Οι παραβάσεις της αρχής της νομιμότητας και εμπιστευτικότητας σε συνδυασμό με τον εσφαλμένο χειρισμό και την υποχρέωση γνωστοποίησης του περιστατικού παραβίασης, οδήγησαν την Αρχή την Τρίτη 5 Δεκεμβρίου στην επιβολή διοικητικού προστίμου σε βάρος της τράπεζας.
Η απόφαση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (35/2023) εκκινεί από την εξέταση καταγγελίας κατόχου πιστωτικής κάρτας της Alpha Bank του οποίου τα στοιχεία συναλλαγών μέσω της κάρτας χορηγήθηκαν από υπάλληλο της Τράπεζας στη σύζυγό του χωρίς σχετική εξουσιοδότηση.
Πιο συγκεκριμένα, από τα στοιχεία του φακέλου και μετά την ακροαματική διαδικασία διαπιστώθηκε ότι η εκ μέρους της καταγγελλόμενης Τράπεζας χορήγηση προσωπικών δεδομένων σχετικά με τη χρήση της πιστωτικής κάρτας του καταγγέλλοντος στη σύζυγό του έγινε αθέμιτα, κατά παράβαση της αρχής της νομιμότητας, αντικειμενικότητας και διαφάνειας της επεξεργασίας και κατά παράβαση της αρχής της εμπιστευτικότητας των δεδομένων. Μάλιστα, είναι κρίσιμο να τονιστεί ότι, η εν λόγω μη εξουσιοδοτημένη επεξεργασία (κοινολόγηση με διαβίβαση) αποτελεί περιστατικό παραβίασης δεδομένων προσωπικού χαρακτήρα, το οποίο αποδίδεται σε σφάλμα υπαλλήλου της Τράπεζας. Συγκεκριμένα, όπως προέκυψε από τη σχετική έρευνα της Τράπεζας και τη διενέργεια πειθαρχικού ελέγχου, κατά την επίσκεψη της συζύγου του καταγγέλλοντος σε κατάστημα της Alpha Bank, με σκοπό να ενημερωθεί για την απόδοση κοινών επενδυτικών προϊόντων που διατηρούσε με τον καταγγέλλοντα, η σύζυγός του ζήτησε να ενημερωθεί για το υπόλοιπο και τις συναλλαγές που είχαν διενεργηθεί με πιστωτική κάρτα που διατηρούσε ο καταγγέλλων αποκλειστικά στο δικό του όνομα, διαβεβαιώνοντας την υπάλληλο ότι διαθέτει σχετική προφορική εντολή και εξουσιοδότηση από τον καταγγέλλοντα, ως υποκείμενο των δεδομένων. Η υπάλληλος, παραπλανηθείσα ως προς την ύπαρξη εξουσιοδότησης, εκτύπωσε και χορήγησε στη σύζυγο του καταγγέλλοντος τις τρέχουσες κινήσεις της προσωπικής του πιστωτικής κάρτας, κατά παράβαση των σχετικών εσωτερικών διαδικασιών και μέτρων ασφαλείας της Τράπεζας, που απαιτούν έγγραφη εξουσιοδότηση.
Εν συνεχεία, παρότι η καταγγελλόμενη Τράπεζα ενημερώθηκε για το περιστατικό αυτό από τον καταγγέλλοντα, ο οποίος μάλιστα κατονόμασε ως πιθανή πηγή της διαρροής κάποιο από τα καταστήματα της Τράπεζας στην περιοχή της συζύγου του, και παρότι είναι δεδομένη η δυνατότητα ελέγχου των προσβάσεων που είχαν πραγματοποιηθεί το επίμαχο χρονικό διάστημα στις πληροφορίες λογαριασμού του καταγγέλλοντος από υπαλλήλους της μέσω των συστημάτων της, η Τράπεζα δεν ανέλαβε άμεσα ενεργό δράση προς διερεύνηση του περιστατικού ώστε να αποκτήσει τον απαιτούμενο βαθμό βεβαιότητας και να τηρήσει τις υποχρεώσεις της, θεωρώντας ότι τα στοιχεία που είχε στη διάθεσή της δεν ήταν επαρκή.
Επιπλέον, παρότι ο καταγγέλλων απέστειλε στην Τράπεζα σχετική φωτογραφία του αντιγράφου κινήσεων λογαριασμού που του είχε επιδείξει η σύζυγός του, η Υπηρεσία της Τράπεζας «εκ παραδρομής», όπως υποστηρίζει, δεν προώθησε το στοιχείο αυτό στη Διεύθυνση Εσωτερικού Ελέγχου, με αποτέλεσμα να μην είναι δυνατό, κατά την άποψή της, να εκκινήσει η έρευνα.
Κατ’ επέκταση, η Τράπεζα, ως υπεύθυνος επεξεργασίας, παρότι είχε ενδείξεις για την πιθανή τέλεση περιστατικού παραβίασης, αρχικά δεν το διερεύνησε μεταθέτοντας την ευθύνη για τον εντοπισμό της πηγής της διαρροής στο υποκείμενο των δεδομένων, στη συνέχεια καθυστέρησε σημαντικά να το χειριστεί ως περιστατικό παραβίασης λόγω έλλειψης συνεννόησης μεταξύ των αρμοδίων Μονάδων της, ακολούθως υποτίμησε τις συνέπειές του για το υποκείμενο και εκτίμησε εσφαλμένα ότι δεν οφείλει να το γνωστοποιήσει στην Αρχή κατά το άρθρο 33 ΓΚΠΔ. Οι διαπιστωθείσες ελλείψεις και καθυστερήσεις κατά τον εσωτερικό χειρισμό της υπόθεσης δεν προέκυψε ότι οφείλονται σε ελλιπείς Πολιτικές και Διαδικασίες της Τράπεζας σύμφωνα με το άρθρο 24 παρ. 2 ΓΚΠΔ, αφού οι ενέργειες τις οποίες οφείλουν να ακολουθούν αμελλητί τα όργανα και οι υπηρεσίες της σε περίπτωση πιθανού περιστατικού παραβίασης προβλέπονται στα κείμενα που η Τράπεζα επικαλέστηκε και προσκόμισε αλλά στη μη τήρηση των εν λόγω διαδικασιών στην προκειμένη περίπτωση.
Κατόπιν των ανωτέρω, προέκυψε ευθύνη της Τράπεζας για το γεγονός ότι καθυστέρησε για πολλούς μήνες να διερευνήσει το συμβάν ώστε να αποκτήσει εύλογο βαθμό βεβαιότητας και να το χειριστεί ως περιστατικό παραβίασης, αλλά και για το γεγονός ότι μετά την επιβεβαίωση του περιστατικού δεν προχώρησε σε γνωστοποίησή του στην Αρχή ούτε έλαβε μέτρα για τον μετριασμό των συνεπειών του. Έτσι, λοιπόν, για τις παραπάνω παραβάσεις, επιβλήθηκε στην Alpha Bank διοικητικό πρόστιμο ύψους 60.000 ευρώ.