ΔΙΟΙΚΗΤΙΚΑ ΕΓΓΡΑΦΑ Απόφ.ΑΠΔΠΧ 1/2025 Επιβολή προστίμου και επίπληξης σε τράπεζα για παραβίαση δικαιώματος πρόσβασης και έλλειψη διαδικασιών

Αριθμός:
1
Έτος:
2025
Είδος πράξης:
ΑΠΟΦΑΣΗ
Εκδ. Αρχή:
ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ
Ημ. Δημοσίευσης:
09/01/2025
Πηγή:
Ιστότοπος ΑΠΔΠΧ
Μέσο Δημοσίευσης:
ΤΝΠ QUALEX
Αρ. Λέξεων:
12074
Εμφάνιση περισσότερων Εμφάνιση λιγότερων Εμφάνιση περισσότερων Εμφάνιση λιγότερων

Περίληψη

Κατόπιν υποβολής σημαντικού αριθμού καταγγελιών κατά της Εθνικής Τράπεζας για παραβίαση δικαιώματος πρόσβασης σε προσωπικά δεδομένα, η Αρχή εξέτασε ομαδοποιημένα επτά υποθέσεις και, αυτεπαγγέλτως, τις τηρούμενες από την Τράπεζα διαδικασίες για την εμπρόθεσμη και ορθή ανταπόκρισή της, ως υπευθύνου επεξεργασίας, στο δικαίωμα πρόσβασης υποκειμένων των δεδομένων. Σε όλες τις εξεταζόμενες υποθέσεις διαπιστώθηκε υπέρβαση της προθεσμίας του ΓΚΠΔ για ανταπόκριση στο δικαίωμα πρόσβασης, η οποία αποδίδεται είτε σε εσφαλμένο χειρισμό των υπαλλήλων της Τράπεζας είτε στο καθεστώς τηλεργασίας τους κατά τα έτη 2021-2022, και επιβλήθηκαν κατάλληλες διοικητικές κυρώσεις κατά περίπτωση. Επιπλέον, η Αρχή διαπίστωσε έλλειψη κατάλληλων διαδικασιών της Τράπεζας για ορθή και έγκαιρη διαχείριση των αιτημάτων πρόσβασης, ιδίως μετά την αύξησή τους λόγω των αυξανόμενων περιστατικών απάτης, απουσία οποιασδήποτε συμβολής του ΥΠΔ στην παρακολούθηση της συμμόρφωσης και στην επικαιροποίηση των διαδικασιών της Τράπεζας, κατά τρόπο ανεπίτρεπτο δεδομένου του όγκου και της φύσης των προσωπικών δεδομένων που επεξεργάζεται, των πολλαπλών αιτημάτων πρόσβασης που αναμένεται να δέχεται λόγω του πεδίου δραστηριότητάς της και των πιθανών κινδύνων από την καθυστέρηση στην ικανοποίηση του δικαιώματος πρόσβασης, και επέβαλε πρόστιμο ύψους 200.000 ευρώ για παραβίαση των άρθρων 25 παρ. 1 και 12 παρ. 2 ΓΚΠΔ.

Εμφάνιση περισσότερων Εμφάνιση λιγότερων

Διοικητικό Έγγραφο

ΑΠΟΦΑΣΗ 1/2025
Αθήνα, 09-01-2025
Αριθ. Πρωτ.: 119
Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, συνήλθε, μετά από πρόσκληση του Προέδρου της, σε συνεδρίαση μέσω τηλεδιάσκεψης στις 30-07- 2024, προκειμένου να εξετάσει την υπόθεση που αναφέρεται στο ιστορικό της παρούσας. Στη συνεδρίαση παρέστησαν ο Πρόεδρος της Αρχής, Κωνσταντίνος Μενουδάκος, τα τακτικά μέλη Χαράλαμπος Ανθόπουλος, Σπυρίδων Βλαχόπουλος, Χρήστος Καλλονιάτης, Κωνσταντίνος Λαμπρινουδάκης, το αναπληρωματικό μέλος Νικόλαος Φαλδαμής σε αντικατάσταση του τακτικού μέλους Αικατερίνης Ηλιάδου, η οποία παρότι κλήθηκε νομίμως εγγράφως δεν παρέστη λόγω κωλύματος, και το τακτικό μέλος Γρηγόριος Τσόλιας ως εισηγητής. Παρούσες, χωρίς δικαίωμα ψήφου, ήταν η Χάρις Συμεωνίδου, ειδική επιστήμονας – ελέγκτρια, ως βοηθός εισηγητή και η Ειρήνη Παπαγεωργοπούλου, υπάλληλος του τμήματος διοικητικών υποθέσεων της Αρχής, ως γραμματέας.
Η Αρχή έλαβε υπόψη τα παρακάτω:
Η Αρχή έχει δεχθεί σημαντικό αριθμό καταγγελιών κατά της Εθνικής Τράπεζας που αφορούν την παραβίαση του κατά το άρθρο 15 ΓΚΠΔ δικαιώματος πρόσβασης υποκειμένων των δεδομένων, λόγω μη ικανοποίησης ή μεγάλης καθυστέρησης στην ικανοποίηση του δικαιώματος αυτού. Συγκεκριμένα, στην Αρχή έχουν υποβληθεί από τις αρχές του έτους 2022 οι παρακάτω καταγγελίες, από την εξέταση των οποίων έχουν προκύψει τα ζητήματα που παρατίθενται στη συνέχεια:
1. Καταγγελία … (..../11-01-2022)
Σε συνέχεια περιστατικού ηλεκτρονικής απάτης, που είχε ως αποτέλεσμα, στις 31/08/2021, άγνωστος δράστης να τροποποιήσει τις πληροφορίες συναλλακτικού προφίλ του καταγγέλλοντος …, στον ηλεκτρονικό λογαριασμό του (i-bank) στην Εθνική Τράπεζα, και στη συνέχεια να μεταφέρει ποσό ύψους 9.635,71 € από τον τραπεζικό λογαριασμό του καταγγέλλοντος προς τρίτους, ο καταγγέλλων στις 08/09/2021 κατέθεσε αίτηση στο υποκατάστημα … της ΕΤΕ, με την οποία ζητούσε, μεταξύ άλλων, να του χορηγηθούν αντίγραφα των από 03/09/2021 καταγεγραμμένων τηλεφωνικών του συνομιλιών με το τηλεφωνικό κέντρο της Τράπεζας. Επιπλέον στις 20/09/2021, ο καταγγέλλων ζήτησε μέσω e-mail αντίγραφο της αίτησης-σύμβασής του για χρήση υπηρεσιών ηλεκτρονικής τραπεζικής καθώς και αντίγραφο της όλης δραστηριότητας του λογαριασμού του στο i-bank για το διάστημα από 20/08/2021 έως 08/09/2021, και στη συνέχεια, στις 24/10/2021 με νέο e-mail ο καταγγέλλων ζήτησε από την Τράπεζα να του χορηγηθούν όλες οι διαθέσιμες πληροφορίες σχετικά με τις καταγεγραμμένες συναλλαγές και συνδέσεις μέσω του λογαριασμού του i-bank, καθώς και αντίγραφα των από 22/10/2021 τηλεφωνικών συνομιλιών του με εκπρόσωπο της Τράπεζας, ενώ με το ίδιο μήνυμα ζήτησε να διορθωθούν τα προσωπικά του δεδομένα όπως αποτυπώνονται στο «Οικονομικό Συναλλακτικό Προφίλ» του, σύμφωνα με τα στοιχεία που περιλαμβάνονταν σε αυτό πριν τις 31/08/2021. Σύμφωνα με την καταγγελία, η Τράπεζα χορήγησε στον καταγγέλλοντα το αντίγραφο της σύμβασής του στις 3/11/2021, μόνο αφότου ο καταγγέλλων της επέδωσε αγωγή για την αιτία αυτή. Στο πλαίσιο διερεύνησης της εν λόγω καταγγελίας, η Αρχή την κοινοποίησε στην καταγγελλόμενη τράπεζα στις 14/4/2022, ζητώντας της να εκθέσει τις απόψεις της εντός 15 ημερών. Με την ..../24-05-2022 απάντησή της, η Εθνική Τράπεζα ανέφερε ότι το αίτημα του καταγγέλλοντος για τη χορήγηση των καταγεγραμμένων τηλεφωνικών συνομιλιών ικανοποιήθηκε εν τέλει στις 19/4/2022, επικαλούμενη για την καθυστέρηση το γεγονός ότι «εκ παραδρομής το συγκεκριμένο αίτημα δεν διαβιβάστηκε εξ αρχής στον αρμόδιο Τομέα της Τράπεζας, αφ’ ετέρου δε ότι η δημιουργία του εν λόγω CD είναι εργασία η οποία απαιτεί την πρόσβαση του κατάλληλα εξουσιοδοτημένου προσωπικού σε συγκεκριμένες υποδομές της Τράπεζας, πρόσβαση που δεν ήταν εφικτή καθημερινά λόγω των ρυθμίσεων τηλε-εργασίας». Επομένως, το ως άνω αίτημα πρόσβασης ικανοποιήθηκε 7 μήνες μετά την υποβολή του και κατόπιν κατάθεσης αγωγής εκ μέρους του υποκειμένου και υποβολής καταγγελίας