ΣτΕ 1275/2024  Πρόστιμο σε τράπεζα για παράβαση της νομοθεσίας περί προστασίας προσωπικών δεδομένων

Αριθμός 1275/2024

ΤΟ ΣΥΜΒΟΥΛΙΟ ΤΗΣ ΕΠΙΚΡΑΤΕΙΑΣ

ΤΜΗΜΑ Δ΄

Συνεδρίασε δημόσια στο ακροατήριό του στις 31 Μαΐου 2022, με την εξής σύνθεση: Ευθύμιος Αντωνόπουλος, Σύμβουλος της Επικρατείας, Προεδρεύων, σε αναπλήρωση της Προέδρου του Τμήματος, που είχε κώλυμα, Διομήδης Κυριλλόπουλος, Όλγα Ζύγουρα, Σύμβουλοι, Χριστιάνα Μπολόφη, Ιωάννης Μιχαλακόπουλος, Πάρεδροι. Γραμματέας η Ευδοξία Καπίρη.

Για να δικάσει την από 16 Σεπτεμβρίου 2015 αίτηση:

της ανώνυμης τραπεζικής εταιρείας με την επωνυμία «Τράπεζα….. Ανώνυμη Εταιρεία», που εδρεύει στην Αθήνα (…..), η οποία παρέστη με τη δικηγόρο Αικατερίνη Βοσνιάκου (…..), που τη διόρισε με πληρεξούσιο,

κατά της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, που εδρεύει στην Αθήνα (Λεωφόρος Κηφισίας 1-3), η οποία παρέστη με τον δικηγόρο Σπυρίδωνα Βλαχόπουλο (……..), που τον διόρισε με απόφαση του Προέδρου.

Με την αίτηση αυτή η αιτούσα εταιρεία επιδιώκει να ακυρωθεί η υπ’ αριθμ. ….. απόφαση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και κάθε άλλη σχετική πράξη ή παράλειψη της Διοικήσεως.

Η εκδίκαση άρχισε με την ανάγνωση της εκθέσεως της εισηγήτριας, Παρέδρου Χριστιάνας Μπολόφη.

Κατόπιν το δικαστήριο άκουσε την πληρεξούσια της αιτούσας εταιρείας, η οποία ανέπτυξε και προφορικά τους προβαλλόμενους λόγους ακυρώσεως και ζήτησε να γίνει δεκτή η αίτηση και τον πληρεξούσιο της Αρχής, ο οποίος ζήτησε την απόρριψή της.

Μετά τη δημόσια συνεδρίαση το δικαστήριο συνήλθε σε διάσκεψη σε αίθουσα του δικαστηρίου κ α ι

Α φ ο ύ μ ε λ έ τ η σ ε τ α σ χ ε τ ι κ ά έ γ γ ρ α φ α

Σ κ έ φ θ η κ ε κ α τ ά τ ο ν Ν ό μ ο

1. Επειδή, για την άσκηση της υπό κρίση αιτήσεως καταβλήθηκε το νόμιμο παράβολο …….. ειδικά γραμμάτια παραβόλου).
2. Επειδή, με την αίτηση αυτή ζητείται η ακύρωση της ….. απόφασης της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (εφεξής: Αρχή), με την οποία επιβλήθηκαν στην αιτούσα τράπεζα, ως υπεύθυνο επεξεργασίας, δύο πρόστιμα, ύψους 5.000 ευρώ το καθένα, για παραβάσεις της νομοθεσίας περί προστασίας δεδομένων προσωπικού χαρακτήρα (παράνομη επεξεργασία προσωπικών δεδομένων και μη τήρηση κατάλληλων οργανωτικών και τεχνικών μέτρων ασφάλειας). Με την ίδια απόφαση απευθύνθηκε σύσταση στην τράπεζα να λάβει τα κατάλληλα οργανωτικά και τεχνικά μέτρα για την ασφάλεια των δεδομένων και την προστασία τους από παράνομη ή αθέμιτη επεξεργασία.
