Ο οφειλέτης ήταν ο αδερφός: Πρόστιμο 50.000 ευρώ στην Τράπεζα Πειραιώς για παράνομη επεξεργασία δεδομένων
Η τράπεζα καταχώρισε ως εγγυητή τον συγκύριο του ακινήτου στο οποίο ενέγραψε προσημείωση υποθήκης
Πρόστιμο ύψους 50.000 ευρώ επιβλήθηκε από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα στην Τράπεζα Πειραιώς, λόγω επεξεργασίας των δεδομένων προσωπικού χαρακτήρα του καταγγέλλοντος κατά παράβαση των αρχών της ακρίβειας και της νομιμότητας (ΑΠΔΠΧ 23/2025).
Η υπόθεση προέκυψε από αστοχία υπαλλήλου, που καταχώρισε εσφαλμένα τα στοιχεία πελάτη ως εγγυητή σε επιχειρηματικό δάνειο, το οποίο είχε λάβει ο αδελφός του.
Εκτός από το αρχικό λάθος αυτό, καθοριστικό ρόλο στον υπολογισμό του προστίμου έπαιξε και το γεγονός πως η Τράπεζα απέστειλε εκ νέου επιστολή προς τον πελάτη της, παρά το γεγονός πως αυτός είχε ήδη διαμαρτυρηθεί για την εμπλοκή του στην υπόθεση.
Η καταγγελία
Η Αρχή έλαβε την καταγγελία πελάτη της Τράπεζας Πειραιώς, ο οποίος κατήγγειλε πως η Τράπεζα «του απέστειλε έγγραφο, με το οποίο τον ενημέρωνε ότι διαβιβάστηκαν τα προσωπικά του δεδομένα -που κατέχει επειδή διατηρεί τραπεζικούς λογαριασμούς σε αυτήν- από την Τράπεζα στην εκεί αναγραφόμενη «Εταιρεία Ειδικού Σκοπού» Piraeus SNF DAC (εφεξής «ΕΕΣ»), και στην εταιρεία «Διαχειριστή»-Intrum Hellas (εφεξής «Intrum» ή «Διαχειριστή»), παρότι ο ίδιος δεν είχε χρηματικές οφειλές στην Τράπεζα και η υπ’ αρ. … απαίτηση που αναφερόταν στο έγγραφο αφορά στο επαγγελματικό δάνειο που είχε λάβει ο αδελφός του Β, γεγονός το οποίο ο ίδιος ο καταγγέλλων δεν γνώριζε.
Σύμφωνα με την καταγγελία, ο καταγγέλλων απέστειλε επιστολή προς την Τράπεζα και επικοινώνησε τηλεφωνικώς με την Intrum, προκειμένου να διαμαρτυρηθεί για τη διαβίβαση των δεδομένων του σε τρίτους.
Η Intrum τού απάντησε πως, μολονότι αυτός ενέχεται με την ιδιότητα του παρέχοντος τις εξασφαλίσεις στο επίμαχο δάνειο, η ίδια δεν έχει λάβει από την Τράπεζα τα προσωπικά του δεδομένα, ούτε και τα τηρεί στα αρχεία της.
Αντίστοιχα, η Τράπεζα τού απάντησε πως η επίμαχη επιστολή απεστάλη λόγω της ιδιότητάς του ως παρέχοντος τις εξασφαλίσεις στην απαίτηση εκ του επιχειρηματικού δανείου και σκοπό της ήταν η ενημέρωσή του ότι τα στοιχεία του θα διαβιβαστούν στην Intrum, «σε περίπτωση που ο τελευταίος προχωρήσει σε νομικές ενέργειες σχετικά με το ακίνητο, στο πλαίσιο της διαχείρισης της προαναφερθείσας απαίτησης».
Παράλληλα, η Τράπεζα τον διαβεβαίωσε πως δεν έχει ακόμη προβεί στη διαβίβαση των προσωπικών του δεδομένων, καθώς η έως τότε διαχείριση της απαίτησης δεν απαιτούσε κάτι τέτοιο, ενώ εξέφρασε και τη λύπη της για την παρανόηση που τυχόν προκλήθηκε από το κείμενο της επιστολής.
