Η καταγγέλλουσα είδε τον τραπεζικό λογαριασμό της να αδειάζει από άγνωστο που εμφανίστηκε στην τράπεζα με τη χαμένη ταυτότητά της
Πρόστιμο 70.000 ευρώ επέβαλε η ισπανική αρχή προστασίας δεδομένων AEPD σε τράπεζα μετά από καταγγελία πελάτισσας για άδειασμα του λογαριασμού της από άγνωστο.
Η καταγγέλλουσα βρισκόταν στη Βενετία για διακοπές, όπου και έχασε την αστυνομική της ταυτότητα. Υπέβαλε άμεσα καταγγελία στο τοπικό αστυνομικό τμήμα, επιστρέφοντας όμως στην πατρίδα της διαπίστωσε πως κάποιος είχε αφαιρέσει το σύνολο των τραπεζικών της καταθέσεων. Σύμφωνα με την ενημέρωση της τράπεζας, η ίδια φαινόταν να έχει σηκώσει τα 9.400 ευρώ που βρίσκονταν στον λογαριασμό της.
Η πελάτισσα επικοινώνησε άμεσα με την τράπεζά της, η οποία εντόπισε το σφάλμα του υπαλλήλου της και της επέστρεψε το σύνολο των χρημάτων που είχαν αναληφθεί. Αυτό δεν ήταν αρκετό, καθώς λίγες εβδομάδες αργότερα, η πελάτισσα ζήτησε και την καταβολή αποζημίωσης σε ποσοστό 20% επί των καταθέσεών της για τη ζημία που υπέστη από την παραβίαση των προσωπικών δεδομένων της.
Η τράπεζα αρνήθηκε και η πελάτισσα προσέφυγε άμεσα στην ισπανική αρχή.
Η AEPD διαπίστωσε την παραβίαση του άρθρου 32 παρ.1 ΓΚΠΔ, σχετικά με τη λήψη κατάλληλων τεχνικών και οργανωτικών μέτρων για την ασφάλεια των δεδομένων, για την οποία και επέβαλε πρόστιμο 20.000 ευρώ. Σύμφωνα με την αρχή, η τράπεζα – δια του αρμοδίου υπαλλήλου του τοπικού καταστήματός της – δεν μερίμνησε για τον έλεγχο της υπογραφής του προσώπου που έκανε το αίτημα ανάληψης και δεν την αντιπαρέβαλε προς την υπογραφή της πελάτισσάς της, μολονότι οι διαφορές μεταξύ των δύο υπογραφών ήταν οφθαλμοφανείς.
Περαιτέρω, διαπιστώθηκε και η επεξεργασία δεδομένων χωρίς νομική βάση, άρα κατά παράβαση του άρθρου 6 παρ.1 ΓΚΠΔ.
Σύμφωνα με την ισπανική αρχή, η τράπεζα δεν χρειάζεται τη συγκατάθεση του πελάτη της, προκειμένου να επεξεργαστεί τα δεδομένα του για τη διενέργεια συναλλαγών, όπως προέβαλε η καταγγέλλουσα. Χρειάζεται όμως μια νομική βάση, όπως για παράδειγμα την εκτέλεση της σύμβασης με τους πελάτες της (άρθρο 6 παρ.1β’ ΓΚΠΔ) ή τη συμμόρφωση με έννομη υποχρέωση (άρθρο 6 παρ.1γ’ ΓΚΠΔ). Στην προκείμενη περίπτωση, η επεξεργασία των δεδομένων της καταγγέλλουσας στο πλαίσιο της ανάληψης των χρημάτων από τον λογαριασμό της, δεν μπορεί να υπαχθεί στη νομική βάση της εκτέλεσης σύμβασης, δεδομένου ότι το αίτημα ανάληψης δεν υποβλήθηκε από το υποκείμενο των δεδομένων, αλλά από τρίτο πρόσωπο.
Κατά συνέπεια, διαπιστώθηκε παραβίαση και του άρθρου 6 παρ.1 ΓΚΠΔ, για την οποία μάλιστα το πρόστιμο που επιβλήθηκε ανήλθε σε 50.000 ευρώ, ήτοι μεγαλύτερο από το πρόστιμο για την παραβίαση της ασφάλειας.
Η απόφαση είναι διαθέσιμη στον ιστότοπο της ισπανικής αρχής