3. Επειδή, ο ν. 2472/1997, περί προστασίας του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα (Α΄ 50), οι διατάξεις του οποίου ήταν εφαρμοστέες κατά τον κρίσιμο εν προκειμένω χρόνο, ορίζει στο άρθρο 4 τις βασικές αρχές της επεξεργασίας, ως εξής: «1. Τα δεδομένα προσωπικού χαρακτήρα για να τύχουν νόμιμης επεξεργασίας πρέπει: α) Να συλλέγονται κατά τρόπο θεμιτό και νόμιμο για καθορισμένους, σαφείς και νόμιμους σκοπούς και να υφίστανται θεμιτή και νόμιμη επεξεργασία εν όψει των σκοπών αυτών β) Να είναι συναφή, πρόσφορα και όχι περισσότερα από όσα κάθε φορά απαιτείται εν όψει των σκοπών της επεξεργασίας γ) … δ) … 2. [όπως το πρώτο εδάφιο αντικαταστάθηκε με την παράγραφο 2 του άρθρου 20 του ν. 3471/2006 (Α΄ 133)] Η τήρηση των διατάξεων της προηγούμενης παραγράφου βαρύνει τον υπεύθυνο επεξεργασίας. Δεδομένα προσωπικού χαρακτήρα που έχουν συλλεχθεί ή υφίστανται επεξεργασία κατά παράβαση της προηγούμενης παραγράφου, καταστρέφονται με ευθύνη του υπεύθυνου επεξεργασίας. …». Το άρθρο 5 (“Προϋποθέσεις επεξεργασίας”) του ιδίου νόμου ορίζει ότι «1. Επεξεργασία δεδομένων προσωπικού χαρακτήρα επιτρέπεται μόνον όταν το υποκείμενο των δεδομένων έχει δώσει τη συγκατάθεσή του. 2. Κατ’ εξαίρεση επιτρέπεται η επεξεργασία και χωρίς τη συγκατάθεση, όταν: α)… β) Η επεξεργασία είναι αναγκαία για την εκπλήρωση υποχρεώσεως του υπευθύνου επεξεργασίας, η οποία επιβάλλεται από τον νόμο. γ)…». Στο άρθρο 10 (“Απόρρητο και ασφάλεια της επεξεργασίας”) προβλέπονται τα εξής: «1. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι απόρρητη. Διεξάγεται αποκλειστικά και μόνο από πρόσωπα που τελούν υπό τον έλεγχο του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία και μόνο κατ’ εντολήν του. 2. Για τη διεξαγωγή της επεξεργασίας ο υπεύθυνος επεξεργασίας οφείλει να επιλέγει πρόσωπα με αντίστοιχα επαγγελματικά προσόντα που παρέχουν επαρκείς εγγυήσεις από πλευράς τεχνικών γνώσεων και προσωπικής ακεραιότητας για την τήρηση του απορρήτου. 3. [όπως η παρ. αυτή τροποποιήθηκε με το άρθρο 25 του ν. 3471/2006] Ο υπεύθυνος επεξεργασίας οφείλει να λαμβάνει τα κατάλληλα οργανωτικά και τεχνικά μέτρα για την ασφάλεια των δεδομένων και την προστασία τους από τυχαία ή αθέμιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση και κάθε άλλη μορφή αθέμιτης επεξεργασίας. Αυτά τα μέτρα πρέπει να εξασφαλίζουν επίπεδο ασφάλειας ανάλογο προς τους κινδύνους που συνεπάγεται η επεξεργασία και η φύση των δεδομένων που είναι Αντικείμενο της επεξεργασίας. … 4. Αν η επεξεργασία διεξάγεται για λογαριασμό του υπευθύνου από πρόσωπο μη εξαρτώμενο από αυτόν, η σχετική ανάθεση γίνεται υποχρεωτικά εγγράφως. Η ανάθεση προβλέπει υποχρεωτικά ότι ο ενεργών την επεξεργασία τη διεξάγει μόνο κατ` εντολήν του υπευθύνου και ότι οι λοιπές υποχρεώσεις του παρόντος άρθρου βαρύνουν αναλόγως και αυτόν». Περαιτέρω, στο άρθρο 19 (Αρμοδιότητες, λειτουργία και αποφάσεις της Αρχής) ορίζεται ότι: «1. Η Αρχή έχει τις εξής ιδίως αρμοδιότητες: α) … . ιγ. [ όπως η περίπτωση αυτή αντικαταστάθηκε με το άρθρο με το άρθρο 28 του ν. 3471/2006, το δε τελευταίο εδάφιο αυτής προστέθηκε με την παρ. 3 άρθρου 15 του ν. 3917/2011 (Α΄ 22)] Εξετάζει τα παράπονα των υποκειμένων των δεδομένων σχετικά με την εφαρμογή του νόμου και την προστασία των δικαιωμάτων τους, όταν αυτά θίγονται από την επεξεργασία δεδομένων που τους αφορούν. Εξετάζει επίσης αιτήσεις του υπεύθυνου επεξεργασίας με τις οποίες ζητείται ο έλεγχος και η εξακρίβωση της νομιμότητας της επεξεργασίας. Η Αρχή μπορεί να θέτει στο αρχείο αιτήσεις ή παράπονα που κρίνονται προδήλως αόριστα, αβάσιμα ή υποβάλλονται καταχρηστικώς ή ανωνύμως. Η Αρχή ενημερώνει τα υποκείμενα των δεδομένων και τους αιτούντες για τις ενέργειές της. …».
