησης στοιχείων και κινήσεων των τραπεζικών λογαριασμών, στους οποίους η θεία της ήταν δικαιούχος εν ζωή.
Ο αρμόδιος υπάλληλος, στον οποίο απευθύνθηκε, χορήγησε τις ζητηθείσες αναλυτικές κινήσεις των λογαριασμών, παραβλέποντας το γεγονός ότι μοναδικός δικαιούχος των λογαριασμών ήταν πλέον ο καταγγέλλων, αλλά και τη ρητή αναφορά επί του σχετικού εγγράφου Νομιμοποίησης Κληρονόμων ότι «Στους κληρονόμους μπορεί να δοθεί ενημέρωση για τυχόν ατομικούς λογαριασμούς καθώς και για τυχόν άλλα προϊόντα και έννομες σχέσεις που τηρούσε στην Τράπεζά μας. Δεν θα πρέπει να δοθεί καμία πληροφορία για τυχόν κοινούς λογαριασμούς».
Μετά τη χορήγηση των στοιχείων, η ανιψιά της αποβιωσάσης δικαιούχου υπέβαλε αγωγή εναντίον του καταγγέλλοντος, με αντικείμενο κληρονομικές αξιώσεις, επικαλούμενη και προσκομίζοντας με τις προτάσεις της τις ως άνω αναλυτικές κινήσεις λογαριασμών.
Λαμβάνοντας, κατά τα ανωτέρω, γνώση της χορήγησης των τραπεζικών του δεδομένων, ο καταγγέλλων μετέβη σε υποκατάστημα της Τράπεζας, όπου και έλαβε την αρχική απάντηση πως ουδέποτε θα μπορούσε η Τράπεζα να χορηγήσει τα εν λόγω στοιχεία. Ακολούθως, και μετά την υποβολή έγγραφης διαμαρτυρίας, η Τράπεζα απάντησε πως αφενός έχει λάβει όλα τα αναγκαία μέτρα για τη διαφύλαξη του τραπεζικού απορρήτου των πελατών της, αφετέρου πως επιλαμβάνεται αρμοδίως σε παρόμοιες περιπτώσεις, κατ’ εφαρμογή των εσωτερικών διαδικασιών της.
Καλούμενη από την Αρχή όπως παράσχει τις απόψεις της επί των καταγγελλομένων, η Τράπεζα ισχυρίστηκε πως η χορήγηση των εν λόγω στοιχείων έγινε «εκ προφανούς παραδρομής και λόγω εσφαλμένης εκτίμησης των πραγματικών περιστατικών και των επιμέρους δεδομένων και παραμέτρων εκ μέρους του υπαλλήλου στον οποίο απευθύνθηκε η Β. […] Ο υπάλληλος, δηλαδή, βασιζόμενος στα έγγραφα περί νομιμοποίησης της αιτούσας, ως νόμιμης κληρονόμου της συνδικαιούχου του καταγγέλλοντος, θεώρησε ‘εκ προφανούς παραδρομής και από δική του εσφαλμένη εκτίμηση’, ότι η αιτούσα είχε κληρονομικά δικαιώματα και κληρονομικές αξιώσεις και ως προς αυτούς τους τραπεζικούς λογαριασμούς και εσφαλμένα θεώρησε ότι είχε και το δικαίωμα να λάβει γνώση και των αιτηθέντων στοιχείων που αφορούσαν τους συγκεκριμένους λογαριασμούς, οπότε ικανοποίησε το αίτημά της ‘λόγω ανθρώπινου λάθους και απροσεξίας, αλλά χωρίς πρόθεση και δόλο’».