Ενώπιον της Αρχής
Η Αρχή ενημέρωσε την Τράπεζα και την Intrum για την καταγγελία και ζήτησε τις απόψεις τους, με τις δύο εταιρείες να αποκαλύπτουν πως τελικά ο καταγγέλλων είχε δίκιο και πως δεν είχε καμία σχέση με το επιχειρηματικό δάνειο.
Την ευθύνη για το λάθος ανέλαβε η Τράπεζα, η οποία το απέδωσε σε «εσφαλμένη συστημική καταχώριση», ήτοι λανθασμένη καταχώριση και καταγραφή στα συστήματα, η οποία είχε ως αποτέλεσμα ο καταγγέλλων να εμφανίζεται ως «παρέχων το κάλυμμα» ήτοι ως εγγυητής σε επιχειρηματικό δάνειο συγγενικού του προσώπου, το οποίο είχε περιέλθει σε καθεστώς οριστικής καθυστέρησης. Η Τράπεζα επανέλαβε και προς την Αρχή πως η ενημέρωση πραγματοποιείτο μόνο στο ενδεχόμενο μελλοντικής εκκίνησης νομικών ενεργειών και πως δεν υπήρξε διαβίβαση των δεδομένων του καταγγέλλοντος. Παράλληλα, η Τράπεζα διευκρίνισε πως έγιναν όλες οι απαιτούμενες ενέργειες, «ούτως ώστε να διορθωθεί η καρτέλα του συγκεκριμένου πελάτη και να αποκατασταθεί πλήρως και αποτελεσματικά η προηγούμενη εσφαλμένη συστημική καταχώριση».
Η Intrum, από την πλευρά της, επανέλαβε πως δεν είχε, κατά τον χρόνο εξέτασης του αιτήματος, στη διάθεσή της προσωπικά δεδομένα του καταγγέλλοντος.
Παράλληλα, η Intrum αποκάλυψε και τον λόγο για τον οποίο έγινε η εσφαλμένη καταχώριση του καταγγέλλοντος. Σύμφωνα με την απάντησή της προς την Αρχή, μολονότι στο ηλεκτρονικό αρχείο, ήτοι στα συστήματα που τίθενται από την Τράπεζα στη διάθεσή της, δεν βρέθηκαν προσωπικά δεδομένα του καταγγέλλοντος, αυτά βρέθηκαν στο φυσικό αρχείο.
Ειδικότερα, βρέθηκε αντίγραφο από Έκθεση Ελέγχου Τίτλων, που είχε εκδοθεί από Κτηματολογικό Γραφείο, με την οποία βεβαιωνόταν πως το ακίνητο για το οποίο έχει εγγραφεί προσημείωση υποθήκης σε εξασφάλιση της επίμαχης σύμβασης δανείου έχει περιέλθει στην κατοχή του καταγγέλλοντος και του οφειλέτη του δανείου, κατά πλήρη κυριότητα και σε ποσοστό 1/2 εξ αδιαιρέτου. Όπως επισημάνθηκε, το έγγραφο αυτό προσκομίστηκε από τον ίδιο τον οφειλέτη.
Ενάμιση χρόνο μετά την υποβολή των ως άνω υπομνημάτων προς την Αρχή και πριν τα εμπλεκόμενα μέρη κληθούν σε ακρόαση, ο καταγγέλλων προσκόμισε και νέα, μαζική και όχι προσωποποιημένη, επιστολή που υπέγραφαν οι δύο καταγγελλόμενες και στην οποία αναφερόταν και πάλι ότι αυτός ενέχεται σε σύμβαση επιχειρηματικού δανείου με την ιδιότητα του παρόχου εξασφάλισης. Έξι μήνες μετά, ο καταγγέλλων προσκόμισε και απόφαση Ειρηνοδικείου επί αγωγής του κατά της Τράπεζας Πειραιώς, «στην οποία αναφέρεται ότι αποδείχθηκε ότι διαβιβάστηκαν τα δεδομένα του από την Τράπεζα στην ΕΕΣ και τα διατήρησε η Intrum, αναφέροντας την προσημείωση ακινήτου του αδελφού του, απορρίπτει τους ισχυρισμούς της Τράπεζας και ορίζει ότι η τελευταία οφείλει να καταβάλει χίλια πεντακόσια (1.500) ευρώ στον ενάγοντα/καταγγέλλοντα.»