στην Αρχή. Με το .../28-10-2022 έγγραφό του ο καταγγέλλων κοινοποίησε στην Αρχή την υπ’ αρ. 245/2022 απόφαση του Μονομελούς Πρωτοδικείου …, με την οποία έγινε δεκτή η από 11/10/2021 αγωγή του κατά της Εθνικής Τράπεζας για επιδίκαση αποζημίωσης, μεταξύ άλλων και για παραβίαση του δικαιώματος πρόσβασής του στα προσωπικά του δεδομένα (άρθρο 15 παρ. 3 ΓΚΠΔ), όπως καταγγέλλεται, και του επιδικάστηκε για το λόγο αυτό ποσό ύψους χιλίων (1.000 €) ευρώ για την αποκατάσταση της ηθικής του βλάβης. Ακολούθως ο καταγγέλλων, με το ...22-11-2022 συμπληρωματικό του έγγραφο διευκρίνισε ότι εμμένει στην καταγγελία του, διότι, όπως αναφέρει: «η τράπεζα όχι απλά δεν ικανοποίησε το δικαίωμα πρόσβασής μου στις συνομιλίες μου, αλλά επικαλέστηκε τις συνομιλίες μου και έκανε χρήση του περιεχομένου τους προς αντίκρουση αγωγής που άσκησα εναντίον της, αναφερόμενη αποσπασματικά σε αυτές, χωρίς παράλληλα να χορηγεί σε εμένα πρόσβαση σε αυτές, γεγονός από το οποίο προκύπτει κατά την άποψή μου ότι η παραβίαση του δικαιώματος πρόσβασής μου στις συνομιλίες μου δεν οφειλόταν σε φόρτο εργασίας, έλλειψη προσωπικού και εν γένει κάποια αμελή συμπεριφορά, αλλά έγινε ενόψει της αντιδικίας μας για την παραβίαση του i-bank μου και την απώλεια του συνόλου των χρημάτων που είχα παρακαταθέσει στην τράπεζα, αξιοποιώντας κατά τρόπο ανεπίτρεπτο την πλεονεκτική θέση της τράπεζας ως υπεύθυνου επεξεργασίας προσωπικών δεδομένων, σε βάρος μου. Το δε γεγονός ότι εκδόθηκε η με αρ. 245/2022 απόφαση … η οποία με δικαιώνει σε πρώτο βαθμό δεν αποτελεί λόγο να αποσύρω τη σχετική αναφορά μου, άλλωστε η τράπεζα έχει ήδη ασκήσει έφεση κατά της εν λόγω δικαστικής απόφασης, η οποία προσδιορίστηκε να συζητηθεί τον Δεκέμβριο του 2023. Να σημειωθεί, ότι κατά το χρόνο που ζητούσα πρόσβαση στις συνομιλίες μου επειγόμουν, καθώς είχα απωλέσει το σύνολο των χρημάτων που είχα παρακαταθέσει στην τράπεζα και έπρεπε επειγόντως να ασκήσω τα νόμιμα δικαιώματά μου, εν τέλει άσκησα τα δικαιώματά μου με τον καλύτερο τρόπο που μπορούσα, χωρίς ωστόσο να έχω πρόσβαση στις συνομιλίες μου και κατά το χρόνο που η τράπεζα ισχυρίζεται ότι ικανοποίησε το δικαίωμά μου, ήτοι στις 19.04.2022, είχε ήδη παρέλθει η προθεσμία κατάθεσης ακόμη και προσθήκης στην αγωγή που είχα ασκήσει, συνεπώς είχα ήδη υποστεί ανεπανόρθωτη ζημία, ενώ είναι προφανές ότι η όποια προσπάθεια αποκατάστασης πραγματοποιήθηκε κατόπιν της από 14.04.2022 με αρ. πρωτ. 910 γνωστοποίησης της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα προς την Τράπεζα σχετικά με την καταγγελία μου». Με το ίδιο έγγραφο ο καταγγέλλων υποστηρίζει ότι το από 24/10/2021 αίτημα πρόσβασής του στις συνδέσεις και στις συναλλαγές του Ibank και στον αναλυτικό λογαριασμό συναλλαγών Αυγούστου και Σεπτεμβρίου 2021 (αίτημα με αριθμό ...) δεν ικανοποιήθηκε.
2. Καταγγελία … (.../24-06-2022)
Έπειτα από περιστατικό εξαπάτησης της καταγγέλλουσας, …. στις 15/02/2022, που είχε ως συνέπεια την αθέμιτη απόσπαση χρηματικού ποσού (συνολικού ύψους 54.000 ευρώ) από τον λογαριασμό της, αμέσως μόλις η καταγγέλλουσα αντιλήφθηκε την απάτη και ενώ η μεταφορά ήταν σε εξέλιξη, επικοινώνησε κατ’ επανάληψη με το τηλεφωνικό κέντρο της Εθνικής Τράπεζας, γνωστοποιώντας το γεγονός και ζητώντας τη λήψη μέτρων για την αποτροπή της απάτης και τη δέσμευση των χρηματικών ποσών, ενώ σε κάθε κλήση ενημερωνόταν ότι η συνομιλία καταγράφεται. Ακολούθως και ενόψει άσκησης των δικαιωμάτων της, στις 16/02/2022 η καταγγέλλουσα αιτήθηκε εγγράφως αντίγραφο των ανωτέρω συνομιλιών της, ενώ στη συνέχεια κοινοποίησε στην Τράπεζα την από 21/03/2022 εξώδικη δήλωση, πρόσκληση και διαμαρτυρία, με την οποία, μεταξύ άλλων, ζήτησε εκ νέου να της χορηγηθεί «ηλεκτρονικό μέσο αποθήκευσης των απομαγνητοφωνημένων συνομιλιών που είχε από το προσωπικό της τηλέφωνο … και το τηλέφωνο του συζύγου της …, […] με το τηλεφωνικό κέντρο και τις αρμόδιες υπηρεσίες της Τράπεζας στα τηλέφωνα επικοινωνίας σας 210 4848484 και 210 7727440, την ημέρα 15.02.2022 και από ώρα 13:58 μ.μ. έως 19:20 μ.μ.». Με την από 20/04/2022 απαντητική επιστολή της Εθνικής Τράπεζας, η καταγγέλλουσα ενημερώθηκε, μεταξύ άλλων, ότι το εν λόγω αίτημα χορήγησης ηχογραφημένων συνομιλιών τελεί υπό επεξεργασία. Η Αρχή κοινοποίησε στην Τράπεζα την ανωτέρω καταγγελία με το ..../22-09-2022 έγγραφο ζητώντας τις απόψεις της επί των καταγγελλομένων. Σύμφωνα με το ..../29-10-2022 απαντητικό έγγραφο της Τράπεζας, τα αιτήματα της καταγγέλλουσας για χορήγηση των ηχογραφημένων συνομιλιών ικανοποιήθηκαν με την αποστολή σχετικού αντιγράφου (CD) στο κατάστημα …. που εξυπηρετεί την καταγγέλλουσα, με εσωτερική αλληλογραφία στις 14/6/2022 και η καταγγέλλουσα, αφού ενημερώθηκε σχετικά, παρέλαβε ενυπογράφως το CD στις 5/7/2022 (ήτοι 4,5 μήνες μετά την υποβολή του αιτήματος). Ο λόγος της καθυστέρησης, σύμφωνα με την Εθνική Τράπεζα, είναι ότι «δεν κατέστη εφικτό να χορηγηθεί συντομότερα το αντίγραφο των συνομιλιών, αφ’ ενός μεν λόγω του μεγάλου πλήθους των σχετικών αιτημάτων που λαμβάνει η Τράπεζα, και αφ’ ετέρου ότι η δημιουργία του εν λόγω CD είναι εργασία η οποία απαιτεί την πρόσβαση του κατάλληλα εξουσιοδοτημένου προσωπικού σε συγκεκριμένες υποδομές της Τράπεζας, η οποία πρόσβαση δεν ήταν εφικτή καθημερινά λόγω των ρυθμίσεων τηλε-εργασίας». Με το .../25-11-2022 συμπληρωματικό της έγγραφο, η καταγγέλλουσα αναφέρει ότι εμμένει στην καταγγελία της και δεν δέχεται ότι έχει ικανοποιηθεί το αίτημά της, διότι, όπως αναφέρει «η τράπεζα δεν τήρησε τις εκ του νόμου προβλεπόμενες προθεσμίες για τη χορήγηση σε μένα των απομαγνητοφωνημένων συνομιλιών μου, γεγονός που μου προκάλεσε υλική και ηθική ζημία, οργή και απογοήτευση, δεδομένου [ότι] με αυτό τον τρόπο καθυστέρησε την άσκηση των αξιώσεών μου για την αποκατάσταση της ζημίας μου εξαιτίας της παράνομης χρέωσης των τραπεζικών μου λογαριασμών με μη εγκεκριμένες συναλλαγές».