Περαιτέρω, υποστήριξε πως επελήφθη άμεσα του ζητήματος και διερεύνησε την υπόθεση ενδελεχώς και ειδικότερα: «α) ότι προέβη σε όλες τις ενδεδειγμένες ενέργειες για τη διερεύνηση και αντιμετώπιση της υπό κρίση υπόθεσης, β) ότι γενικά μέσω των διαδικασιών, πολιτικών, εσωτερικών κανονισμών που έχει εκπονήσει, εκπαιδευτικών σεμιναρίων που διεξάγει, της άσκησης διαρκούς εποπτείας, εκπαίδευσης και καθοδήγησης του προσωπικού, μεριμνά για τη διαφύλαξη, προστασία και σύννομη επεξεργασία των προσωπικών δεδομένων καθώς και την περιφρούρηση του τραπεζικού απορρήτου γ) ότι είχε ενημερώσει και εκπαιδεύσει και τον συγκεκριμένο υπάλληλο – όπως όλους τους υπαλλήλους, ώστε να εκπληρώνει τα καθήκοντά του σε συμμόρφωση με τις νομικές και κανονιστικές απαιτήσεις της Τράπεζας, συμπεριλαμβανομένης της ανάγκης να ζητηθεί γνωμοδότηση της Νομικής της Υπηρεσίας, ωστόσο, από ανθρώπινο λάθος, εκ προφανούς παραδρομής και λόγω βεβιασμένης και απερίσκεπτης ενέργειας, βασιζόμενος στην ιδιότητα της αιτούσας ως νομίμου κληρονόμου, δεν τήρησε την ως άνω διαδικασία και έσπευσε να χορηγήσει τα αιτηθέντα στοιχεία, δ) ότι η Τράπεζα έχει εκκινήσει και τις σχετικές πειθαρχικές διαδικασίες, ε) ότι, συμπερασματικά, η υπό εξέταση περίπτωση δεν ανάγεται στο πεδίο ευθύνης της Τράπεζας, η οποιαδήποτε παράβαση δεν θα μπορούσε να καταλογιστεί στην Τράπεζα»
Επί του κρίσιμου ζητήματος της υποχρέωσης ή μη γνωστοποίησης του περιστατικού παραβίασης στην Αρχή, η Τράπεζα – επικαλούμενη σχετική απόφαση της βελγικής εποπτικής αρχής – προέβαλε τον πολύ ενδιαφέροντα ισχυρισμό πως «παρά το γεγονός ότι και η εκ παραδρομής επεξεργασία δεδομένων συνιστά αντικειμενικό γεγονός και επεξεργασία, η συγκεκριμένη εκ λάθους επεξεργασία δεν συνιστά παραβίαση δεδομένων προσωπικού χαρακτήρα, αφού η χωρίς πρόθεση περιγραφόμενη στην ως άνω απόφαση επεξεργασία, δεν οφείλονταν σε μη επαρκή τεχνικά και οργανωτικά μέτρα εκ μέρους του υπευθύνου επεξεργασίας, δεδομένου ότι το άρθρο 33 ΓΚΠΔ θα πρέπει να εφαρμόζεται συνδυαστικά με το άρθρο 32 ΓΚΠΔ, και επομένως η παραβίαση δεδομένων προσωπικού χαρακτήρα του άρθρου 33 προϋποθέτει παραβίαση των διατάξεων του άρθρου 32 ΓΚΠΔ. Ως εκ τούτου, εφόσον το ανθρώπινο λάθος δεν δύναται σε καμία περίπτωση να αποκλειστεί, η Βελγική Αρχή κατέληξε στην άποψη ότι δεν συντελέστηκε παραβίαση των διατάξεων των άρθρων 32 και 33 ΓΚΠΔ».
Ο ισχυρισμός αυτός επαναφέρθηκε και στο υπόμνημα που κατατέθηκε μετά την ακρόαση ενώπιον της Αρχής, με την Τράπεζα να υποστηρίζει ότι: «Τέλος, αναφορικά με τη μη γνωστοποίηση του περιστατικού στην Αρχή κατ’ άρθρο 33 ΓΚΠΔ και στο υποκείμενο, κατ’ άρθρο 34 ΓΚΠΔ, η Τράπεζα επανέλαβε τον αρχικό ισχυρισμό της, ότι για να συντρέχει περιστατικό παραβίασης δεδομένων σύμφωνα με τον ορισμό του άρθρου 4 στοιχ. 12 ΓΚΠΔ, θα πρέπει να έχει συντελεστεί παραβίαση ασφάλειας, η οποία σχετίζεται με έλλειψη υιοθέτησης και εφαρμογής κατάλληλων τεχνικών και οργανωτικών μέτρων του άρθρου 32 ΓΚΠΔ, πράγμα που δεν συντρέχει εν προκειμένω, ενώ θεωρεί ότι το συγκεκριμένο περιστατικό δεν ανάγεται στο πεδίο ευθύνης της Τράπεζας ούτε μπορεί να της καταλογιστεί, καθώς οφείλεται αποκλειστικά και μόνο σε ανθρώπινο λάθος, το οποίο η ίδια δεν θα μπορούσε να αποτρέψει. Συνεπώς, κατά την άποψή της, δεν έχει συντελεστεί παραβίαση των διατάξεων των άρθρων 32 και 33 ΓΚΠΔ.»