4. Επειδή, από τα στοιχεία του φακέλου της υπόθεσης και την προσβαλλόμενη απόφαση προκύπτουν τα εξής: Η …., πελάτις της αιτούσας, προσέφυγε ενώπιον της Αρχής, καταγγέλλοντας ότι το έτος 2012 η τράπεζα, δια των οργάνων της, παραβλέποντας τη λειτουργία της τραπεζικής σχέσης ως σχέσης εμπιστοσύνης μεταξύ της τράπεζας και του πελάτη, παραβίασε το απόρρητο των τραπεζικών της καταθέσεων και διενήργησε εξαντλητικό έλεγχο σε σχέση με το πρόσωπό της, προβαίνοντας σε παράνομη επεξεργασία προσωπικών της δεδομένων. Ειδικότερα, η ανωτέρω κατήγγειλε ότι κατά το χρονικό διάστημα από ……2011 έως ……2011, με τη συνδρομή προστηθέντων υπαλλήλων της τράπεζας, τρίτοι απέκτησαν παρανόμως πρόσβαση και γνώση του υπολοίπου συγκεκριμένων τραπεζικών λογαριασμών της που τηρεί σε αυτήν, όπως διαπίστωσε σε προφορική συζήτηση που είχε με πρώην συνεργάτη της τράπεζας. Μετά την έντονη διαμαρτυρία της σε κατάστημα της τράπεζας, όπου η αδελφή της κατείχε τη θέση της διευθύντριας, διενεργήθηκε έλεγχος από την αρμόδια υπηρεσία της τράπεζας που είχε ως αποτέλεσμα, κατά την καταγγείλασα, να εντοπισθούν οι παραβάτες, ωστόσο η τράπεζα αρνήθηκε ότι έλαβε χώρα η εν λόγω παράνομη επεξεργασία. Περαιτέρω, η ίδια κατήγγειλε ότι η τράπεζα, μέσω των εσωτερικών της διευθύνσεων, προέβη παρανόμως, κατά το χρονικό διάστημα από …..2012 έως ……2012, σε προσβάσεις και ελέγχους όλων των τραπεζικών της λογαριασμών με συνδικαιούχο την αδελφή της, σε βάρος της οποίας διενεργούνταν εσωτερικός έλεγχος, τούτο δε είχε ως συνέπεια να λάβουν γνώση κινήσεων και λογαριασμών μέχρι και χαμηλόβαθμοι υπάλληλοι του καταστήματος. Η Αρχή, με τα …… και …. έγγραφα, ζήτησε από την τράπεζα να εκθέσει τις απόψεις της, ιδίως δε να αποστείλει αντίγραφο τυχόν πορίσματος του ελέγχου που διενεργήθηκε για το πρώτο σκέλος της προσφυγής, ή άλλα στοιχεία που να τεκμηριώνουν ότι δεν υπήρξαν παράνομες προσβάσεις ή διαβιβάσεις καθώς και τα αρχεία καταγραφής των προσβάσεων υπαλλήλων της τράπεζας στους λογαριασμούς της εν λόγω κατά το επίμαχο χρονικό διάστημα. Πράγματι, η αιτούσα υπέβαλε ενώπιον της Αρχής τις απόψεις της (βλ. τα ……… και …… έγγραφα), καθώς επίσης και το ……. υπόμνημα, σε συνέχεια της συνεδρίασης της …..2015. Συγκεκριμένα, εις ό,τι αφορά το πρώτο σκέλος της προσφυγής της ….. ενώπιον της Αρχής, η τράπεζα ενημέρωσε για το εσωτερικό κανονιστικό πλαίσιο σχετικά με την τήρηση του τραπεζικού απορρήτου και επαγγελματικής εχεμύθειας (Κώδικα Δεοντολογίας, Εγκυκλίους και Υπηρεσιακά Σημειώματα) και ανέφερε ότι από τη διενεργηθείσα έρευνα δεν προέκυψαν στοιχεία που να επιβεβαιώνουν τις σχετικές καταγγελίες περί παραβίασης του τραπεζικού απορρήτου και παράνομης επεξεργασίας τραπεζικών λογαριασμών, και ότι για τον λόγο αυτόν δεν συντάχθηκε πόρισμα ελέγχου. Απέστειλε, ακόμα, αντίγραφα των αρχείων της από το μηχανογραφικό της σύστημα, όπου περιλαμβάνονται οι καταγεγραμμένες προσβάσεις υπαλλήλων της στους επίμαχους λογαριασμούς, με επεξήγηση του είδους των δεδομένων και των κωδικών που αναγράφονται στις στήλες των αρχείων καταγραφής. Σημείωσε δε ότι δεν μπορεί να τεκμηριωθεί παράνομη επεξεργασία, δεδομένου ότι οι χρήστες που εμφανίζονται στα εν λόγω αρχεία είτε εργάζονταν στο κατάστημα τήρησης του λογαριασμού είτε σε άλλα καταστήματα, στα οποία η ανωτέρω καταγγείλασα διενεργούσε κατά καιρούς συναλλαγές, καθώς και ότι από τα λοιπά στοιχεία συνάγεται ότι οι προσβάσεις έγιναν στο πλαίσιο τραπεζικών εργασιών και εξυπηρέτησης συναλλαγών της. Εις ό,τι αφορά το δεύτερο σκέλος της προσφυγής, η τράπεζα ανέφερε στην Αρχή ότι ενήργησε σύμφωνα με τις βασικές ρυθμίσεις που αφορούν τον εσωτερικό