3. Καταγγελία … (...../18-09-2022)
Έπειτα από απόρριψη αιτήματος αμφισβήτησης συναλλαγής που είχε πραγματοποιηθεί με την κάρτα του τον Φεβρουάριο του 2022 και μετά την υποβολή συναφών παραπόνων, ο καταγγέλλων υπέβαλε ηλεκτρονικά μέσω email στις 9/7/2022 αίτημα πρόσβασης σε πληροφορίες σχετικά με τις ενέργειες της Τράπεζας, συμπεριλαμβανομένης τυχόν αλληλογραφίας της με την Επιχείρηση την οποία αφορούσε η συναλλαγή. Σύμφωνα δε με το συμπληρωματικό έγγραφο .../25-09-2022 του καταγγέλλοντος, το αίτημά του ικανοποιήθηκε στις 23/09/2022, μετά την πάροδο 74 ημερών. Η Αρχή, με το ..../15-12-2022 έγγραφό της, ζήτησε από την Τράπεζα τις απόψεις της για τα καταγγελλόμενα περιστατικά και ιδίως, για τους λόγους για τους οποίους δεν ανταποκρίθηκε στο αίτημα του καταγγέλλοντος εντός της προβλεπόμενης στο άρθρο 12 παρ. 3 ΓΚΠΔ προθεσμίας και δεν τον ενημέρωσε σχετικά, σύμφωνα με τα προβλεπόμενα στο άρθρο 12 παρ. 4 ΓΚΠΔ. Με το ....29-12-2022 έγγραφό της η Τράπεζα ισχυρίστηκε ότι, «δεδομένων των επικοινωνιών που είχαν μεσολαβήσει με τον πελάτη και ότι τα διευκρινιστικά ερωτήματα που έθετε με το από 9/7/2022 αίτημά του αφορούσαν το ίδιο ζήτημα, η σχετική υπόθεση θεωρήθηκε ως συνέπεια της παραπάνω αλληλογραφίας και το σχετικό αίτημα καταχωρήθηκε ως παράπονο», σε συνέχεια του αιτήματος αμφισβήτησης, ενώ κατόπιν αναζήτησης και τηλεφωνικής συνεννόησης μαζί του, εν τέλει του απέστειλε τη ζητηθείσα πληροφόρηση στις 23/9/2022, συμπεριλαμβανομένης της αλληλογραφίας της με την επιχείρηση. Αναφορικά με τον λόγο της καθυστέρησης, η Τράπεζα ανέφερε ότι ο επιπλέον χρόνος που χρειάστηκε για την παροχή της ζητηθείσας πληροφόρησης οφείλεται αποκλειστικά στην εκτεταμένη έρευνα που απαιτήθηκε, καθώς είχαν περάσει πάνω από 3 μήνες από το αρχικό αίτημα αμφισβήτησης της συναλλαγής.
4. Καταγγελία … (.../25-09-2022)
Στο πλαίσιο διερεύνησης περιστατικού ηλεκτρονικής απάτης που σημειώθηκε στις 17/7/2020 με θύμα τον καταγγέλλοντα, …, ο τελευταίος υπέβαλε στις 18/3/2021, ως υποκείμενο των δεδομένων, το από 16/3/2021 αίτημα πρόσβασης στις ηχογραφημένες κλήσεις που πραγματοποίησε με την Τράπεζα από τις 16/07/2020 μέχρι την ημερομηνία του αιτήματος, καθώς και για τους τυχόν αποδέκτες των δεδομένων του. Όπως προκύπτει από τα επισυναπτόμενα στην καταγγελία μηνύματα e-mail μεταξύ του πληρεξούσιου δικηγόρου του καταγγέλλοντος και του αρμόδιου υπαλλήλου της Εθνικής Τράπεζας, το παραπάνω αίτημα προσκομίστηκε στο κατάστημα … στις 18/3/2021 και προωθήθηκε στις αρμόδιες υπηρεσίες της Τράπεζας την επόμενη ημέρα, στις 19/3/2021. Σύμφωνα με την καταγγελία, το εν λόγω αίτημα ικανοποιήθηκε μερικώς στις 10/8/2021, δηλαδή με τη χορήγηση της ηχογραφημένης κλήσης του καταγγέλλοντος, ενώ δεν του δόθηκε καμία πληροφορία σχετικά με το λόγο της καθυστέρησης, ενώ επίσης δεν παρασχέθηκαν στον καταγγέλλοντα οι ζητηθείσες αναλυτικές πληροφορίες σχετικά με τους αποδέκτες των δεδομένων του. Η Αρχή, με το ..../15-12-2022 έγγραφό της, κοινοποίησε την εν λόγω καταγγελία στην Τράπεζα ζητώντας τις απόψεις της. Με τη .../23-01-2023 απάντησή της η Τράπεζα ανέφερε ότι το αίτημα του καταγγέλλοντος, …, υποβλήθηκε στις 7/5/2021 μέσω του Καταστήματος …, στο οποίο είχε επισυναφθεί το από 16/3/2021 αίτημα πρόσβασης, και ότι η Τράπεζα απάντησε στο εν λόγω αίτημα με την από 10/8/2021 επιστολή της, η οποία επισυνάπτεται και στην καταγγελία. Όσον αφορά το ερώτημα του καταγγέλλοντος αναφορικά με την τυχόν κοινοποίηση των δεδομένων του εκ μέρους της Τράπεζας σε τρίτα μέρη, η καταγγελλόμενη αναφέρει ότι τον ενημέρωσε «ότι στο πλαίσιο πραγματοποίησης του επίμαχου εμβάσματος επεξεργάστηκε μόνο τα απαραίτητα για την εκτέλεση του εμβάσματος στοιχεία». Τέλος, αναφέρεται ότι στον πελάτη χορηγήθηκε αντίγραφο των ηχογραφημένων συνομιλιών του μέσω του Καταστήματος συνεργασίας του, από το δε συνημμένο υπ’ αρ. 6 έγγραφο, προκύπτει ότι το CD παρελήφθη στις 9/9/2021, ήτοι 5 μήνες μετά την υποβολή του αιτήματος. Σύμφωνα με την απάντηση της Τράπεζας, ο επιπλέον χρόνος που χρειάστηκε για την παροχή της ζητηθείσας πληροφόρησης, οφείλεται κυρίως στο γεγονός ότι «η δημιουργία αντιγράφου των ηχογραφημένων συνομιλιών είναι εργασία η οποία απαιτεί την πρόσβαση του κατάλληλα εξουσιοδοτημένου προσωπικού σε συγκεκριμένες υποδομές της Τράπεζας, η οποία πρόσβαση που δεν ήταν εφικτή καθημερινά λόγω των ιδιαίτερων συνθηκών που επικρατούσαν κατά την περίοδο της πανδημίας».