Η κρίση της Αρχής
Ερμηνεύοντας την υποχρέωση γνωστοποίησης περιστατικού παραβίασης δεδομένων κατ’ άρθρον 33 ΓΚΠΔ, η Αρχή Προστασίας Δεδομένων παρατήρησε ότι με τη διάταξη αυτή «θεσπίζεται «τεκμήριο» υποχρέωσης γνωστοποίησης των περιστατικών παραβίασης στην Αρχή, με μόνη εξαίρεση την απουσία κινδύνου για τα δικαιώματα και τις ελευθερίες των θιγόμενων υποκειμένων, για την οποία ο υπεύθυνος επεξεργασίας φέρει το βάρος απόδειξης, εφόσον επιλέξει να μην προβεί σε τέτοια γνωστοποίηση. Η υποχρέωση του άρθρο 33 είναι αυτοτελής και ανεξάρτητη από την υποχρέωση του υπεύθυνου επεξεργασίας να εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα ασφάλειας, που θεσπίζεται με το άρθρο 32 ΓΚΠΔ».
Με βάση την ανωτέρω προσέγγιση, επί του πραγματικού της υπόθεσης, η Αρχή διαπίστωσε ότι:
«Αν και η Τράπεζα φαίνεται ότι είχε λάβει κατάλληλα τεχνικά και οργανωτικά μέτρα ασφάλειας των δεδομένων, συμπεριλαμβανομένης της κατάλληλης εκπαίδευσης των υπαλλήλων της για τις διαδικασίες χορήγησης στοιχείων λογαριασμών σε κληρονόμους, δεν προέκυψε ότι προέβη σε οποιαδήποτε ενέργεια μετά την ειδοποίησή της από τον καταγγέλλοντα για το εν λόγω περιστατικό. Αφότου ζητήθηκαν οι απόψεις της Τράπεζας εκ μέρους της Αρχής (στις 20/5/2022) η Τράπεζα απάντησε (στις 6/6/2022) ότι είχε κινήσει πειθαρχική διαδικασία εναντίον του υπαλλήλου. Η εν λόγω διαδικασία είχε ως αποτέλεσμα την επιβολή της πειθαρχικής ποινής της έντονης προφορικής επίπληξης και την εποπτεία του υπαλλήλου, σύμφωνα με όσα υποστήριξε η Τράπεζα στο πλαίσιο της ακρόασης. Επιπλέον, σε συνέχεια του περιστατικού, η Τράπεζα εξέδωσε υπηρεσιακό σημείωμα (στις 23/06/2022) προς όλο το προσωπικό της με το οποίο υπενθυμίζονται οι οδηγίες περί αυστηρής τήρησης του τραπεζικού απορρήτου στην περίπτωση κληρονόμων αποβιώσαντος δικαιούχου κοινού λογαριασμού. Ωστόσο, μολονότι η Τράπεζα αναγνώρισε ότι η διαβίβαση των δεδομένων του καταγγέλλοντος εν προκειμένω έγινε παράνομα και οφείλεται σε σφάλμα του υπαλλήλου της, δεν προχώρησε σε γνωστοποίηση του περιστατικού στην Αρχή κατά το άρθρο 33 ΓΚΠΔ ούτε σε γνωστοποίησή του στον καταγγέλλοντα κατά το άρθρο 34 ΓΚΠΔ, θεωρώντας ότι δεν είχε τη σχετική υποχρέωση, δεδομένου ότι είχε λάβει επαρκή τεχνικά και οργανωτικά μέτρα ασφάλειας κατά το άρθρο 32 ΓΚΠΔ.
