Ένα case study της ιρλανδικής αρχής προστασίας δεδομένων
Ο καταγγέλλων ήταν συγκύριος ακινήτου με υποθήκη, μαζί με άλλο ένα άτομο. Αμφότεροι οι ιδιοκτήτες αποχώρησαν από το ακίνητο αυτό και μετακόμισαν σε διαφορετικές διευθύνσεις.
Η τράπεζα το γνώριζε αυτό, ωστόσο απέστειλε αλληλογραφία του καταγγέλλοντος σχετικά με την υποθήκη του στην παλιά του διεύθυνση. Αποτέλεσμα αυτού ήταν η αλληλογραφία να ανοιχθεί από τους νέους ενοίκους της ιδιοκτησίας.
Ερωτηθείσα η τράπεζα απάντησε πως το σύστημα υποθηκών της προϋπέθετε πως θα υπάρχει πάντοτε μια διεύθυνση αλληλογραφίας, ενώ στην περίπτωση συνιδιοκτητών που δεν έχουν δηλώσει κοινή διεύθυνση, οι όποιες αποφάσεις λαμβάνονται εξατομικευμένα, γεγονός που μερικές φορές οδηγεί σε λάθος.
Ήταν προφανές ότι ο υπεύθυνος επεξεργασίας δεδομένων για τους σκοπούς της καταγγελίας ήταν η τράπεζα του καταγγέλλοντος, καθώς αυτή ήλεγχε τα προσωπικά δεδομένα του για τους σκοπούς της διαχείρισης του ενυπόθηκου δανείου. Τα εν λόγω δεδομένα περιείχαν (μεταξύ άλλων) οικονομικές πληροφορίες σχετικά με την υποθήκη του καταγγέλλοντος στον υπεύθυνο επεξεργασίας δεδομένων. Οι πληροφορίες αυτές ήταν δεδομένα προσωπικού χαρακτήρα επειδή αφορούσαν τον καταγγέλλοντα ως άτομο και ο καταγγέλλων μπορούσε να ταυτοποιηθεί από αυτά.
Η νομοθεσία για την προστασία των δεδομένων θεσπίζει σαφείς αρχές τις οποίες πρέπει να τηρούν οι υπεύθυνοι επεξεργασίας δεδομένων όταν επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα ενός προσώπου. Ιδιαίτερη σημασία για την εν λόγω αξίωση είχε η υποχρέωση να διασφαλίζεται ότι τα δεδομένα είναι ακριβή και επικαιροποιημένα, όπου χρειάζεται, καθώς και η υποχρέωση να εφαρμόζονται κατάλληλα μέτρα ασφαλείας για την ασφάλεια των δεδομένων.
Στη συγκεκριμένη περίπτωση, η τράπεζα διατήρησε μια ανεπίκαιρη διεύθυνση αλληλογραφίας του καταγγέλλοντα, ενώ παράλληλα απέστειλε αλληλογραφία στη διεύθυνση αυτή. Με τον τρόπο αυτό, ο υπεύθυνος επεξεργασίας παρέλειψε να διατηρήσει τα προσωπικά δεδομένα του καταγγέλλοντος επικαιροποιημένα, ως όφειλε βάσει του άρθρου 5 παρ.1δ’ ΓΚΠΔ.
Παράλληλα, η αποστολή της αλληλογραφίας κατ’ επανάληψιν στην ανεπίκαιρη διεύθυνση σημαίνει πως ο υπεύθυνος επεξεργασίας δεν είχε λάβει τα κατάλληλα μέτρα για την ασφάλεια των δεδομένων του καταγγέλλοντος, υποχρέωση την οποία είχε σύμφωνα με το άρθρο 5 παρ.1στ’ ΓΚΠΔ, αλλά και το άρθρο 32 ΓΚΠΔ, το οποίο καθορίζει τις εκτιμήσεις που πρέπει να κάνει ο υπεύθυνος επεξεργασίας κατά τον καθορισμό των κατάλληλων μέτρων ασφάλειας.