έλεγχο των τραπεζών (ήτοι τις 281/17.3.2009 και 285/9.7.2009 αποφάσεις της Επιτροπής Τραπεζικών και Πιστωτικών Θεμάτων και την 2577/9.3.2006 πράξη του Διοικητή της Τραπέζης της Ελλάδος), καθώς και ότι προέβη στον εσωτερικό έλεγχο που αφορούσε τους λογαριασμούς της εν λόγω, αφότου πληροφορήθηκε τη σύλληψη και ποινική δίωξη του ….., γαμπρού της και συζύγου της αδελφής της, η οποία ετύγχανε υπάλληλός της και συνδικαιούχος των επίμαχων λογαριασμών. Κατά την τράπεζα, η έρευνα διενεργήθηκε από τα αρμόδια όργανά της, με τήρηση του καθήκοντος εχεμύθειας και χωρίς να δοθεί η δυνατότητα πρόσβασης τρίτων προσώπων που δεν σχετίζονται με την έρευνα, η δε αναφορά της καταγγείλασας σε γνώση εκ μέρους χαμηλόβαθμων υπαλλήλων των κινήσεων των λογαριασμών, δεν αποδεικνύεται. Κατόπιν τούτων, η Αρχή, λαμβάνοντας υπόψη τα υποβληθέντα έγγραφα και στοιχεία καθώς και τα διαμειφθέντα κατά τη συνεδρίαση της …..2015, απεφάνθη, ως προς το πρώτο σκέλος της προσφυγής, ότι η τράπεζα δεν αιτιολόγησε επαρκώς κατά την ακρόαση και μέσω του υπομνήματός της τις προσβάσεις στους λογαριασμούς της καταγγείλασας …… Ειδικότερα, η Αρχή διαπίστωσε ότι από τα προσκομισθέντα αντίγραφα των αρχείων της τράπεζας προέκυψαν προσβάσεις υπαλλήλων της, πλην άλλων, και στους λογαριασμούς που αυτή τηρούσε ως φυσικό πρόσωπο, ότι στην εξέταση της καταγγελίας που υπέβαλε η ανωτέρω προς την τράπεζα αναμείχθηκαν τέσσερις υπάλληλοί της (από τη Διεύθυνση Κανονιστικής Συμμόρφωσης, το τμήμα Εσωτερικού Ελέγχου, την υπηρεσία Ελέγχου Λειτουργικών Κινδύνων και τη Διεύθυνση Πρόληψης Απάτης), καθώς και ότι δεν συντάχθηκε έκθεση ελέγχου αναφορικά με την ανωτέρω καταγγελία λόγω μη ύπαρξης ευρημάτων, ενώ δεν προσκομίσθηκε από την τράπεζα κανένα σχετικό τεκμήριο, από το οποίο να προκύπτει ο τρόπος διεξαγωγής της έρευνας και ενδεχομένως και το αποτέλεσμα αυτής. Επί τη βάσει των ανωτέρω, η Αρχή κατέληξε στα ακόλουθα συμπεράσματα: α/ Δεν υπάρχουν επίσημα έγγραφα ανάθεσης της διερεύνησης σε αρμόδιους υπαλλήλους της τράπεζας, β/ Τα αρχεία καταγραφής φαίνεται να έχουν αλλοιωθεί (φαίνεται να έχει προστεθεί μία νέα στήλη), στον βαθμό που εμφανίζονται σε αυτά οι προσβάσεις των υπαλλήλων, οι οποίοι διερεύνησαν την καταγγελία, γεγονός που κλονίζει την αξιοπιστία των προσκομισθέντων. Κατά τα διαλαμβανόμενα στην προσβαλλόμενη απόφαση, εφόσον η τράπεζα μπορεί να παρεμβαίνει σε μια τέτοια λίστα προσθέτοντας μια στήλη, μπορεί εύλογα κάποιος να σκεφθεί ότι είναι δυνατόν αντίστοιχα να αφαιρέσει μια στήλη ή γραμμή ή ακόμα και να επηρεάσει το περιεχόμενό της. Δεν τεκμηριώθηκε δε για ποιο λόγο οι εν λόγω υπάλληλοι αντί να εξαγάγουν, όπως ήταν ορθό, τα αρχεία καταγραφής των προσβάσεων στους λογαριασμούς της …., απέκτησαν πρόσβαση στους λογαριασμούς της προκειμένου να εξετάσουν την καταγγελία της. Επίσης, κατά την προσβαλλόμενη απόφαση, οι προβληθέντες κατά τη συνεδρίαση ισχυρισμοί της τράπεζας ότι “μπήκαν” στους λογαριασμούς της προσφεύγουσας αρχικά για να αναζητήσουν τον αριθμό μητρώου του πελάτη και στη συνέχεια για να “προσομοιώσουν” τον τρόπο χρήσης των λογαριασμών, δεν επαρκούν να τεκμηριώσουν τις δεκαεπτά προσβάσεις από υπαλλήλους της τράπεζας στους προσωπικούς λογαριασμούς της εν λόγω …. στις ….2011 και ….2011 καθώς και τις επτά προσβάσεις στον εταιρικό της λογαριασμό στις …..2011 και …..2012. γ/ Ουδεμία διαδικασία τεκμηρίωσης σε χρονολογική σειρά ακολουθήθηκε, προκειμένου να μπορεί να αποδειχθεί κατά τρόπο αδιαμφισβήτητο η διαδικασία συλλογής και παρακολούθησης των πειστηρίων, ώστε, συνακόλουθα, να αποδεικνύεται πέραν πάσης αμφιβολίας η εγκυρότητα αυτών, καθόσον