Δεδομένων των ανωτέρω εκτιθέμενων πραγματικών περιστατικών, διαπιστώνεται ότι η χορήγηση των προσωπικών δεδομένων του καταγγέλλοντος στην αντίδικό του εκ μέρους της καταγγελλόμενης Τράπεζας έγινε χωρίς νόμιμη βάση, κατά παράβαση της αρχής της νομιμότητας της επεξεργασίας (άρθρο 5 παρ. 1 α’ ΓΚΠΔ) και κατά παράβαση της αρχής της εμπιστευτικότητας των δεδομένων (άρθρο 5 παρ. 1 στ’ ΓΚΠΔ). Η εν λόγω επεξεργασία έλαβε χώρα παρά τις αντίθετες οδηγίες της καταγγελλόμενης, ως Υπεύθυνου Επεξεργασίας προς το προσωπικό της. Πρόκειται επομένως για περιστατικό παραβίασης δεδομένων (παραβίαση ασφάλειας που οδήγησε σε άνευ άδειας κοινολόγηση), το οποίο αποδίδεται σε παραδρομή συγκεκριμένου υπαλλήλου. Το σφάλμα του υπαλλήλου της Τράπεζας δεν συνιστά λόγο απαλλαγής της από την ευθύνη της ορθής τήρησης των διαδικασιών που έχει θεσπίσει προς αποτροπή περιστατικών προσβολής των προσωπικών δεδομένων των πελατών της, διότι ο υπάλληλος ενεργούσε ως προστηθείς, στο πλαίσιο άσκησης των καθηκόντων που η Τράπεζα του είχε αναθέσει, με συνέπεια την αντικειμενική ευθύνη της Τράπεζας κατ’ άρθρο 922 Α.Κ. Για τον ίδιο λόγο άλλωστε και δεδομένου ότι ο υπάλληλος ενεργεί υπό την εποπτεία και τις εντολές της Τράπεζας (βλ. άρθρο 29 ΓΚΠΔ και εξ αντιδιαστολής από τον ορισμό του «τρίτου» στο άρθρο 4 στοιχ. 10 ΓΚΠΔ), ο εκάστοτε υπάλληλος δεν θεωρείται τρίτος κατά την άσκηση των καθηκόντων που του έχουν ανατεθεί και οι ενέργειές του αποδίδονται ευθέως στην Τράπεζα, ως υπεύθυνο επεξεργασίας.
7. Περαιτέρω, παρ’ όλο που η Τράπεζα αναγνωρίζει ότι παράνομα χορηγήθηκαν οι εν λόγω πληροφορίες που εμπίπτουν στο τραπεζικό απόρρητο του καταγγέλλοντος, και παρότι επικαλείται ότι διερεύνησε το περιστατικό, ότι κίνησε τη σχετική πειθαρχική διαδικασία και ότι εξέδωσε σχετικό υπηρεσιακό σημείωμα με το οποίο υπενθύμιζε στους υπαλλήλους τις υποχρεώσεις τους αναφορικά με τη διαχείριση των στοιχείων θανόντων, δεν γνωστοποίησε το συμβάν στην Αρχή ως περιστατικό παραβίασης δεδομένων κατά το άρθρο 33 ΓΚΠΔ ούτε προέβη σε γνωστοποίησή του προς το υποκείμενο κατά το άρθρο 34 ΓΚΠΔ, ισχυριζόμενη ότι αυτό δεν ανάγεται στο πεδίο ευθύνης της και επικαλούμενη σχετική απόφαση της Βελγικής Αρχής, σύμφωνα με την οποία, εφόσον έχουν ληφθεί κατάλληλα τεχνικά και οργανωτικά μέτρα κατά το άρθρο 32 ΓΚΠΔ και εφόσον το περιστατικό οφείλεται σε ανθρώπινο σφάλμα που δεν μπορεί να προληφθεί και να αποτραπεί, δεν υπάρχει υποχρέωση γνωστοποίησης.
