Προσωπικά δεδομένα: Πρόστιμο στην Alpha Bank για παράνομη και αδιαφανή επεξεργασία δεδομένων
Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα εξέτασε καταγγελία κατά της Alpha Bank A.E. από πελάτη της, ο οποίος βρίσκεται σε αντιδικία με την Τράπεζα και τον πρώην Διευθυντή του Καταστήματος στο οποίο διατηρεί θυρίδα θησαυροφυλακίου, για παράνομη διαβίβαση στον αντίδικό του, εγγράφου που περιλαμβάνει προσωπικά του δεδομένα.
Συγκεκριμένα από την καταγγελλόμενη Τράπεζα χορηγήθηκε στον αντίδικο του καταγγέλλοντος ένα έγγραφο (Αναγγελία Γεγονότος Λειτουργικού Κινδύνου) στο οποίο περιγράφεται με λεπτομέρειες η επίσκεψη του καταγγέλλοντος στο εν λόγω Κατάστημα και άλλες πληροφορίες που εμπίπτουν στο τραπεζικό του απόρρητο, σε χρόνο κατά τον οποίο ο αντίδικος του καταγγέλλοντος δεν ήταν πλέον Διευθυντής του Καταστήματος, άρα ήταν τρίτος σε σχέση με την Τράπεζα αναφορικά με τη συγκεκριμένη επεξεργασία.
Από την εξέταση της καταγγελίας προέκυψε ότι η συλλογή, καταγραφή και τήρηση των δεδομένων του καταγγέλλοντος στο ως άνω έγγραφο, καθώς και η διαβίβασή του στον αντίδικό του είχε λάβει χώρα κατά παράβαση της αρχής της νομιμότητας, αντικειμενικότητας και διαφάνειας της επεξεργασίας, διότι η Τράπεζα δεν τεκμηρίωσε επαρκώς τη νομική βάση της αρχικής συλλογής και επεξεργασίας, ενώ ο καταγγέλλων δεν είχε ενημερωθεί ως υποκείμενο για τη σχετική επεξεργασία των δεδομένων του ούτε ενημερώθηκε πριν τη διαβίβαση του εγγράφου, ώστε να έχει την ευκαιρία να ασκήσει τα δικαιώματά του ως υποκείμενο.
Στο πλαίσιο αυτό επέβαλε στην Τράπεζα πρόστιμο ύψους 40.000 €.
Μεταξύ άλλων, η Αρχή σημειώνει ότι η καταγραφή συμπεριφοράς του καταγγέλοντος (μονόλογος ή συνομιλία στο τηλέφωνο) σε έγγραφο συνιστά συλλογή προσωπικών δεδομένων, για την οποία το υποκείμενο πρέπει να ενημερώνεται κατά το 13 ΓΚΠΔ.
Το γεγονός ότι το υποκείμενο είναι παρόν κατά την εκδήλωση της συμπεριφοράς ή και ενδεχομένως αντιλαμβάνεται την καταγραφή αυτή δεν συνιστά δημοσιοποίηση προσωπικών δεδομένων, κυρίως όμως δεν καθιστά περιττή την ενημέρωσή του για τη συλλογή των δεδομένων του.
Απόσπασμα απόφασης
Όπως προέκυψε από τα στοιχεία του φακέλου, σκοποί της εν λόγω επεξεργασίας εν γένει (σύνταξης και τήρησης Αναγγελιών Γεγονότων Λειτουργικού Κινδύνου) είναι η διαχείριση των λειτουργικών κινδύνων και η βελτίωση των διαδικασιών της Τράπεζας. Ως νομικές βάσεις για τις σχετικές πράξεις επεξεργασίας προσωπικών δεδομένων η Τράπεζα επικαλείται αφ’ ενός μεν τη συμμόρφωσή της ως υπεύθυνου επεξεργασίας με την έννομη υποχρέωσή της να διαχειρίζεται τους λειτουργικούς κινδύνους (άρθρο 6 παρ. 1 γ’ ΓΚΠΔ σε συνδυασμό με τις αναφερόμενες στη σκ. 6 Πράξεις Διοικητή ΤτΕ) (για τον πρώτο σκοπό επεξεργασίας), αφ’ ετέρου δε το έννομο συμφέρον της να βελτιώνει τις διαδικασίες της (άρθρο 6 παρ. 1 στ’ ΓΚΠΔ) (για τον δεύτερο σκοπό επεξεργασίας).
Πάντως η δεύτερη αυτή νομική βάση δεν αναφέρεται στο κατ’ άρθρο 30 ΓΚΠΔ αρχείο δραστηριοτήτων επεξεργασίας της Τράπεζας, ούτε τεκμηριώθηκε με βάση την αρχή της λογοδοσίας ενώπιον της Αρχής η στάθμιση βάσει της οποίας ο υπεύθυνος επεξεργασίας διαπίστωσε ότι το έννομο αυτό συμφέρον υπερτερεί των δικαιωμάτων και ελευθεριών των υποκειμένων.
