Αυτοματοποιημένη επεξεργασία δεδομένων μεγάλου αριθμού (23.259) φυσικών προσώπων χωρίς νόμιμη αιτία, λόγω συστημικού σφάλματος
Συνολικό πρόστιμο 210.000 ευρώ επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα στην Τράπεζα Πειραιώς, για παράνομη επεξεργασία προσωπικών δεδομένων και παραβίαση του δικαιώματος πρόσβασης (ΑΠΔΠΧ 25/2023).
Πιο αναλυτικά, στην Αρχή κατέφυγε πολίτης, ο οποίος κατήγγειλε ότι η Τράπεζα Πειραιώς Α.Ε. διαβίβασε τα προσωπικά του δεδομένα σε Εταιρεία Διαχείρισης Απαιτήσεων από Δάνεια και Πιστώσεις, χωρίς ωστόσο να έχει προς τούτο νόμιμο λόγο και δικαίωμα, καθώς ουδεμία απαίτηση υπήρχε πλέον σε βάρος του.
Σύμφωνα με τις αρχές επεξεργασίας των δεδομένων κατ’ άρθρο 5 ΓΚΠΔ, τα προσωπικά δεδομένα υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο.
Σύμφωνα δε με την αρχή της λογοδοσίας, ο υπεύθυνος επεξεργασίας «φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση», γεγονός που συνεπάγεται την υποχρέωση του υπευθύνου επεξεργασίας να δύναται να αποδείξει τη συμμόρφωση, συμπεριλαμβανομένης της νομικής τεκμηρίωσης κάθε πράξης επεξεργασίας που διενεργεί σύμφωνα με τις νομικές βάσεις που παρέχει ο ΓΚΠΔ και το εθνικό δίκαιο προστασίας δεδομένων.
Κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι σύννομη, μόνο εάν ισχύει τουλάχιστον μία από τις προϋποθέσεις που τίθενται στο άρθρο 6 παρ. 1 του ΓΚΠΔ. Εφόσον μία εκ των εν λόγω προϋποθέσεων συντρέχει, τότε αυτή αποτελεί και τη νομική βάση για την επεξεργασία.
Εν προκειμένω, η Αρχή διαπίστωσε ότι η Τράπεζα, ως υπεύθυνη επεξεργασίας προέβη σε αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα μεγάλου αριθμού (23.259) φυσικών προσώπων χωρίς νόμιμη αιτία, καθώς λόγω αναφερόμενων από την ίδια «συστημικών» παραμετροποιήσεων των παραγόμενων λιστών αποδεκτών των εξατομικευμένων επιστολών, εντάχθηκε εκ παραδρομής και παρήχθη συστημικά λίστα αποδεκτών, στην οποία περιλαμβάνονταν και πελάτες και άλλα πρόσωπα που, καίτοι δεν ενέχονταν στο υπό διαχείριση χαρτοφυλάκιο, καθώς εμφάνιζαν μηδενικό υπόλοιπο, έλαβαν την εν λόγω επιστολή.
Επομένως, τα εν λόγω δεδομένα δεν έχρηζαν οποιασδήποτε επεξεργασίας και δεν υπήρχε νόμιμη βάση για την επεξεργασία στην οποία υποβλήθηκαν, ήτοι της παραγωγής της λίστας και της αποστολής της επιστολής στα υποκείμενα των δεδομένων. Συνεπώς, η Αρχή διαπίστωσε ότι έχει επέλθει παραβίαση της αρχής της νομιμότητας (άρθρα 5 παρ. 1 α’ και 6 ΓΚΠΔ) από την Τράπεζα, ως υπεύθυνη επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των ως άνω αναφερθέντων φυσικών προσώπων, μεταξύ των οποίων και του καταγγέλλοντος,.
Περαιτέρω, διαπίστωσε ότι δεν έχει προκύψει διαβίβαση των δεδομένων των παραπάνω προσώπων στον Διαχειριστή. Με δεδομένο, όμως, ότι ο γενικότερος έλεγχος συνεχίζεται και δεν έχει ακόμη ολοκληρωθεί, η Αρχή επιφυλάσσεται ρητά να ασκήσει τις αρμοδιότητές της ως προς το συγκεκριμένο ζήτημα στο μέλλον.
Επίσης, προέκυψε ότι κατά τη διαδικασία επιλογής των φυσικών προσώπων, στα οποία η Τράπεζα θα απέστελνε ενημερωτική επιστολή, δεν ελήφθησαν τα κατάλληλα μέτρα ώστε αυτή η επιλογή να πραγματοποιηθεί με τις απαραίτητες εγγυήσεις για την εφαρμογή της αρχής της νόμιμης επεξεργασίας των δεδομένων των εν λόγω προσώπων και δεν διασφαλίστηκε ότι θα τύχουν επεξεργασίας μόνο τα δεδομένα που είναι απαραίτητα για τον σκοπό της ενημέρωσης των προσώπων για τη διαβίβαση των δεδομένων τους.
Αναφορικά με το δικαίωμα πρόσβασης που άσκησε ο καταγγέλλων, η Αρχή έκρινε ότι η Τράπεζα δεν αποκρίθηκε εναργώς αρνητικά στο ερώτημα εάν τα δεδομένα του καταγγέλλοντος διαβιβάστηκαν στον Διαχειριστή, αλλά περιορίστηκε να ανακαλέσει την αρχική επιστολή και το περιεχόμενό της, υποδηλώνοντας ότι δεν έχει πραγματοποιηθεί η επεξεργασία που εκ παραδρομής αναφέρθηκε και δεν έχουν διαβιβαστεί τα δεδομένα στον Διαχειριστή. Η Τράπεζα, η οποία ως υπεύθυνη επεξεργασίας έχει την υποχρέωση να ικανοποιεί προσηκόντως το δικαίωμα πρόσβασης των υποκειμένων, όφειλε να απαντήσει στον αιτούντα/καταγγέλλοντα συγκεκριμένα ότι τα δεδομένα του δεν έτυχαν επεξεργασίας για τον σκοπό που αναφέρθηκε στην πρώτη εκ παραδρομής αποσταλείσα επιστολή και δεν διαβιβάστηκαν στον Διαχειριστή.