Η Τράπεζα με το υπόμνημά της προσκόμισε επαρκή στοιχεία για την τεκμηρίωση του ισχυρισμού ότι έχει λάβει τα κατάλληλα τεχνικά και οργανωτικά μέτρα ασφάλειας της επεξεργασίας, επομένως προκύπτει ότι δεν υπήρξε παραβίαση του άρθρου 32 ΓΚΠΔ. Ωστόσο πρέπει να σημειωθεί ότι παρά τη λήψη και εφαρμογή κατάλληλων μέτρων ασφάλειας είναι πάντα πιθανό να συμβεί ένα περιστατικό το οποίο να αποφέρει πλήγμα στους στόχους της ασφάλειας, όπως εν προκειμένω στην εμπιστευτικότητα των δεδομένων. Τα τεχνικά και οργανωτικά μέτρα που περιγράφονται στο άρθρο 32 ΓΚΠΔ, είναι μεν απαραίτητα για το σκοπό της πρόληψης, δεν είναι όμως ικανά να αποτρέψουν κάθε πιθανό περιστατικό ασφάλειας. Για το λόγο αυτό, συμπληρωματικά και ανεξάρτητα από την υποχρέωση που θεσπίζει το άρθρο 32 ΓΚΠΔ, στις περιπτώσεις περιστατικών παραβίασης ισχύουν και εφαρμόζονται τα άρθρα 33 και 34 ΓΚΠΔ, ώστε να αντιμετωπίσουν στην πράξη τυχόν παραβάσεις, κατά τρόπο «κατασταλτικό». Με άλλα λόγια, είναι δυνατόν να συμβεί μια παραβίαση της ασφάλειας χωρίς αυτή να οφείλεται σε παράβαση του άρθρου 32 ΓΚΠΔ, αντίθετα σε όσα υποστηρίζει η καταγγελλόμενη, καθώς μια τέτοια ερμηνεία δεν μπορεί να συναχθεί από το γράμμα των σχετικών διατάξεων. Περαιτέρω, από την παρ. 3 (στοιχ. δ) του άρθρου 33 ΓΚΠΔ προκύπτει η υποχρέωση του υπευθύνου επεξεργασίας να «λάβει ή να προτείνει προς λήψη μέτρα για την αντιμετώπιση της παραβίασης των δεδομένων προσωπικού χαρακτήρα, καθώς και, όπου ενδείκνυται, μέτρα για την άμβλυνση ενδεχόμενων δυσμενών συνεπειών της». Εν προκειμένω, η Τράπεζα δεν επικαλέστηκε ότι έλαβε οποιοδήποτε μέτρο προς άμβλυνση των συνεπειών της συγκεκριμένης παράβασης, την οποία αναγνώρισε ως τέτοια και απέδωσε στο ανθρώπινο σφάλμα του υπαλλήλου της. Τέτοιο μέτρο θα μπορούσε να είναι, για παράδειγμα, ένα έγγραφο προς την αποδέκτη των δεδομένων, με το οποίο να δηλώνεται ότι η χορήγηση έλαβε χώρα παρανόμως, εκ παραδρομής του υπαλλήλου και να ζητείται η καταστροφή τους. Επιπλέον δεν ενημερώθηκε ο καταγγέλλων ως υποκείμενο σύμφωνα με το άρθρο 34 ΓΚΠΔ για τα σχετικά μέτρα, κατά τρόπο που θα μπορούσε πιθανώς να συμβάλει στην άμβλυνση των συνεπειών του περιστατικού παραβίασης (εάν, για παράδειγμα, ο καταγγέλλων προσκόμιζε στο Δικαστήριο ένα έγγραφο με το οποίο η Τράπεζα αναγνωρίζει ως μη νόμιμη τη διαβίβαση των στοιχείων στην αντίδικό του). Εν προκειμένω, για να ενημερωθεί το υποκείμενο για τη θέση της Τράπεζας ως προς το περιστατικό, χρειάστηκε να προβεί σε καταγγελία ενώπιον της Αρχής. Παρά το γεγονός, λοιπόν, ότι η Τράπεζα φαίνεται να έχει θεσπίσει επαρκή μέτρα ασφάλειας, τα οποία επικαιροποιεί όποτε αυτό παρίσταται αναγκαίο και άρα δεν διαπιστώνεται παράβαση του άρθρου 32 ΓΚΠΔ, διαπιστώνεται παράβαση των άρθρων 33 και 34 ΓΚΠΔ εκ μέρους της, για τους ανωτέρω αναφερόμενους λόγους.»
Υπό τις διαπιστώσεις αυτές και λαμβάνοντας, μεταξύ άλλων, υπόψιν την ευαίσθητη φύση των πληροφοριών που προστατεύονται από το τραπεζικό απόρρητο, τη βαριά αμέλεια του υπαλλήλου της Τράπεζας και τη θεμελίωση της ευθύνης της, ως υπευθύνου επεξεργασίας και την απουσία ενεργειών προς άμβλυνση των συνεπειών, η Αρχή επέβαλε στην Τράπεζα διοικητικό πρόστιμο 30.000 ευρώ για τις παραβάσεις της αρχής της νομιμότητας της επεξεργασίας (άρ. 5 παρ. 1 α) ΓΚΠΔ), της αρχής της εμπιστευτικότητας των δεδομένων (άρ. 5 παρ. 1 στ) ΓΚΠΔ) και των υποχρεώσεών της εκ των άρθρων 33 και 34 ΓΚΠΔ.