δεν καταγράφηκε ποια είναι τα πειστήρια, πότε και από από ποιον συλλέχθηκαν, ποιος απέκτησε πρόσβαση σε αυτά και γιατί, καθώς και πού αυτά αποθηκεύθηκαν τελικώς. δ/ Τέλος, δεν υπήρξε έκθεση ελέγχου, η οποία, χρησιμοποιώντας επιστημονικά αποδεκτούς κανόνες ψηφιακής εγκληματολογίας, σε συνάρτηση με τους κανόνες λειτουργίας της τράπεζας, να αποδεικνύει ή να καταρρίπτει τους ισχυρισμούς της προσφεύγουσας περί αθέμιτης πρόσβασης στους λογαριασμούς της. Κατόπιν τούτων, η Αρχή απεφάνθη ότι από τα ανωτέρω προκύπτει ότι η τράπεζα, ως υπεύθυνος επεξεργασίας, δεν ακολούθησε στην περίπτωση της καταγγείλασας τη διαδικασία διερεύνησης των καταγγελιών της, καθώς στη διερεύνηση ενεπλάκη και υπάλληλος της Διεύθυνσης Κανονιστικής Συμμόρφωσης, η οποία δεν έχει σχετικές αρμοδιότητες, καθώς και ότι δεν τήρησε τους κανόνες χειρισμού αποδεικτικών στοιχείων που η τράπεζα αναφέρει σε δικό της εσωτερικό έγγραφο, με συνέπεια να μην είναι σε θέση να ελέγξει αν οι αναζητήσεις στο σύστημά της από τους υπαλλήλους της έχουν γίνει νόμιμα ή όχι. Επιπρόσθετα, κατά την Αρχή, μολονότι η τράπεζα έχει λάβει οργανωτικά μέτρα, σύμφωνα με το άρθρο 10 του ν. 2472/1997 (κώδικας δεοντολογίας, πολιτική προστασίας της πληροφορίας), τα οποία, μεταξύ άλλων, αφορούν και τις αναζητήσεις υπαλλήλων σε λογαριασμούς πελατών, εντούτοις πραγματοποιήθηκαν προσβάσεις στους λογαριασμούς της καταγγείλασας, χωρίς σχετική εξουσιοδότηση από την τράπεζα, ενώ εξάλλου η τελευταία δεν άσκησε τον δέοντα έλεγχο για να διαπιστωθεί αν οι υπάλληλοί της ενεργούσαν σύμφωνα με τον νόμο και τις εγκυκλίους και τις εντολές των αρμοδίων οργάνων της. Ως εκ τούτου, διαπιστώθηκε από την Αρχή πλημμελής τήρηση οργανωτικών και τεχνικών μέτρων για την ασφάλεια των δεδομένων και την προστασία τους από παράνομη ή αθέμιτη επεξεργασία σύμφωνα με το άρθρο 10, σε συνδυασμό με τα άρθρα 4 και 5 παρ. 1 του ν. 2472/1997, που οδήγησαν σε μη νόμιμες πράξεις επεξεργασίας (πρόσβαση και άντληση), στις οποίες υποβλήθηκαν τα δεδομένα της καταγγείλασας από υπαλλήλους της τράπεζας. Κατόπιν τούτων, με την προσβαλλόμενη απόφαση επιβλήθηκαν στην αιτούσα, ως υπεύθυνο επεξεργασίας, τα ένδικα πρόστιμα πρόστιμα, ύψους 5.000 ευρώ έκαστο, για παράνομη επεξεργασία δεδομένων της ανωτέρω …., καθώς και για μη τήρηση των κατάλληλων οργανωτικών και τεχνικών μέτρων ασφάλειας, η οποία οδήγησε σε μη εξουσιοδοτημένες προσβάσεις υπαλλήλων της τράπεζας στα προσωπικά δεδομένα της εν λόγω. Με την ίδια προσβαλλόμενη απόφαση, η Αρχή απηύθυνε σύσταση στην τράπεζα, να λάβει τα κατάλληλα οργανωτικά και τεχνικά μέτρα για την ασφάλεια των δεδομένων και την προστασία τους από παράνομη ή αθέμιτη επεξεργασία, ώστε να τεκμηριώνονται επαρκώς οι προσβάσεις που πραγματοποιούν οι εξουσιοδοτημένοι προς τούτο υπάλληλοί της στους λογαριασμούς των πελατών της, στην ειδική δε περίπτωση όπου υπάρχει καταγγελία για αθέμιτη πρόσβαση σε λογαριασμό πελάτη, συστήθηκε στην τράπεζα να ακολουθεί ορθές διαδικασίες, οργανωτικά αλλά και τεχνικά, προκειμένου να διασφαλίσει ότι η διερεύνηση της καταγγελίας διεξάγεται κατά τρόπο που να συνάδει με τις αρχές της ψηφιακής εγκληματολογίας, στον βαθμό που ακολουθούνται διεθνώς αποδεκτές πρακτικές συλλογής και ανάλυσης ψηφιακών πειστηρίων. Εξ άλλου, με την προσβαλλόμενη απόφαση απορρίφθηκε το δεύτερο σκέλος της προσφυγής της ανωτέρω ….. ενώπιον της Αρχής, το οποίο αφορούσε την πρόσβαση των υπαλλήλων της τράπεζας στους λογαριασμούς που η εν λόγω διατηρούσε από κοινού με την αδελφή της, με την αιτιολογία ότι δεν αποδείχθηκε ότι εχώρησε παράνομη επεξεργασία των συγκεκριμένων προσωπικών της δεδομένων.