5. Καταγγελία .... (.../25-01-2023)
Σε συνέχεια περιστατικού εξαπάτησης του καταγγέλλοντος (phishing), ο καταγγέλλων υπέβαλε μέσω εξώδικης δήλωσης στις 16/11/2022 αίτημα χορήγησης αντιγράφου των ηχογραφημένων τηλεφωνικών συνομιλιών του με την Τράπεζα. Όπως προκύπτει από το υπ’ αρ. πρωτ. ..../01-6-2023 έγγραφο απόψεων της καταγγελλόμενης Τράπεζας, το ως άνω αίτημα τελικά ικανοποιήθηκε με την αποστολή του CD στο κατάστημα εξυπηρέτησης του καταγγέλλοντος στις 23/2/2023 και την παράδοσή του στον καταγγέλλοντα στις 9/3/2023. Αναφορικά με το ζήτημα της καθυστέρησης στην ικανοποίηση του δικαιώματος, η Τράπεζα αναφέρει τα εξής: «Όσον αφορά ειδικότερα στο χρόνο που απαιτήθηκε για την παροχή της ζητηθείσας πληροφόρησης σχετικά με τη χορήγηση των αντιγράφων των ηχογραφημένων συνομιλιών, θα πρέπει να επισημάνουμε ότι αυτό οφείλεται στην εκτεταμένη έρευνα που απαιτήθηκε, καθώς και στο γεγονός ότι η δημιουργία αντιγράφου των ηχογραφημένων συνομιλιών είναι εργασία η οποία απαιτεί την πρόσβαση του κατάλληλα εξουσιοδοτημένου προσωπικού σε συγκεκριμένες υποδομές της Τράπεζας, η οποία πρόσβαση δεν είναι εφικτή καθημερινά λόγω των ρυθμίσεων τηλε-εργασίας που ισχύουν για το προσωπικό της Τράπεζας». Με το δε ..../28-4-2023 συμπληρωματικό του έγγραφο, ο πληρεξούσιος δικηγόρος του καταγγέλλοντος αναφέρει ότι το δικαίωμα ικανοποιήθηκε εκπρόθεσμα, σχεδόν δύο μήνες μετά την καταγγελία και σχεδόν τέσσερις μήνες από την αποδεδειγμένη υποβολή του αιτήματος, και ως εκ τούτου, ανεξαρτήτως της ικανοποίησης του δικαιώματος αιτείται την εξέταση της υπόθεσης, αναφορικά με την υπέρβαση της προβλεπόμενης από τον ΓΚΠΔ προθεσμίας.
6. Καταγγελία … (..../25-01-2023)
Σε συνέχεια περιστατικού απατηλών συναλλαγών του οποίου η καταγγέλλουσα έπεσε θύμα και μετά την κοινοποίηση δύο εξώδικων δηλώσεών της προς την Εθνική Τράπεζα, στις 6/10/2022 και στις 17/10/2022 αντίστοιχα, η καταγγέλλουσα υπέβαλε στις 7/11/2022, μέσω ηλεκτρονικού μηνύματος προς τη διεύθυνση dpo@nbg.gr, αίτημα πρόσβασης σύμφωνα με το άρθρο 15 ΓΚΠΔ σε μια σειρά από προσωπικά της δεδομένα που σχετίζονται με τη διενέργεια των εν λόγω απατηλών συναλλαγών. Σύμφωνα με την καταγγελία, η Τράπεζα δεν είχε ανταποκριθεί στο εν λόγω αίτημα, ενώ η καταγγέλλουσα λάμβανε ενημερώσεις μέσω e-mail ότι το αίτημά της βρίσκεται υπό επεξεργασία (στις 8/11/2022, 8/11/2022, 22/11/2022, 7/12/2022 και 8/12/2022). Κατόπιν κοινοποίησης της καταγγελίας στην Τράπεζα με το .../27-04-2023 έγγραφο της Αρχής, με το .../02-06-2023 έγγραφό της, η Τράπεζα, σε απάντηση προς το έγγραφο αυτό της Αρχής, ισχυρίζεται ότι η καταγγέλλουσα στις 19/1/2023 παρέλαβε τις ηχογραφημένες συνομιλίες (χωρίς όμως να προσκομίζεται σχετική τεκμηρίωση) και ότι στις 25/1/2023 εστάλη στην καταγγέλλουσα ενημέρωση για τις κινήσεις που έγιναν στο λογαριασμό της. Στην εν λόγω επιστολή, την οποία επισυνάπτει η Τράπεζα ως «συν. 5», αναφέρεται το εξής: «Περαιτέρω, με την παρούσα επιστολή σας ενημερώνουμε ότι όσον αφορά στο αντίγραφο των καταγεγραμμένων τηλεφωνικών συνομιλιών σας με την Τράπεζα, θα ενημερωθείτε τηλεφωνικά από το κατάστημα συνεργασίας σας […] μόλις ολοκληρωθεί η επεξεργασία του αιτήματός σας, προκειμένου να προσέλθετε για την παραλαβή του». Ακόμα η Τράπεζα αναφέρει ότι «η πελάτισσα, αφού μεσολάβησαν και κάποιες επικοινωνίες της με το Συνήγορο του Καταναλωτή με περιεχόμενο αντίστοιχο με τα παραπάνω, έλαβε στις 9/5/2023 ηλεκτρονικό μήνυμα (συν. 6) από το Contact Center της Τράπεζας περί επαναποστολής αντιγράφου των συνομιλιών της, ενώ στις 30/05/2023 έλαβε και συμπληρωματικό ηλεκτρονικό μήνυμα από την τράπεζα (συν. 7), μέσω του οποίου της απεστάλησαν συνημμένα τα στοιχεία των συνδέσεων…». Όπως όμως προκύπτει από τα προσκομιζόμενα έγγραφα, η καταγγέλλουσα ενημερώθηκε το πρώτον στις 9/5/2023 μέσω e-mail ότι «οι συνομιλίες που εντοπίστηκαν θα δοθούν στο Κατάστημα …» (παρότι με την απάντησή της προς την Αρχή, η Τράπεζα κάνει λόγο για «επαναποστολή αντιγράφου των συνομιλιών») και στις 30/5/2023 της εστάλησαν οι ζητηθείσες πληροφορίες σύνδεσης στο λογαριασμό της internet banking και κάποιες επιπλέον διευκρινίσεις. Επομένως το δικαίωμα πρόσβασης της καταγγέλλουσας στις ηχογραφημένες συνομιλίες της ικανοποιήθηκε τον Μάιο του 2023, 6 μήνες μετά την υποβολή του, αφού κοινοποιήθηκε στην Τράπεζα η ως άνω καταγγελία εκ μέρους της Αρχής (27/4/2023) και αφού παρενέβη και ο Συνήγορος του Καταναλωτή.
