Οι κληρονόμοι δικαιούνται να ενημερωθούν για τυχόν ατομικούς λογαριασμούς καθώς και για τυχόν άλλα προϊόντα και έννομες σχέσεις που τηρούσε στην τράπεζα ο αποβιώσας. Αντίθετα οι κληρονόμοι συνδικαιούχου κοινών λογαριασμών ν. 5638/1932 δεν δικαιούνται να ενημερωθούν για τους κοινούς λογαριασμούς, μετά θάνατον συνδικαιούχου. Η καταγγελλόμενη τράπεζα επικαλέστηκε στην Αρχή Προστασίας Δικαιωμάτων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) ότι το άρθρο 33 ΓΚΠΔ θα πρέπει να εφαρμόζεται συνδυαστικά με το άρθρο 32 ΓΚΠΔ. Επομένως η παραβίαση δεδομένων προσωπικού χαρακτήρα του άρθρου 33 προϋποθέτει παραβίαση των διατάξεων του άρθρου 32 ΓΚΠΔ. Ως εκ τούτου, εφόσον το ανθρώπινο λάθος δεν δύναται σε καμία περίπτωση να αποκλειστεί, κατέληξε στην άποψη ότι δεν συντελέστηκε παραβίαση των διατάξεων των άρθρων 32 και 33 ΓΚΠΔ. Ειδικότερα, η καταγγελλόμενη τράπεζα ισχυρίστηκε πως η χορήγηση των εν λόγω στοιχείων έγινε «εκ προφανούς παραδρομής και λόγω εσφαλμένης εκτίμησης των πραγματικών περιστατικών και των επιμέρους δεδομένων και παραμέτρων εκ μέρους του υπαλλήλου στον οποίο απευθύνθηκε η κληρονόμος του συνδικαιούχου. Ο υπάλληλος, δηλαδή, βασιζόμενος στα έγγραφα περί νομιμοποίησης της αιτούσας, ως νόμιμης κληρονόμου της συνδικαιούχου του κοινού λογαριασμού, θεώρησε ‘εκ προφανούς παραδρομής και από δική του εσφαλμένη εκτίμηση’, ότι η κληρονόμος είχε κληρονομικά δικαιώματα και κληρονομικές αξιώσεις και ως προς αυτούς τους τραπεζικούς λογαριασμούς (κοινούς) και εσφαλμένα θεώρησε ότι είχε και το δικαίωμα να λάβει γνώση και των αιτηθέντων στοιχείων που αφορούσαν τους συγκεκριμένους κοινούς λογαριασμούς, οπότε ικανοποίησε το αίτημά της ‘λόγω ανθρώπινου λάθους και απροσεξίας, αλλά χωρίς πρόθεση και δόλο.
Σύμφωνα με τη διάταξη αρ. 33 ΓΚΠΔ «θεσπίζεται «τεκμήριο» υποχρέωσης γνωστοποίησης των περιστατικών παραβίασης στην Αρχή, με μόνη εξαίρεση την απουσία κινδύνου για τα δικαιώματα και τις ελευθερίες των θιγόμενων υποκειμένων, για την οποία ο υπεύθυνος επεξεργασίας φέρει το βάρος απόδειξης, εφόσον επιλέξει να μην προβεί σε τέτοια γνωστοποίηση. Η υποχρέωση του άρθρο 33 είναι αυτοτελής και ανεξάρτητη από την υποχρέωση του υπεύθυνου επεξεργασίας να εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα ασφάλειας, που θεσπίζεται με το άρθρο 32 ΓΚΠΔ. Αν και η τράπεζα φαίνεται ότι είχε λάβει κατάλληλα τεχνικά και οργανωτικά μέτρα ασφάλειας των δεδομένων, συμπεριλαμβανομένης της κατάλληλης εκπαίδευσης των υπαλλήλων της για τις διαδικασίες χορήγησης στοιχείων λογαριασμών σε κληρονόμους, δεν προέκυψε ότι προέβη σε οποιαδήποτε ενέργεια μετά την ειδοποίησή της από τον καταγγέλλοντα για το εν λόγω περιστατικό. Ωστόσο, μολονότι η τράπεζα αναγνώρισε ότι η διαβίβαση των δεδομένων του καταγγέλλοντος εν προκειμένω έγινε παράνομα και οφείλεται σε σφάλμα του υπαλλήλου της, δεν προχώρησε σε γνωστοποίηση του περιστατικού στην Αρχή κατά το άρθρο 33 ΓΚΠΔ ούτε σε γνωστοποίησή του στον καταγγέλλοντα κατά το άρθρο 34 ΓΚΠΔ, θεωρώντας ότι δεν είχε τη σχετική υποχρέωση, δεδομένου ότι είχε λάβει επαρκή τεχνικά και οργανωτικά μέτρα ασφάλειας κατά το άρθρο 32 ΓΚΠΔ.