5. Επειδή, όπως προελέχθη, το ένα εκ των ενδίκων προστίμων επιβλήθηκε στην αιτούσα για παράβαση του προπαρατεθέντος άρθρου 10 παρ. 3 του ν. 2472/1997. Σύμφωνα με τη διάταξη αυτή, όπως ισχύει, ο υπεύθυνος επεξεργασίας των δεδομένων οφείλει να λαμβάνει τα κατάλληλα οργανωτικά και τεχνικά μέτρα για την ασφάλεια και την προστασία τους από τυχαία ή αθέμιτη καταστροφή, τυχαία απώλεια, απαγορευμένη διάδοση ή πρόσβαση και κάθε άλλη μορφή αθέμιτης επεξεργασίας. Τα μέτρα αυτά πρέπει να εξασφαλίζουν επίπεδο ασφαλείας ανάλογο προς τους κινδύνους που συνεπάγεται η επεξεργασία και η φύση των δεδομένων. Οφείλει δε, ιδίως, να τηρεί και να διαφυλάσσει επιμελώς τα σχετικά αρχεία, ώστε να αποτρέπεται κάθε αμελής συμπεριφορά (ενέργεια ή παράλειψη), η οποία μπορεί να έχει ως συνέπεια την απώλεια ή καταστροφή δεδομένων, συμπεριλαμβανομένης της διαρροής προς τρίτους αποδέκτες χωρίς σχετικό δικαίωμα (βλ. ΣτΕ 2627/2017, 3135/2015, 749/2005 επτ.). Εξ άλλου, από την αυτή ως άνω διάταξη προκύπτει ότι η σχετική υποχρέωση του υπευθύνου επεξεργασίας περιλαμβάνει όχι μόνον τη λήψη μέτρων για τη διασφάλιση των προσωπικών δεδομένων που επεξεργάζεται, αλλά και την εξασφάλιση της αποτελεσματικής εφαρμογής των μέτρων αυτών. Η ευθύνη του, επομένως, δεν γεννάται μόνο σε περίπτωση παντελούς απουσίας μέτρων, αλλά και όταν τα μέτρα που τυχόν έχουν ληφθεί αποβαίνουν ανεπαρκή να αποτρέψουν το παράνομο αποτέλεσμα (πρβλ. ΣτΕ 1284/2021, 2761/2020, 4880/2014).
6. Επειδή, για την επιβολή με την προσβαλλόμενη απόφαση των ένδικων κυρώσεων (για παράνομη επεξεργασία των δεδομένων της προσφεύγουσας και για μη τήρηση των κατάλληλων οργανωτικών και τεχνικών μέτρων ασφαλείας) η Αρχή έλαβε υπ’ όψιν όλα τα στοιχεία που επικαλέσθηκε η τράπεζα κατά την ακρόασή της, μεταξύ δε αυτών και τον Κώδικα Δεοντολογίας, ο οποίος αποτελεί το εσωτερικό κανονιστικό της πλαίσιο και θεσπίζει, μεταξύ άλλων, την υποχρέωση συμμόρφωσης του προσωπικού με το τραπεζικό απόρρητο, την επαγγελματική εχεμύθεια και τη διαφύλαξη εμπιστευτικών πληροφοριών (βλ. ιδίως την παρ. 4 αυτού, σύμφωνα με την οποία η εκτέλεση αναζητήσεων σε λογαριασμούς και στοιχεία πελατών χωρίς να συντρέχει υπηρεσιακή ανάγκη, μέσω των κεντρικών και περιφερειακών συστημάτων της τράπεζας, στα οποία έχει πρόσβαση το προσωπικό, είναι αντιδεοντολογική και εκλαμβάνεται ως παραβίαση του Κώδικα). Κατέληξε δε η Αρχή, ως προς την τήρηση εν προκειμένω του εν λόγω Κώδικα Δεοντολογίας, ότι “σε περίπτωση καταγγελιών, όπως αυτή της προσφεύγουσας, το τμήμα που αναλαμβάνει να διερευνήσει την τυχόν καταγγελία είναι η Διεύθυνση Ελέγχων Λειτουργικών Κινδύνων Καταστημάτων. Σε περίπτωση δε που διαπιστωθεί κάποια παράβαση, την περαιτέρω διερεύνηση αναλαμβάνει το Τμήμα Αποτροπής Απάτης (Fraud Prevention). Η τράπεζα δεν προσκόμισε παρότι της ζητήθηκε (…), στοιχεία, από τα οποία να προκύπτει ότι τηρήθηκε η ως άνω διαδικασία διερεύνησης περιστατικών παραβίασης προσωπικών δεδομένων, όπως αθέμιτες προσβάσεις σε λογαριασμούς πελατών”. Επίσης, η Αρχή έλαβε υπόψιν και το εσωτερικό έγγραφο της τράπεζας σχετικά με τη Διαχείριση Κινδύνου Απάτης, σύμφωνα με το οποίο “η Διεύθυνση Πρόληψης και καταστολής Απάτης μπορεί να εξουσιοδοτεί στέλεχός της να διεξαγάγει την έρευνα ή συνεντεύξεις. Τα αποτελέσματα της έρευνας δεν θα συζητηθούν με κανέναν άλλον πέραν αυτών που οφείλουν να γνωρίζουν… . Όλες οι έρευνες διεξάγονται εντός των ορίων των ισχυόντων νόμων (π.