7. Καταγγελία … (...../31-01-2023)
Σε συνέχεια περιστατικού απατηλής συναλλαγής, του οποίου έπεσε θύμα, η καταγγέλλουσα, …., υπέβαλε στις 13/12/2022 τηλεφωνικά προς την Εθνική Τράπεζα αίτημα λήψης αντιγράφων των καταγεγραμμένων τηλεφωνικών συνομιλιών που είχε με την εξυπηρέτηση πελατών της Τράπεζας, στις 3/12/2022 και στις 7/12/2022. Ακολούθως, σύμφωνα με την καταγγελία, η καταγγέλλουσα στις 20/12/2022 υπέβαλε εκ νέου το ως άνω αίτημά της εγγράφως, μέσω της ηλεκτρονικής πλατφόρμας της Τράπεζας, αιτούμενη επιπλέον τα στοιχεία αναλυτικής κίνησης του λογαριασμού της για το διάστημα από 29/11/2022 έως 12/12/2022, στοιχεία της IP που χρησιμοποιήθηκε καθώς και αντίγραφο του βεβαιωτικού εγγράφου που ανέβηκε στον λογαριασμό της την 1/12/2022. Μέχρι τη στιγμή της καταγγελίας η Τράπεζα δεν είχε ανταποκριθεί στο εν λόγω αίτημα, ενώ στο σχετικό από 18/1/2023 ερώτημά της μέσω της πλατφόρμας, η καταγγέλλουσα έλαβε την απάντηση ότι το αίτημά της βρίσκεται υπό επεξεργασία. Όπως προέκυψε από την εξέταση της υπόθεσης (βλ..../2-6-2023 έγγραφο απόψεων της Τράπεζας και .../20-11-2023 συμπληρωματικό έγγραφο της καταγγέλλουσας), η Τράπεζα στις 24/1/2022 είχε αποστείλει την απάντησή της προς τη διεύθυνση e-mail του άγνωστου δράστη (...), ο οποίος είχε αλλάξει τη διεύθυνση μέσω των ρυθμίσεων του e-banking της καταγγέλλουσας και για το οποίο η καταγγέλλουσα είχε ενημερώσει τηλεφωνικά την Τράπεζα στις 3/12/2022. Οι καταγεγραμμένες τηλεφωνικές συνομιλίες της εστάλησαν την 1/2/2023 στο κατάστημα … και παρελήφθησαν ενυπογράφως από την καταγγέλλουσα στις 10/2/2023, ήτοι 3 μήνες μετά την υποβολή του αιτήματος, ενώ για τις υπόλοιπες ζητηθείσες πληροφορίες, η καταγγέλλουσα έλαβε μήνυμα e-mail, στην ορθή της ηλεκτρονική διεύθυνση, στις 10/3/2023 (4 μήνες μετά την υποβολή του αιτήματος). Η Τράπεζα με το έγγραφό της υποστηρίζει ότι «κρατούσε την πελάτισσα πλήρως ενήμερη για την πορεία της υπόθεσής της και ανταποκρίθηκε σε κάθε αίτημά της για χορήγηση στοιχείων που την αφορούσαν». Ωστόσο, η καταγγέλλουσα αναφέρει ότι ακόμα και τότε η Εθνική Τράπεζα παρέλειψε, εκ προθέσεως, όπως υποστηρίζει, να της χορηγήσει συνομιλία της με αντιπρόσωπό της από το τμήμα καρτών στις 3 Δεκεμβρίου 2022, για την οποία υπέβαλε στις 15/11/2023 εκ νέου αίτημα πρόσβασης – χορήγησης αντιγράφου με αρ. .... Με το δε .../26- 02-2024 συμπληρωματικό της έγγραφο, η καταγγέλλουσα υποστηρίζει ότι, κατόπιν ενημερώσεων ότι το αίτημά της βρίσκεται υπό διερεύνηση, στις 22/12/2023 ενημερώθηκε ότι οι συνομιλίες εντοπίστηκαν και θα αποσταλούν σε CD στο κατάστημα …, και τελικά, κατόπιν πολλών καθυστερήσεων το παρέλαβε στις 25/01/2024, όμως και αυτή τη φορά το CD περιείχε μόνο μία συνομιλία την οποία είχε ήδη λάβει από τον Φεβρουάριο 2023, και της οποίας το περιεχόμενο η καταγγέλλουσα είχε επικαλεστεί προκειμένου να εξηγήσει στην καθής ότι ζητά την αμέσως επόμενή της, η οποία τελικά δεν της χορηγήθηκε. Επομένως, η καταγγέλλουσα υποστηρίζει ότι το εν λόγω αίτημά της έχει μείνει ανικανοποίητο μέχρι σήμερα, παρά τα όσα αντίθετα τυχόν υποστηρίζει η Τράπεζα. Με το .../16-02-2023 έγγραφό της η Αρχή κοινοποίησε το ανωτέρω συμπληρωματικό έγγραφο της καταγγέλλουσας στην Εθνική Τράπεζα προκειμένου να λάβει τις απόψεις της επ’ αυτού. Ακολούθως, η Εθνική Τράπεζα με το .../05-03-2024 συμπληρωματικό της έγγραφο, ανέφερε σχετικά με το υπ’ αρ. ... αίτημα της καταγγέλλουσας τα εξής: «Η Τράπεζα αναζήτησε τη συγκεκριμένη συνομιλία με κριτήριο αναζήτησης όλα τα τηλέφωνα που σχετίζονταν με την πελάτισσα, διενεργώντας ενδελεχή έλεγχο των εισερχομένων κλήσεων που προέρχονταν, τόσο από το κινητό τηλέφωνο της ιδίας, όσο και από τα κινητά τηλέφωνα του συζύγου και του δικηγόρου της, ωστόσο δεν κατέστη δυνατό να ανευρεθεί κάποια περαιτέρω επικοινωνία με την πελάτισσα τη συγκεκριμένη ημέρα, πλην των δύο συνομιλιών που της είχαν ήδη παραδοθεί. Σημειώνεται ότι στο τέλος της 2ης κλήσης (03.12.2022) η εκπρόσωπος της Τράπεζας αναφέρει στην … ότι επρόκειτο να προωθήσει την κλήση στο τμήμα καρτών, ωστόσο δεν εντοπίστηκε στο αρχείο της Τράπεζας καμία περαιτέρω συνομιλία, γεγονός το οποίο υποδηλώνει ότι ενδεχομένως δεν ήταν επιτυχής η προσπάθεια σύνδεσης. Ως εκ τούτου, την 22.01.2024 απεστάλη στο Κατάστημα … νέο CD, το οποίο περιείχε εκ νέου την κλήση που πραγματοποιήθηκε στις 03.12.2022 με το Contact Center της Τράπεζας. Σύμφωνα με το συνημμένο αποδεικτικό παραλαβής, η … παρέλαβε το νέο CD την 26.01.2024». Εκ των ανωτέρω προκύπτει ότι, παρότι δεν εντόπισε τη ζητηθείσα κλήση, η καταγγελλόμενη Τράπεζα δεν πληροφόρησε σχετικά την καταγγέλλουσα. Αντ’ αυτού, κατέγραψε εκ νέου την ήδη χορηγηθείσα συνομιλία της σε άλλο CD, το οποίο και της παρέδωσε, χωρίς να την ενημερώσει ότι το CD δεν περιέχει τα ζητηθέντα προσωπικά της δεδομένα.
Την ίδια χρονική περίοδο, υποβλήθηκε επίσης η ..../11-06-2022 καταγγελία του … κατά της Εθνικής Τράπεζας για παραβίαση δικαιώματος πρόσβασης, η οποία αρχειοθετήθηκε (.../14-12-2022) ως άνευ αντικειμένου, λόγω της ικανοποίησης του δικαιώματος πριν την παρέμβαση της Αρχής. Όπως προέκυψε από την εξέταση της εν λόγω καταγγελίας, το αίτημα για χορήγηση καταγεγραμμένων τηλεφωνικών συνομιλιών υποβλήθηκε στις 5/5/2022 και ικανοποιήθηκε στις 19/7/2022 (2,5 μήνες αργότερα), καθώς, όπως υποστήριξε η Τράπεζα, «η διερεύνηση ανάλογων περιστατικών απάτης είναι χρονοβόρα, καθώς απαιτεί ενδελεχή έρευνα στα αρχεία και τα συστήματα της Τράπεζας, συνεργασία όλων των εμπλεκόμενων χώρων, αξιολόγηση των πραγματικών περιστατικών και λήψη απόφαση για το ενδεχόμενο αποζημίωσης του πελάτη, ενώ αντίστοιχη έρευνα σε βάθος απαιτήθηκε και στην περίπτωση του καταγγέλλοντος».