Κατόπιν των ανωτέρω, η Αρχή επέβαλε στην Τράπεζα διοικητικό πρόστιμο συνολικού ύψους 210.000 ευρώ, για παραβίαση των άρθρων 5 παρ. 1(α) και 6, 25 παρ. 1 και 15 παρ. 1 ΓΚΠΔ.
Απόσπασμα απόφασης
5. Επειδή το άρθρο 25 παρ. 1 του ΓΚΠΔ προβλέπει ότι ο υπεύθυνος επεξεργασίας εφαρμόζει αποτελεσματικά, τόσο κατά τη στιγμή του καθορισμού των μέσων επεξεργασίας όσο και κατά τη στιγμή της επεξεργασίας, κατάλληλα τεχνικά και οργανωτικά μέτρα, σχεδιασμένα για την εφαρμογή αρχών προστασίας των δεδομένων και την ενσωμάτωση των απαραίτητων εγγυήσεων στην επεξεργασία για να διασφαλίζεται και ότι, εξ ορισμού, υφίστανται επεξεργασία μόνο τα δεδομένα προσωπικού χαρακτήρα που είναι απαραίτητα για τον εκάστοτε σκοπό επεξεργασίας κατά τρόπο ώστε να πληρούνται οι απαιτήσεις του ΓΚΠΔ και να προστατεύονται τα δικαιώματα των υποκειμένων.
6. Επειδή στην υπό εξέταση καταγγελία, με βάση όσα υποστηρίζει η Τράπεζα, η Intrum ως Διαχειριστής δεν γνωρίζει τον καταγγέλλοντα, δεν έχει αποκτήσει πρόσβαση και δεν έχει λάβει γνώση οποιουδήποτε δεδομένου του και εν γένει στοιχείου που να τον αφορά. Ακόμα, σύμφωνα με τα στοιχεία του φακέλου, η επιλογή των αποδεκτών της αρχικής επιστολής και όλες οι ενέργειες για την αποστολή τους έγιναν από την Τράπεζα, η οποία διαθέτει μονάδα υπεύθυνη για τη στρατηγική που χαράσσει στο πλαίσιο δανείων σε καθυστέρηση.
7. Επειδή σύμφωνα με τις αρχές επεξεργασίας των δεδομένων κατ’ άρθρο 5 ΓΚΠΔ, τα προσωπικά δεδομένα υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο. Σύμφωνα με την αρχή της λογοδοσίας, ο υπεύθυνος επεξεργασίας «φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση». Η αρχή αυτή, η οποία συνιστά ακρογωνιαίο λίθο του ΓΚΠΔ, συνεπάγεται την υποχρέωση του υπευθύνου επεξεργασίας να δύναται να αποδείξει τη συμμόρφωση, συμπεριλαμβανομένης της νομικής τεκμηρίωσης κάθε πράξης επεξεργασίας που διενεργεί σύμφωνα με τις νομικές βάσεις που παρέχει ο ΓΚΠΔ και το εθνικό δίκαιο προστασίας δεδομένων. Κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι σύννομη, μόνο εάν ισχύει τουλάχιστον μία από τις προϋποθέσεις που τίθενται στο άρθρο 6 παρ. 1 του ΓΚΠΔ. Εφόσον μία εκ των εν λόγω προϋποθέσεων συντρέχει, τότε αυτή αποτελεί και τη νομική βάση για την επεξεργασία.
Στην υπό εξέταση καταγγελία, από τα στοιχεία του φακέλου προκύπτει ότι η Τράπεζα, ως υπεύθυνη επεξεργασίας προέβη σε αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα μεγάλου αριθμού (23.259) φυσικών προσώπων χωρίς νόμιμη αιτία, καθώς λόγω αναφερόμενων από την ίδια «συστημικών» παραμετροποιήσεων των παραγόμενων λιστών αποδεκτών των εξατομικευμένων επιστολών, εντάχθηκε εκ παραδρομής και παρήχθη συστημικά λίστα αποδεκτών, στην οποία περιλαμβάνονταν και πελάτες και άλλα πρόσωπα που, καίτοι δεν ενέχονταν στο υπό διαχείριση χαρτοφυλάκιο, καθώς εμφάνιζαν μηδενικό υπόλοιπο, έλαβαν την εν λόγω επιστολή. Επομένως, τα εν λόγω δεδομένα δεν έχρηζαν οποιασδήποτε επεξεργασίας και δεν υπήρχε νόμιμη βάση για την επεξεργασία στην οποία υποβλήθηκαν, ήτοι της παραγωγής της λίστας και της αποστολής της επιστολής στα υποκείμενα των δεδομένων.
Συνεπώς, η Αρχή διαπιστώνει ότι έχει επέλθει παραβίαση της αρχής της νομιμότητας (άρθρα 5 παρ. 1 α’ και 6 ΓΚΠΔ) από την Τράπεζα ως υπεύθυνη επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των ως άνω αναφερθέντων φυσικών προσώπων, μεταξύ των οποίων και του καταγγέλλοντος ώστε να συντρέχει λόγος να ασκήσει την κατ’ άρθρο 58 παρ. 2 στοιχ. θ’ διορθωτική εξουσία της επιβολής προστίμου, όπως θα παρατεθεί κατωτέρω.
Δείτε αναλυτικά την απόφαση στο dpa.gr.