Εν προκειμένω, ακόμα και αν θεωρηθεί ότι η έκφραση του καταγγέλλοντος «κάποιος μου έβαλε … ευρώ στη θυρίδα μου» εμπίπτει στην έννοια του «γεγονότος λειτουργικού κινδύνου», η καταγραφή της συμπεριφοράς του όπως έλαβε χώρα με το υπό κρίση έγγραφο (ότι, δηλαδή «μονολογούσε» και «μιλούσε στο κινητό του τηλέφωνο» αναφέροντας τη συγκεκριμένη πληροφορία) δεν προκύπτει ότι εμπίπτει στην προβλεπόμενη από τις Πολιτικές και Διαδικασίες της Τράπεζας απαραίτητη επεξεργασία δεδομένων για σκοπούς διαχείρισης Γεγονότων Λειτουργικού Κινδύνου. Περαιτέρω, εφόσον η καταγραφή αυτή αποτελεί συλλογή δεδομένων προσωπικού χαρακτήρα από το υποκείμενο (συλλογή μέσω παρατήρησης κατά τις WP 260 § 26, βλ. ανωτέρω σκ. 3), η τήρηση της αρχής της διαφάνειας εκ μέρους της Τράπεζας, ως υπευθύνου επεξεργασίας προϋποθέτει την προηγούμενη ενημέρωση του υποκειμένου κατ’ άρθρο 13 ΓΚΠΔ.
Από την επισκόπηση του κειμένου ενημέρωσης των υποκειμένων που προσκόμισε η Τράπεζα, προκύπτει ότι η καταγραφή γεγονότων λειτουργικού κινδύνου ως πράξη συλλογής και επεξεργασίας δεδομένων προσωπικού χαρακτήρα δεν αναφέρεται με «σαφήνεια και πληρότητα», όπως αβάσιμα υποστηρίζει η Τράπεζα, ούτε μπορεί να θεωρηθεί ότι η σχετική ενημέρωση καλύπτεται από τη γενικόλογη φράση «η Τράπεζα δύναται επίσης να επεξεργάζεται τα αναγκαία κατά περίπτωση από τα προαναφερόμενα δεδομένα: - για τη συμμόρφωσή της με υποχρεώσεις που απορρέουν από το εκάστοτε νομοθετικό κανονιστικό και εποπτικό πλαίσιο, όπως εκάστοτε ισχύει και τις αποφάσεις των αρχών η δικαστηρίων, - για την άσκηση των δικαιωμάτων της και την προάσπιση των εννόμων συμφερόντων της».
Ως εκ τούτου, για τον καταγγέλλοντα ήταν αδύνατο να είναι γνωστό, τη στιγμή που μονολογούσε ή μιλούσε στο κινητό του τηλέφωνο μέσα στο Κατάστημα, ότι η συμπεριφορά του αυτή καταγράφεται: όπως αναφέρει ο ίδιος στην καταγγελία του «ούτε καν γνώριζα τη δημιουργία του εν λόγωεγγράφου».
Επιπλέον, ομοίως αβάσιμο είναι το επιχείρημα της Τράπεζας ότι ο καταγγέλλων «γνώριζε ήδη τις πληροφορίες», ώστε να περιττεύει η ενημέρωσή του κατά το άρθρο 13, επειδή ήταν παρών και «δημοσιοποίησε ο ίδιος τα προσωπικά του δεδομένα». Ο «μονόλογος» και η συνομιλία στο τηλέφωνο δεν συνιστά «δημοσιοποίηση προσωπικών δεδομένων», ενώ σε καμία περίπτωση δεν μπορεί να θεωρηθεί περιττή η ενημέρωση του υποκειμένου για το γεγονός ότι η συμπεριφορά του καταγράφεται αλλά και για τα λοιπά στοιχεία της επεξεργασίας (σκοπός, νόμιμη βάση, χρόνος τήρησης κλπ.), εκ μόνου του λόγου ότι το υποκείμενο είναι παρόν όταν εκδηλώνεται αυτή η συμπεριφορά.
Εξάλλου στην προκειμένη περίπτωση τα πραγματικά περιστατικά αμφισβητούνται από τα εμπλεκόμενα μέρη, επομένως εναπόκειται στον υπεύθυνο επεξεργασίας στο πλαίσιο της αρχής της λογοδοσίας να τεκμηριώσει τον ισχυρισμό ότι ο καταγγέλλων «γνώριζε ήδη τις πληροφορίες» που όφειλε να του έχει παράσχει σύμφωνα με το άρθρο 13 ΓΚΠΔ.
Σημειώνεται επίσης ότι από το περιεχόμενο της από … Αναγγελίας Γεγονότος Λειτουργικού Κινδύνου δεν προκύπτει σαφώς ποιος είναι ο κίνδυνος εν προκειμένω ή σε ποια κατηγορία εντάσσεται το γεγονός σύμφωνα με το Εγχειρίδιο της Τράπεζας, δεδομένου ότι στο τέλος αναφέρεται ρητά ότι δεν διαπιστώθηκε ταμειακή διαφορά.
Επομένως διαπιστώνεται παραβίαση της αρχής της νομιμότητας και διαφάνειας της επεξεργασίας όσον αφορά την αρχική συλλογή και καταχώριση των δεδομένων του καταγγέλλοντος στην από … Αναγγελία Γεγονότος Λειτουργικού Κινδύνου (άρθρα 5 παρ. 1 α’ και 13 ΓΚΠΔ).
Δείτε αναλυτικά την απόφαση.