Σημειώνεται, τέλος, ότι στο πλαίσιο άλλης υπόθεσης (Καταγγελία.../04-10- 2021), στην Τράπεζα έχει σταλεί το .../07-02-2023 έγγραφο της Αρχής, με το οποίο επισημαίνονται τα εξής: «από τη διερεύνηση της καταγγελίας προέκυψε ότι το ασκηθέν στις 9/2/2021 και στις 20/3/2021 δικαίωμα πρόσβασης της καταγγέλλουσας στα προσωπικά δεδομένα της ικανοποιήθηκε με καθυστέρηση αρκετών μηνών και συγκεκριμένα εν μέρει τον Ιούλιο και εν μέρει τον Σεπτέμβριο του 2021. Με το από 16-12-2022 απαντητικό έγγραφό σας προς την Αρχή (ανωτέρω υπό 3 σχετικό) διευκρινίσατε ότι η καθυστέρηση στην ικανοποίηση του δικαιώματος της καταγγέλλουσας οφείλεται στο γεγονός ότι το αίτημά της υποβλήθηκε στις αρχές του 2021, όταν η Τράπεζα λειτουργούσε υπό αυστηρό υγειονομικό πρωτόκολλο εξαιτίας των μέτρων αντιμετώπιση της πανδημίας του Covid-19, με αποτέλεσμα να είναι δυσχερής η εκτέλεση εργασιών όπως η εξαγωγή φωνητικών αρχείων από τα συστήματα της Τράπεζας, που απαιτούσε φυσική παρουσία του εξουσιοδοτημένου προσωπικού της σε ειδικούς ασφαλείς χώρους φύλαξης, ενώ εκ παραδρομής, στα δύο CD που χορηγήθηκαν αρχικά στην καταγγέλλουσα δεν περιλαμβάνονταν οι συνομιλίες της με τον Τομέα Πρόληψης Απάτης, παράλειψη η οποία διαπιστώθηκε μετά την αποστολή της από 22/6/2021 εξώδικης δήλωσής της. Σας υπενθυμίζουμε την υποχρέωση του Υπευθύνου Επεξεργασίας, αφενός να εξασφαλίζει τη χωρίς αδικαιολόγητη καθυστέρηση πρόσβαση σε δεδομένα προσωπικού χαρακτήρα των υποκειμένων στο πλαίσιο άσκησης από τα τελευταία του δικαιώματος του άρθρου 15 του ΓΚΠΔ, αφετέρου να τηρεί την απορρέουσα από την παρ. 3 του άρθρου 12 του ΓΚΠΔ υποχρέωσή του, σύμφωνα με την οποία, «ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων πληροφορίες για την ενέργεια που πραγματοποιείται κατόπιν αιτήματος δυνάμει των άρθρων 15 έως 22 χωρίς καθυστέρηση και σε κάθε περίπτωση εντός μηνός από την παραλαβή του αιτήματος». Εκ των πραγματικών περιστατικών και των προσκομιζόμενων σχετικών εγγράφων, προκύπτει ότι δεν απαντήσατε, κατά τα προαναφερόμενα, στην καταγγέλλουσα εντός της προβλεπόμενης στο άρθρο 12 παρ. 3 ΓΚΠΔ προθεσμίας. Ως εκ τούτου, και λαμβάνοντας υπόψη τις ανωτέρω παρασχεθείσες διευκρινίσεις, σας εφιστούμε την προσοχή για το ότι οφείλετε να επεξεργάζεστε και να ικανοποιείτε τα σχετικά αιτήματα των υποκειμένων των δεδομένων εντός των προβλεπόμενων στο άρθρο 12 παρ. 3 ΓΚΠΔ προθεσμιών, μεριμνώντας για τη λήψη κατάλληλων οργανωτικών και τεχνικών μέτρων και επανεξετάζοντας τα μέτρα αυτά, όπου είναι απαραίτητο». Δεδομένου ότι η ανωτέρω καταγγελία έχει ήδη εξετασθεί από την Αρχή, δεν επανεξετάζεται στο πλαίσιο της παρούσας υπόθεσης, όμως τα πραγματικά περιστατικά που διαπιστώθηκαν κατά την εξέτασή της λαμβάνονται υπόψη για τη συνολική λειτουργία της Τράπεζας σε σχέση με τον τρόπο ανταπόκρισης στα αιτήματα πρόσβασης και ενημέρωσης και τη λήψη τεχνικών και οργανωτικών μέτρων εκ μέρους της.
Κατόπιν των ανωτέρω, δεδομένου ότι από τις προαναφερθείσες καταγγελίες διαφαίνεται η εκ μέρους της Εθνικής Τράπεζας πλημμελής εφαρμογή των διατάξεων του ΓΚΠΔ που αφορούν την ικανοποίηση του δικαιώματος πρόσβασης, η Αρχή απέστειλε στην Τράπεζα το .../06-02-2023 έγγραφο, με σκοπό να διερευνηθούν αυτεπαγγέλτως οι τηρούμενες από αυτήν διαδικασίες και να εξετασθεί η πιθανή ανάγκη άσκησης διορθωτικών εξουσιών, σύμφωνα με το άρθρο 58 παρ. 2 ΓΚΠΔ. Με το έγγραφο αυτό ζητήθηκε από την Τράπεζα να διευκρινίσει εάν διαθέτει έγγραφη Πολιτική ή Διαδικασία Διαχείρισης Δικαιωμάτων Πρόσβασης υποκειμένων των δεδομένων κατά τον ΓΚΠΔ και σε περίπτωση θετικής απάντησης, η Τράπεζα κλήθηκε να προσκομίσει στην Αρχή την εν λόγω Πολιτική καθώς και τις σχετικές Οδηγίες που έχουν δοθεί στο προσωπικό της. Επιπλέον, η Τράπεζα κλήθηκε να διευκρινίσει εάν, κατά την άποψή της, στις περιπτώσεις των ανωτέρω καταγγελιών (υπ’ αρ. 1-4 και στην περίπτωση της καταγγελίας Γ/ΕΙΣ/7926/11-06- 2022 που αρχειοθετήθηκε) τηρήθηκε η Πολιτική αυτή και οι σχετικές οδηγίες προς τους υπαλλήλους και β) εάν, σε συνέχεια των καταγγελιών, έχει προβεί σε οποιαδήποτε ενέργεια αναθεώρησης των διαδικασιών ή επικαιροποίησης των σχετικών οδηγιών.
Επειδή δεν είχε λάβει οποιαδήποτε απάντηση στο ως άνω έγγραφο, η Αρχή απέστειλε το .../02-11-2023 υπομνηστικό έγγραφό της στην Τράπεζα, με το οποίο ζήτησε εκ νέου τις ανωτέρω πληροφορίες αναφορικά και με τις νεότερες (υπ’ αρ. 5-7) καταγγελίες που είχαν στο μεταξύ υποβληθεί στην Αρχή.
Η Εθνική Τράπεζα ανταποκρίθηκε στα ανωτέρω έγγραφα με την υπ’ αρ. πρωτ. .../23-01-2024 απάντησή της, με την οποία υποστηρίζει τα ακόλουθα, ενώ προσκομίζει και επικαλείται τα αναφερόμενα παρακάτω συνημμένα έγγραφα:
- Ήδη από τον Μάιο του 2018 η Τράπεζα έχει υιοθετήσει την Πολιτική Διαχείρισης Δεδομένων Προσωπικού Χαρακτήρα της Τράπεζας και του Ομίλου (συν. 1) ενώ έχει εκδώσει και την υπηρεσιακή εγκύκλιο σειράς Β’ 85/24.05.2018 με θέμα «Έναρξη εφαρμογής του νέου πλαισίου αναφορικά με την προστασία των Φυσικών Προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα (Γενικός Κανονισμός για την Προστασία Δεδομένων – ΓΚΠΔ / General Data Protection Regulation – GDPR)», με την οποία ενημέρωνε το προσωπικό για τη θέση σε εφαρμογή του ΓΚΠΔ και παρείχε κατευθύνσεις ως προς τη συμμόρφωση της Τράπεζας στο θεσμικό πλαίσιο (συν. 2).
