Νομιμότητα της πρόσβασης των ιδρυμάτων πληρωμών στο Αρχείο Επιχειρήσεων της ΤΕΙΡΕΣΙΑΣ Α.Ε.
Τα ιδρύµατα πληρωµών δεν επιτρέπεται να είναι αποδέκτες του Αρχείου Καταγγελθεισών Συµβάσεων Επιχειρήσεων (ΑΠΔΠΧ 135/2017)
Με την υπ’ αριθμ. 135/2017 απόφασή της η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα έκρινε σχετικά με τη νομιμότητα της πρόσβασης των ιδρυμάτων πληρωμών στο Αρχείο Επιχειρήσεων της ΤΕΙΡΕΣΙΑΣ Α.Ε.
Ειδικότερα, με την απόφασή της η Αρχή έκρινε, κατά πλειοψηφία, ότι τα ιδρύµατα πληρωµών δεν επιτρέπεται να είναι αποδέκτες του Αρχείου Καταγγελθεισών Συµβάσεων Επιχειρήσεων (ΣΚΣΕ) που τηρείται από την ΤΕΙΡΕΣΙΑΣ Α.Ε.
Όπως αναφέρεται στην απόφαση, η Αρχή όρισε με την απόφαση 6/2006 τις προϋποθέσεις τήρησης του Αρχείου Καταγγελθεισών Συµβάσεων Επιχειρήσεων (ΣΚΣΕ) από την ΤΕΙΡΕΣΙΑΣ Α.Ε. λαµβάνοντας υπόψη σχετικές Κατευθυντήριες Οδηγίες της Οµάδας Εργασίας του Άρθρου 29.
Το Αρχείο Καταγγελθεισών Συµβάσεων Επιχειρήσεων (ΣΚΣΕ) περιλαµβάνει δεδοµένα για επιχειρήσεις, των οποίων οι συµβάσεις για την αποδοχή καρτών, ως µέσου πληρωµής, έχουν καταγγελθεί.
Οι εν λόγω συµβάσεις καταρτίζονται µεταξύ τραπεζών και επιχειρήσεων που πωλούν προϊόντα ή/και παρέχουν υπηρεσίες µε αντικείµενο την αποδοχή από αυτές πιστωτικών καρτών για την εξόφληση µέσω αυτών του αντιτίµου.
Σύµφωνα µε τις προαναφερόµενες Κατευθυντήριες Οδηγίες της Οµάδας Εργασίας του Άρθρου 29 της Οδηγίας 95/46/ΕΚ (βλ. σκέψη 1), πρόσβαση στο Αρχείο Καταγγελθεισών Συµβάσεων Επιχειρήσεων επιτρέπεται να έχουν τα συστήµατα πληρωµών, τα πιστωτικά ιδρύµατα, οι πάροχοι υπηρεσιών πληρωµών και άλλοι συµµετέχοντες, οι οποίοι οφείλουν να αναλύουν τους κινδύνους που σχετίζονται µε τη σύναψη σύµβασης µε συγκεκριµένο επιχειρηµατία.
Σύµφωνα µε τις προαναφερόµενες Κατευθυντήριες Οδηγίες της Οµάδας Εργασίας του Άρθρου 29 της Οδηγίας 95/46/ΕΚ (βλ. σκέψη 1), πρόσβαση στο Αρχείο Καταγγελθεισών Συµβάσεων Επιχειρήσεων επιτρέπεται να έχουν τα συστήµατα πληρωµών, τα πιστωτικά ιδρύµατα, οι πάροχοι υπηρεσιών πληρωµών και άλλοι συµµετέχοντες, οι οποίοι οφείλουν να αναλύουν τους κινδύνους που σχετίζονται µε τη σύναψη σύµβασης µε συγκεκριµένο επιχειρηµατία (βλ. ιδίως ενότητες I και ΙΙ.3. των Κατευθυντήριων Οδηγιών).
Στην υπό εξέταση υπόθεση, τόσο η ΤΕΙΡΕΣΙΑΣ Α.Ε. όσο και η ενδιαφερόμενη εταιρεία επικαλούνται στοιχεία σχετικά µε την ασκούµενη από την εταιρεία δραστηριότητα στην Ελλάδα στο πλαίσιο διενέργειας συναλλαγής µε χρήση κάρτας, ήτοι την παροχή υπηρεσιών αποδοχής µέσων πληρωµών (υπηρεσίες “merchant acquiring”), η οποία κατά την άποψή τους συνεπάγεται συγκεκριµένους κινδύνους για την εταιρεία, οι οποίοι δικαιολογούν την πρόσβασή της στο Αρχείο Καταγγελθεισών Συµβάσεων Επιχειρήσεων.
Ωστόσο, από τα στοιχεία του φακέλου δεν αποδεικνύεται συµφέρον προφανώς υπέρτερο σε σχέσηπρος αυτό του υποκειµένου, δεδοµένου ότι δεν φαίνεται να προκύπτει καν κίνδυνος για το ίδρυµα πληρωµών.
Τούτο, διότι η ύπαρξη υπολοίπου στο λογαριασµό επιβεβαιώνεται αυτοµάτως ηλεκτρονικώς πριν από κάθε συναλλαγή σε POS και, αν η επιβεβαίωση είναι ανακριβής, την ευθύνη φέρει αναπόφευκτα η ηλεκτρονικώς επιβεβαιούσα τράπεζα, η οποία τηρεί και γνωρίζει τον λογαριασµό.
Σε κάθε περίπτωση, ο όποιος κίνδυνος, εν προκειµένω, θα είχε αναληφθεί εκουσίως (συµβατικώς) από το ίδιο το ίδρυµα πληρωµών. Άλλωστε, και οι προσκοµισθέντες ΓΟΣ των σχέσεων µεταξύ της εταιρίας και των εµπόρων προβλέπουν ότι την σχετική ευθύνη και κίνδυνο φέρει ο τελευταίος.
Τέλος, η Αρχή έκρινε ότι δεν θα ήταν νοητή η µεταβολή του σκοπού της επεξεργασίας εκ µέρους της ΤΕΙΡΕΣΙΑΣ Α.Ε. µε (ελλιπή) στοιχεία αναφερόµενα σε έναν µόνο από τους πιθανούς νέους αποδέκτες, πολλώ µάλλον αφού η επεξεργασία δεδοµένων εκ µέρους της ΤΕΙΡΕΣΙΑΣ Α.Ε. διέπεται από δέσµη νοµοθετηµάτων και (κανονιστικών) αποφάσεων της Αρχής.
Δείτε αναλυτικά τη σχετική απόφαση εδώ.