χ. νόμος περί προστασίας προσωπικών Δεδομένων)”. Στο ίδιο ως άνω έγγραφο τίθενται οι κανόνες αναφορικά με τη γνωστοποίηση πιθανού περιστατικού απάτης από υπάλληλο της τράπεζας στην αρμόδια Διεύθυνση (Πρόληψης και Καταστολής Απάτης), οι οποίοι περιλαμβάνουν τη γνωστοποίηση στοιχείων του υπόπτου και της πράξης που έχει τελέσει, τον ορθό χειρισμό των αποδεικτικών μέσων και την ενδεδειγμένη στάση απέναντι στον ύποπτο. Υπό τα ανωτέρω δεδομένα, και ενόψει του πραγματικού που εκτέθηκε στη σκέψη 4, η προσβαλλόμενη απόφαση παρίσταται νομίμως αιτιολογημένη ως προς αμφότερες τις επιβληθείσες με αυτήν κυρώσεις. Και τούτο διότι, από κανένα στοιχείο δεν προκύπτει ότι διενεργήθηκε από την αιτούσα τράπεζα έλεγχος για τη διερεύνηση της καταγγελίας που υπέβαλε ενώπιόν της η….. σχετικά με τη συνδρομή προστηθέντων υπαλλήλων της σε διαρροή σε τρίτους στοιχείων των προσωπικών της λογαριασμών που διατηρούσε σε αυτήν, σύμφωνα με τη διαδικασία και τους κανόνες που προβλέπονται στον ανωτέρω κανονισμό και τις εγκυκλίους της τράπεζας για την ασφάλεια των δεδομένων προσωπικού χαρακτήρα και την προστασία από παράνομη ή αθέμιτη επεξεργασία τους. Η κατά τα ανωτέρω δε πλημμελής τήρηση των οργανωτικών μέτρων, η οποία συνιστά αυτοτελή παράβαση κατά τα οριζόμενα στο ανωτέρω άρθρο 10 παρ. 3 του ν. 2472/1997, είχε ως συνέπεια την παράνομη πρόσβαση των υπαλλήλων στους λογαριασμούς της και, ως εκ τούτου, κατέστησε μη νόμιμη την επεξεργασία των δεδομένων αυτών, κατά την έννοια των άρθρων 4 και 5 παρ. 1 του ν. 2472/1997. Ενόψει τούτων, είναι απορριπτέοι οι λόγοι ακυρώσεως περί πλημμελούς αιτιολογίας της προσβαλλόμενης απόφασης, καθώς και οι ειδικότεροι ισχυρισμοί, με τους οποίους πλήττονται οι εκτιθέμενες ανωτέρω κρίσεις της Αρχής περί ελλείψεως εξουσιοδοτήσεως των στελεχών της τράπεζας που είχαν πρόσβαση στα δεδομένα της καταγγείλασας, περί μη τήρησης των κατάλληλων οργανωτικών και τεχνικών μέτρων ασφαλείας, περί προσκόμισης αλλοιωμένων στοιχείων καθώς και περί παραλείψεως συντάξεως σχετικού πορίσματος. Εξ άλλου, ο παράνομος χαρακτήρας της συμπεριφοράς της αιτούσας, ο οποίος επέσυρε τις ένδικες κυρώσεις, δεν εξαρτάται από την επέλευση ή μη της βλάβης, ως εκ τούτου δε, αβασίμως προβάλλεται ότι η προσβαλλόμενη απόφαση είναι πλημμελώς αιτιολογημένη, καθόσον δεν προκύπτει ότι τελικώς η καταγγείλασα υπέστη οποιαδήποτε βλάβη από τις ανωτέρω κριθείσες ως παράνομες πράξεις και παραλείψεις της τράπεζας.
7. Επειδή, όπως προεκτέθηκε, με την προσβαλλόμενη απόφαση επιβλήθηκαν σε βάρος της αιτούσας δύο κυρώσεις για δύο διακριτές παραβάσεις της νομοθεσίας περί προστασίας των δεδομένων προσωπικού χαρακτήρα, ήτοι αφενός πρόστιμο 5.000 ευρώ για παράνομη επεξεργασία δεδομένων προσωπικού χαρακτήρα, συνιστάμενη στην πρόσβαση και άντληση στοιχείων των λογαριασμών της καταγγείλασας από μη εξουσιοδοτημένους προς τούτο υπαλλήλους της τράπεζας, κατά παράβαση των άρθρων 4 και 5 παρ. 1 του ν. 2472/1997, και, αφετέρου, πρόστιμο, επίσης 5.000 ευρώ, για πλημμελή τήρηση των οργανωτικών και τεχνικών μέτρων ασφαλείας για την αποφυγή αθέμιτης επεξεργασίας των δεδομένων, κατά παράβαση του άρθρου 10 παρ. 3 του ιδίου ως άνω ν. 2472/1997. Συνεπώς, είναι οπωσδήποτε απορριπτέος ο λόγος ακυρώσεως, με τον οποίον προβάλλεται ότι, κατά παράβαση της αρχής ne bis in idem, επιβλήθηκαν σε βάρος της αιτούσας δύο διαφορετικές κυρώσεις για την ίδια παράνομη συμπεριφορά, εφόσον προκύπτει ότι οι κυρώσεις αυτές επιβλήθηκαν για διαφορετικές παραβάσεις.