- Παράλληλα, έχει καταρτιστεί εσωτερική Διαδικασία της αρμόδιας Μονάδας αναφορικά με τη Διαχείριση Αιτημάτων GDPR Πελατών (συν. 3), στην οποία περιγράφονται αναλυτικά οι ενέργειες της Τράπεζας στο πλαίσιο διεκπεραίωσης των αιτημάτων των υποκειμένων των δεδομένων για άσκηση δικαιωμάτων τους, σύμφωνα με τα προβλεπόμενα στον ΓΚΠΔ, ενώ επιπλέον έχει σχεδιάσει ένα υποχρεωτικό εκπαιδευτικό σεμινάριο με τίτλο «Προστασία του Ατόμου από την Επεξεργασία Δεδομένων Προσωπικού Χαρακτήρα», με στόχο την παρουσίαση του θεσμικού πλαισίου, την εξοικείωση του προσωπικού με αυτό και την ενημέρωσή του για τις εξελίξεις, καθώς και το σεμινάριο «GDPR – Από τον Κανονισμό στην Πράξη», το οποίο αποσκοπούσε στην κατανόηση των δικαιωμάτων των υποκειμένων των δεδομένων που απορρέουν από τον ΓΚΠΔ. Η Τράπεζα σημειώνει ότι τα παραπάνω κείμενα και σεμινάρια έχουν δυναμικό χαρακτήρα και επικαιροποιούνται ή συμπληρώνονται κατάλληλα, χωρίς όμως να προσδιορίζει πότε σχεδιάστηκαν τα παραπάνω σεμινάρια ούτε να διευκρινίζει αν έχουν ήδη πραγματοποιηθεί και σε ποιο ποσοστό του προσωπικού.
- Αναφορικά με τη διαχείριση των υποθέσεων που αναφέρονται στο .../02-11-2023 έγγραφο της Αρχής, η Τράπεζα κατ’ αρχάς αναφέρει ότι οι σχετικές υποθέσεις αφορούσαν περιπτώσεις πελατών που είχαν πέσει θύματα ηλεκτρονικής απάτης, ότι τα αιτήματά τους αφορούσαν κυρίως στην αμφισβήτηση των απατηλών συναλλαγών και την ακύρωση των εμβασμάτων, ενώ συμπληρωματικά οι πελάτες ζητούσαν επιπλέον στοιχεία, όπως, ενδεικτικά, πληροφόρηση για την ταυτότητα των προσώπων στα οποία κατέληξαν τα χρήματά τους ή αντίγραφο προηγούμενων καταγεγραμμένων συνομιλιών τους με την Τράπεζα. Για το λόγο αυτό, οι εν λόγω πελάτες απευθύνθηκαν είτε στο Κατάστημα συνεργασίας τους είτε στο τηλεφωνικό κέντρο της Τράπεζας και οι σχετικές υποθέσεις προωθήθηκαν για διερεύνηση στις Μονάδες που επιλαμβάνονται των ενεργειών που σχετίζονται με την αμφισβήτηση των συναλλαγών. Μία μόνο πελάτισσα απευθύνθηκε στο mailbox dpo @ nbg . gr , αφού όμως προηγουμένως είχε υποβάλει αίτημα αμφισβήτησης συναλλαγών που είχε απαντηθεί, καθώς και δύο εξώδικες διαμαρτυρίες. Η Τράπεζα υποστηρίζει ότι κατέβαλε κάθε δυνατή προσπάθεια προκειμένου να ανταποκριθεί εμπρόθεσμα στα αιτήματα των πελατών, όμως θα πρέπει να ληφθεί υπόψη ότι τα τελευταία έτη παρατηρείται μεγάλη έξαρση των περιστατικών ηλεκτρονικής απάτης, η οποία έχει οδηγήσει σε εκθετική αύξηση των σχετικών αιτημάτων, καθώς και ότι η διερεύνηση αυτού του είδους των υποθέσεων απαιτεί πολύ χρόνο, αφού προϋποθέτει τη συνεργασία πολλών Μονάδων εντός της Τράπεζας, αλλά συνήθως και την επικοινωνία με τρίτες Τράπεζες κατά τη διαχείριση των αιτημάτων αμφισβήτησης συναλλαγών. Η Τράπεζα τονίζει ότι κατά τη διάρκεια της σχετικής διερεύνησης συχνά επικοινωνεί με τους πελάτες, προκειμένου να τους ενημερώσει για την πρόοδο των ενεργειών της ή για να τους ζητήσει πρόσθετα στοιχεία και διευκρινίσεις, ενώ επίσης σημειώνει ότι η χορήγηση αντιγράφων ηχογραφημένων συνομιλιών απαιτεί την πρόσβαση του κατάλληλα εξουσιοδοτημένου προσωπικού σε συγκεκριμένες υποδομές της, πρόσβαση που δεν είναι εφικτή καθημερινά λόγω των ρυθμίσεων τηλεργασίας που ισχύουν για το προσωπικό της Τράπεζας.
- Τέλος, η Τράπεζα τονίζει ότι έχουν δοθεί οδηγίες στο προσωπικό για την ταχύτερη διεκπεραίωση των σχετικών αιτημάτων, τη συνεχή επικοινωνία με τους πελάτες κατά τη διάρκεια της διερεύνησης και την αναλυτική τους ενημέρωση για τους λόγους για τους οποίους το αίτημα δεν είναι δυνατό να διεκπεραιωθεί εντός μηνός, σε περίπτωση που διαπιστωθεί ότι απαιτείται περαιτέρω έρευνα, ενώ αναφέρει ότι πλέον βρίσκεται σε εξέλιξη το έργο της συνολικής καταγραφής των διαδικασιών της Τράπεζας με τυποποιημένη μορφή, όπου παρέχεται αναλυτική και σαφής πληροφόρηση ως προς τις διαδικασίες που πρέπει να εφαρμόζονται από τις επιμέρους Μονάδες της Τράπεζας, μεταξύ των οποίων και η διαδικασία «Διαχείριση Αιτημάτων Άσκησης Δικαιωμάτων GDPR», στην οποία περιγράφονται αναλυτικά όλα τα βήματα που εφαρμόζονται σε περίπτωση υποβολής αιτήματος άσκησης δικαιώματος GDPR και την οποία η Τράπεζα προσκομίζει ως συν. 4.
Σε συνέχεια των ανωτέρω, η Αρχή με την .../04-03-2024 κλήση της, κάλεσε την Εθνική Τράπεζα σε ακρόαση ενώπιον της Ολομέλειας της Αρχής στις 19/3/2024, προκειμένου να εκθέσει τις απόψεις της για την υπόθεση. Κατά τη συνεδρίαση της 19/3/2024, η Τράπεζα υπέβαλε αίτημα αναβολής, το οποίο έγινε δεκτό και η υπόθεση αναβλήθηκε για τη συνεδρίαση της 26/3/2024. Κατά τη συνεδρίαση της 26/3/2024 παρέστησαν, εκ μέρους της Εθνικής Τράπεζας οι: Σοφία Ασματόγλου και Γεώργιος Κουνάδης, Διευθυντές Συμμόρφωσης Επιχειρηματικής Ρύθμισης και Συμπεριφοράς πελατών, Μαρία Ελένη Λούβαρη, Επικεφαλής Τομέα Συμπεριφοράς πελατών, Ερμιόνη Κούτρα, Επικεφαλής Τομέα Τήρησης Κανονισμών και Διασφάλισης Ποιότητας, Μαρία Τσιλιακού, Επικεφαλής Υποδιεύθυνσης Συμμόρφωσης Πληρωμών και Ψηφιακών Υπηρεσιών. Επιπλέον παρέστησαν οι Ιωάννα Σαπουντζή, Υπεύθυνη Προστασίας Δεδομένων (ΥΠΔ) της Εθνικής Τράπεζας και Βικτωρία Μαρία Φουντουκάκου Λούρη, Αναπληρώτρια ΥΠΔ, προς παροχή διευκρινίσεων. Οι εκπρόσωποι της Τράπεζας ανέπτυξαν τους ισχυρισμούς της για τις ανωτέρω υποθέσεις και απάντησαν στις σχετικές ερωτήσεις του Προέδρου και των μελών της Αρχής. Στο τέλος της συνεδρίασης η Εθνική Τράπεζα έλαβε προθεσμία και ακολούθως υπέβαλε εμπρόθεσμα το .../15-04-2024 υπόμνημα.
