Τα χρηματοπιστωτικά ιδρύματα έχουν αυξημένες υποχρεώσεις επιμέλειας και προστασίας απέναντι στους πελάτες τους. Το καθήκον επιμέλειας είναι πιθανό να παραβιαστεί από αμέλεια της τράπεζας θέτοντας εκποδών, μέσω της αρχής της νομιμότητας, τη νομοθεσία για τα προσωπικά δεδομένα.
Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) επέβαλε με απόφασή της (ΑΠΔΠΧ 25/2023) πρόστιμο 210.000 ευρώ σε συστημική τράπεζα της χώρας, καθότι τα προσωπικά δεδομένα του καταγγέλλοντος αλλά και 23.259 πελατών της έτυχαν επεξεργασίας χωρίς νόμιμη αιτία, παράλληλα με τη διαπίστωση περί μη ικανοποίησης του δικαιώματος πρόσβασης του καταγγέλλοντος.
Στη συγκεκριμένη περίπτωση η Τράπεζα, ως υπεύθυνη επεξεργασίας, προέβη σε αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα μεγάλου αριθμού (23.259) φυσικών προσώπων χωρίς νόμιμη αιτία, καθώς λόγω αναφερόμενων από την ίδια «συστημικών» παραμετροποιήσεων των παραγόμενων λιστών αποδεκτών των εξατομικευμένων επιστολών, εντάχθηκε εκ παραδρομής και παρήχθη συστημικά λίστα αποδεκτών, στην οποία περιλαμβάνονταν και πελάτες και άλλα πρόσωπα που, αν και δεν ενέχονταν στο υπό διαχείριση χαρτοφυλάκιο, καθώς εμφάνιζαν μηδενικό υπόλοιπο, έλαβαν την εν λόγω επιστολή.
Σύμφωνα με το σκεπτικό της Αρχής, τα εν λόγω δεδομένα δεν έχρηζαν οποιασδήποτε επεξεργασίας και δεν υπήρχε νόμιμη βάση για την επεξεργασία στην οποία υποβλήθηκαν, δηλαδή της παραγωγής της λίστας και της αποστολής της επιστολής στα υποκείμενα των δεδομένων. Συνεπώς, η Αρχή διαπίστωσε ότι έχει επέλθει παραβίαση της αρχής της νομιμότητας από την Τράπεζα ως υπεύθυνη επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των παραπάνω φυσικών προσώπων, μεταξύ των οποίων και του καταγγέλλοντος, ώστε να συντρέχει λόγος επιβολής προστίμου.
Η Αρχή, εκκινώντας από την αρχή της λογοδοσίας, η οποία συνιστά και τον ακρογωνιαίο λίθο του ΓΚΠΔ, σημείωσε την υποχρέωση του υπευθύνου επεξεργασίας να δύναται να αποδείξει τη συμμόρφωση, συμπεριλαμβανομένης της νομικής τεκμηρίωσης κάθε πράξης επεξεργασίας που διενεργεί σύμφωνα με τις νομικές βάσεις που παρέχει ο ΓΚΠΔ και το εθνικό δίκαιο προστασίας δεδομένων. Κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι σύννομη, μόνο εάν ισχύει τουλάχιστον μία από τις προϋποθέσεις που τίθενται στο άρθρο 6 παρ. 1 του ΓΚΠΔ. Εφόσον μία εκ των εν λόγω προϋποθέσεων συντρέχει, τότε αυτή αποτελεί και τη νομική βάση για την επεξεργασία.
Τα κριτήρια που διαμόρφωσαν το πλαίσιο των παραβιάσεων της νομοθεσίας για τα προσωπικά δεδομένα, οδηγώντας τελικώς στο παραπάνω πρόστιμο συνοψίστηκαν ενδεικτικά από την Αρχή ως εξής:
- Αδυναμία της Τράπεζας να λάβει τα κατάλληλα τεχνικά και οργανωτικά μέτρα, ώστε η δημιουργία της εν θέματι λίστας των πελατών της να προκύπτει με ορθές συστημικές παραμετροποιήσεις, ενώ κατόπιν της διαπίστωσης της υπό εξέταση αστοχίας, από τα παράπονα των πελατών της, έλαβε διορθωτικά μέτρα
- Προσβολή μεγάλου αριθμού πελατών, πέρα από τον καταγγέλλοντα
- Παράβαση καθήκοντος επιμέλειας που βαρύνει τα χρηματοπιστωτικά ιδρύματα
Δείτε τη σχετική Έκδοση: Γενικός Κανονισμός για την Προστασία των Προσωπικών Δεδομένων (GDPR)
Δείτε το σχετικό Σεμινάριο: Εκτίμηση αντικτύπου στην προστασία των προσωπικών δεδομένων
Δείτε τη σχετική Αρθρογραφία στη Qualex: Υψηλές κυρώσεις στο ρυθμιστικό περιβάλλον για την προστασία των προσωπικών δεδομένων