8. Επειδή, στο πλαίσιο εξέτασης των καταγγελλομένων με την προσφυγή που υπέβαλε ενώπιόν της η εν λόγω ……, η Αρχή ερεύνησε όλα τα στοιχεία που σχετίζονται με το αντικείμενο της καταγγελίας της, ήτοι την παραβίαση του απορρήτου των τραπεζικών της καταθέσεων συνεπεία παράνομης επεξεργασίας των προσωπικών της δεδομένων. Σε κάθε περίπτωση, όπως βεβαιώνεται στην προσβαλλόμενη απόφαση και προκύπτει από τον φάκελο της υποθέσεως, η τράπεζα ενημέρωσε, κατά την ακρόασή της ενώπιον της Αρχής, για το εσωτερικό κανονιστικό πλαίσιο σχετικά με την τήρηση του τραπεζικού απορρήτου επαγγελματικής εχεμύθειας (Κώδικα Δεοντολογίας, Εγκυκλίους και Υπηρεσιακά Σημειώματα), ενώ εξ άλλου δεν προσκόμισε, παρότι της ζητήθηκε με το ……… έγγραφο της Αρχής, στοιχεία από τα οποία να προκύπτει ότι τηρήθηκε η προβλεπόμενη από τους κανόνες λειτουργίας της τράπεζας διαδικασία διερεύνησης περιστατικών παραβίασης προσωπικών δεδομένων, όπως αθέμιτες προσβάσεις σε λογαριασμούς πελατών. Συνεπώς, είναι απορριπτέοι ως αβάσιμοι οι λόγοι ακυρώσεως, με τους οποίους προβάλλεται ότι η προσβαλλόμενη απόφαση εξεδόθη καθ’ υπέρβαση τής κατά το άρθρο 19 παρ.1 περ. ιγ του ν. 2472/1997 αρμοδιότητας της Αρχής και κατά παράβαση της αρχής της χρηστής διοίκησης, καθόσον η Αρχή, βαίνοντας πέραν την εξέτασης της συγκεκριμένης προσφυγής καθ’ εαυτήν, αποφάνθηκε τελικώς επί της ακολουθούμενης από την τράπεζα διαδικασίας ελέγχου της καταγγελίας που υπέβαλε ενώπιόν η ……, δηλαδή επί ζητήματος που ουδέποτε τέθηκε υπόψη της Αρχής από την καταγγείλασα, ούτε και αποτελούσε περιεχόμενο της προσφυγής της ενώπιόν της, αιφνιδιάζοντας έτσι την αιτούσα, η οποία είχε επικεντρωθεί μόνο στην αντίκρουση των περιλαμβανομένων στην προσφυγή αιτιάσεων της ……
9. Επειδή, ενόψει της φύσης και της βαρύτητας της διαπιστωθεισών παραβάσεων και της κατά νόμο δυνατότητας επιβολής προστίμου από 300.000 έως 50.000.000 δραχμές (από 880 έως 146.735,14 ευρώ αντιστοίχως), ο καθορισμός, στην προκειμένη περίπτωση, του ύψους των επιβληθέντων προστίμων στο ποσό των 5.000 ευρώ, για κάθε μια από τις παραβάσεις, δηλαδή σε ποσό που ελάχιστα αφίσταται του κατώτατου νόμιμου ορίου επιμέτρησης, νομίμως εχώρησε κατόπιν συνεκτίμησης, κατά τα διαλαμβανόμενα στην προσβαλλόμενη απόφαση, της βαρύτητας των αποδειχθεισών πράξεων και της προσβολής που επήλθε στην καταγγείλασα από τις παράνομες προσβάσεις στους τραπεζικούς της λογαριασμούς, ώστε να μην απαιτείται ειδικότερη αιτιολογία. Κατ’ ακολουθίαν, το ύψος των ως άνω κυρώσεων δεν μπορεί να θεωρηθεί ότι παραβιάζει, και μάλιστα προδήλως, όπως απαιτείται κατά τον ασκούμενο ακυρωτικό έλεγχο, την αρχή της αναλογικότητας καθώς και τις αρχές της χρηστής Διοίκησης και της επιείκειας. Επομένως, πρέπει να απορριφθεί ως αβάσιμος ο περί του αντιθέτου προβαλλόμενος λόγος ακυρώσεως.
10. Επειδή, κατόπιν τούτων, η κρινόμενη αίτηση πρέπει να απορριφθεί.
11. Δ ι ά τ α ύ τ α
12. Απορρίπτει την αίτηση.
13. Διατάσσει την κατάπτωση του παραβόλου.
14. Επιβάλλει στην αιτούσα τη δικαστική δαπάνη της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, η οποία ανέρχεται στο ποσό των τετρακοσίων εξήντα (460) ευρώ