Σύμφωνα με τα πραγματικά περιστατικά, διαπιστώνεται ότι η χορήγηση των προσωπικών δεδομένων του καταγγέλλοντος στην αντίδικό του εκ μέρους της καταγγελλόμενης τράπεζας έγινε χωρίς νόμιμη βάση, κατά παράβαση της αρχής της νομιμότητας της επεξεργασίας (άρθρο 5 παρ. 1 α’ ΓΚΠΔ) και κατά παράβαση της αρχής της εμπιστευτικότητας των δεδομένων (άρθρο 5 παρ. 1 στ’ ΓΚΠΔ). Η εν λόγω επεξεργασία έλαβε χώρα παρά τις αντίθετες οδηγίες της καταγγελλόμενης, ως Υπεύθυνου Επεξεργασίας προς το προσωπικό της. Πρόκειται επομένως για περιστατικό παραβίασης δεδομένων (παραβίαση ασφάλειας που οδήγησε σε άνευ άδειας κοινολόγηση), το οποίο αποδίδεται σε παραδρομή συγκεκριμένου υπαλλήλου. Το σφάλμα του υπαλλήλου της τράπεζας δεν συνιστά λόγο απαλλαγής της από την ευθύνη της ορθής τήρησης των διαδικασιών που έχει θεσπίσει προς αποτροπή περιστατικών προσβολής των προσωπικών δεδομένων των πελατών της, διότι ο υπάλληλος ενεργούσε ως προστηθείς, στο πλαίσιο άσκησης των καθηκόντων που η τράπεζα του είχε αναθέσει, με συνέπεια την αντικειμενική ευθύνη της τράπεζας κατ’ άρθρο 922 Α.Κ. Για τον ίδιο λόγο άλλωστε και δεδομένου ότι ο υπάλληλος ενεργεί υπό την εποπτεία και τις εντολές της τράπεζας (βλ. άρθρο 29 ΓΚΠΔ και εξ αντιδιαστολής από τον ορισμό του «τρίτου» στο άρθρο 4 στοιχ. 10 ΓΚΠΔ), ο εκάστοτε υπάλληλος δεν θεωρείται τρίτος κατά την άσκηση των καθηκόντων που του έχουν ανατεθεί και οι ενέργειές του αποδίδονται ευθέως στην τράπεζα, ως υπεύθυνο επεξεργασίας. Υπό τις διαπιστώσεις αυτές και λαμβάνοντας, μεταξύ άλλων, υπόψη την ευαίσθητη φύση των πληροφοριών που προστατεύονται από το τραπεζικό απόρρητο, τη βαριά αμέλεια του υπαλλήλου της τράπεζας και τη θεμελίωση της ευθύνης της, ως υπευθύνου επεξεργασίας και την απουσία ενεργειών προς άμβλυνση των συνεπειών, η ΑΠΔΠΧ επέβαλε στην τράπεζα διοικητικό πρόστιμο……. ευρώ για τις παραβάσεις της αρχής της νομιμότητας της επεξεργασίας (άρ. 5 παρ. 1 α) ΓΚΠΔ), της αρχής της εμπιστευτικότητας των δεδομένων (άρ. 5 παρ. 1 στ) ΓΚΠΔ) και των υποχρεώσεών της εκ των άρθρων 33 και 34 ΓΚΠΔ (ΑΠΔΠΧ 4/2023 αρχείο Αρχής).
* Ο κ. Αθανάσιος Πολυχρονόπουλος είναι Δικηγόρος στον ΑΠ, MSc, Διδάσκων στο Φροντιστήριο της Νομικής Βιβλιοθήκης.
Δείτε τα τμήματα προετοιμασίας για τις εξετάσεις της Εθνικής Σχολής Δικαστικών Λειτουργών εδώ