Η απόφαση της Αρχής
Η Αρχή δέχθηκε πως η καταχώριση των στοιχείων του καταγγέλλοντος προέκυψε εκ παραδρομής και αστοχίας υπαλλήλου της Τράπεζας, «ως αποτέλεσμα μεμονωμένης λανθασμένης ενέργειας υπαλλήλου που δεν οφειλόταν σε συστημική δυσλειτουργία ή λειτουργική ανεπάρκεια και αφορούσε μόνο το συγκεκριμένο περιστατικό».
Σύμφωνα με την απόφαση, η Τράπεζα εσφαλμένα εξέλαβε τον καταγγέλλοντα ως εγγυητή και προέβη στην επεξεργασία των προσωπικών δεδομένων του, χωρίς να συντρέχει οποιαδήποτε από τις έξι νομικές βάσεις του άρθρου 6 ΓΚΠΔ. Όπως παρατηρήθηκε, «η εσφαλμένη απόδοση της ιδιότητας του εγγυητή στον καταγγέλλοντα από την Τράπεζα είχε ως αποτέλεσμα την επεξεργασία των προσωπικών δεδομένων του χωρίς νόμιμη αιτία κατά παράβαση της αρχής της νομιμότητας κατ’ άρ. 6 παρ. 1 συνδ. 5 παρ. 1 εδ. α’ ΓΚΠΔ και επιπλέον κατά παράβαση της αρχής της ακρίβειας κατ’ άρ. 5 παρ. 1 εδ. δ’ ΓΚΠΔ».
Η Intrum απηλλάγη απί τις καταγγελίες σε βάρος της, καθώς η Αρχή δεν διαπίστωσε ευρήματα που να δείχνουν ότι είχε υπάρξει διαβίβαση των προσωπικών δεδομένων του καταγγέλλοντος από την Τράπεζα, κατά τον χρόνο αποστολής των πρώτων ενημερωτικών επιστολών, ούτε πως η εταιρεία γνώριζε τον καταγγέλλοντα και είχε αποκτήσει οποιαδήποτε πρόσβαση στα δεδομένα του.
Η πρόσβαση αυτή δόθηκε μετά τη διαβίβαση της καταγγελίας από την Αρχή, όταν η εταιρεία ζήτησε από την Τράπεζα να της δώσει και ψηφιοποιημένα αντίγραφα των εγγράφων που τηρούνται στον φυσικό φάκελο του δανείου, όπου και εντοπίστηκε το επίμαχο έγγραφο που ανέφερε τον καταγγέλλοντα. Ως εκ τούτου, η Αρχή δεν διαπίστωσε με βάση τα πραγματικά περιστατικά που αφορούν την Τράπεζα, παραβίαση του ΓΚΠΔ αντίστοιχα από την Intrum.
Η Αρχή επέβαλε διοικητικό πρόστιμο ύψους 50.000 ευρώ στην Τράπεζα για την παραβίαση των αρχών της νομιμότητας και ακρίβειας (άρθρο 5 παρ.1α και δ ΓΚΠΔ) και την απουσία νομικής βάσης (άρθρο 6 ΓΚΠΔ). Για τον υπολογισμό του ύψους του προστίμου επιβαρυντικά αξιολογήθηκε το γεγονός πως η Τράπεζα απέστειλε και τρίτη επιστολή, αφότου είχε λάβει προσηκόντως γνώση για την εναντίωση του υποκειμένου των δεδομένων.
Το πλήρες κείμενο της απόφασης είναι διαθέσιμο στον ιστότοπο της Αρχής