Τόσο προφορικά κατά τη συνεδρίαση όσο και στη συνέχεια με το υπόμνημά της η Τράπεζα υποστήριξε τα εξής:
Αναφορικά με το υπ’ αρ. πρωτ. ...../06-02-2023 έγγραφο της Αρχής, το οποίο είχε σταλεί στη διεύθυνση ....@ nbg.gr, ανέφερε ότι δεν έφτασε στην Τράπεζα διότι η εν λόγω διεύθυνση δεν παρακολουθείται από τις 8/6/2022 και η μη ανταπόκριση της Τράπεζας σε αυτό δεν οφείλεται σε αμέλεια ή αδιαφορία της. Όσον αφορά τις ακολουθούμενες Πολιτικές και Διαδικασίες, η Τράπεζα προσκομίζει ως Συν. 2 την Πολιτική Διαχείρισης Δεδομένων Προσωπικού Χαρακτήρα, η οποία έχει υιοθετηθεί από τον Μάιο του 2018 και επικαιροποιήθηκε τον Μάιο του 2022. Στο κείμενο της Πολιτικής γίνεται αναφορά στις αρχές του ΓΚΠΔ και στις συναφείς υποχρεώσεις της Τράπεζας ως Υπευθύνου Επεξεργασίας. Εκ μέρους της Τράπεζας τονίζεται ο ρόλος του ΥΠΔ στην παρακολούθηση της συμμόρφωσης και στην επισήμανση σχετικών ζητημάτων και αναλύεται ο επιμερισμός των σχετικών αρμοδιοτήτων ανά οργανική μονάδα της Τράπεζας. Επιπλέον, η Τράπεζα αναφέρει ότι έχει εκδώσει την υπηρεσιακή εγκύκλιο Β’ 85/24.05.2018 με θέμα «Έναρξη εφαρμογής του νέου πλαισίου αναφορικά με την προστασία των Φυσικών Προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα (Γενικός Κανονισμός για την Προστασία Δεδομένων – ΓΚΠΔ)», την οποία προσκομίζει ως Συν. 3, με την οποία ενημέρωσε το προσωπικό της για τη θέση σε εφαρμογή του ΓΚΠΔ και παρείχε κατευθύνσεις ως προς τη συμμόρφωση της Τράπεζας, μεταξύ των οποίων και οδηγίες για τη διαχείριση των αιτημάτων πελατών για την άσκηση των δικαιωμάτων τους που απορρέουν από τον ΓΚΠΔ, και την καταχώρισή τους στα συστήματα της Τράπεζας. Περαιτέρω, η Τράπεζα αναφέρει ότι τον Δεκέμβριο του 2023 καταρτίστηκε η διαδικασία «Διαχείριση Αιτημάτων Άσκησης Δικαιωμάτων GDPR» (Συν. 4), στην οποία περιγράφονται αναλυτικά τα βήματα που ακολουθούνται μετά την υποβολή σχετικού αιτήματος από Πελάτη: σύμφωνα με τη διαδικασία αυτή, τα σχετικά αιτήματα προωθούνται στο Γραφείο DPO της Τράπεζας και διεκπεραιώνονται από το Γραφείο αυτό σε συνεργασία με τις κατά περίπτωση αρμόδιες Μονάδες της. Κατ’ εξαίρεση και για λόγους αμεσότητας, τα δικαιώματα διόρθωσης προσωπικών δεδομένων και εναντίωσης αποστολής προωθητικού υλικού, όταν ασκούνται σε Κατάστημα, ολοκληρώνονται και απαντώνται από το ίδιο. Αναφορικά με τα αιτήματα πρόσβασης, η Τράπεζα αναφέρει ότι για ορισμένα αιτήματα που παρουσιάζουν κοινά χαρακτηριστικά, όπως ενδεικτικά, παροχή αναλυτικών κινήσεων λογαριασμών και αντιγράφων καταγεγραμμένων συνομιλιών, έχει παράσχει ήδη από την έναρξη θέσης σε εφαρμογή του ΓΚΠΔ κατευθυντήριες οδηγίες προς τις αρμόδιες Μονάδες υποδοχής των αιτημάτων για την άμεση διευθέτηση και ολοκλήρωσή τους. Ενδεικτικές απαντήσεις προσκομίζονται ως Συν. 5-Α και η πράξη διορισμού ΥΠΔ και Αναπληρωτή ΥΠΔ ως 5-Β. Επιπλέον η Τράπεζα αναφέρει ότι έχει σχεδιάσει το υποχρεωτικό εκπαιδευτικό σεμινάριο «Προστασία του Ατόμου από την Επεξεργασία Δεδομένων Προσωπικού Χαρακτήρα» που απευθύνεται στο προσωπικό της, με ειδικές ενότητες που αφορούν στα ζητήματα άσκησης δικαιωμάτων των υποκειμένων, προσκομίζοντας ενδεικτικές οθόνες ως Συν. 6. Σημειώνεται ότι στο εν λόγω σχετικό αναφέρεται ως ημερομηνία ενημέρωσης η 13/12/2022.
Όσον αφορά τις επιμέρους καταγγελίες, η Εθνική Τράπεζα σημειώνει κατ’ αρχάς ότι οι περισσότερες από τις εξεταζόμενες υποθέσεις αφορούν περιπτώσεις πελατών που είχαν πέσει θύματα ηλεκτρονικής απάτης και τα αιτήματά τους αφορούσαν κυρίως την αμφισβήτηση των απατηλών συναλλαγών και την ακύρωση των εμβασμάτων, ενώ συμπληρωματικά οι πελάτες ζητούσαν επιπλέον στοιχεία, όπως αντίγραφα των καταγεγραμμένων συνομιλιών τους με την Τράπεζα. Όπως ανέφεραν και οι εκπρόσωποι της Τράπεζας κατά την ακρόαση, τα τελευταία χρόνια παρατηρείται μια έξαρση των υποθέσεων ηλεκτρονικής απάτης, γεγονός που έχει οδηγήσει σε ραγδαία αύξηση των αντίστοιχων αιτημάτων. Σύμφωνα με την Τράπεζα, καταβλήθηκε κάθε δυνατή προσπάθεια για την εξυπηρέτηση των πελατών της επιδιώκοντας να εξαντλήσει κάθε περιθώριο για την αποκατάστασή τους, όμως η ορθή και πλήρης διερεύνηση αυτών των περιστατικών συχνά αποδεικνύεται χρονοβόρα, καθώς απαιτεί ενδελεχή έρευνα στα αρχεία και συστήματα της Τράπεζας, συνεργασία όλων των εμπλεκόμενων χώρων, αξιολόγηση των πραγματικών περιστατικών και επικοινωνία της με τους λοιπούς εμπλεκόμενους φορείς (π.χ. τράπεζα δικαιούχου κλπ.). Αναφορικά με τις συγκεκριμένες υποθέσεις, η Τράπεζα σημείωσε επιπλέον τα εξής (παρατίθενται κατά σειρά υποβολής των καταγγελιών, όπως ανωτέρω):
1. …: Η Τράπεζα επαναλαμβάνει τα πραγματικά περιστατικά της υπόθεσης, σημειώνοντας ότι το αίτημα χορήγησης αντιγράφου των τηλεφωνικών συνομιλιών του καταγγέλλοντος με την Τράπεζα υποβλήθηκε μέσω του Καταστήματος συνεργασίας του στις 8/9/2021 και ότι το σχετικό αντίγραφο ήταν διαθέσιμο στο Κατάστημα συνεργασίας του στις 19/4/2022, γεγονός για το οποίο ο πελάτης ενημερώθηκε τηλεφωνικά και στη συνέχεια εγγράφως με την από 3/6/2022 επιστολή της Τράπεζας. Επίσης αναφέρει ότι το από 24/10/2021 ηλεκτρονικό μήνυμα του καταγγέλλοντος για την παροχή περαιτέρω διευκρινίσεων απαντήθηκε με την από 3/6/2022 επιστολή της Τράπεζας. Παράλληλα, με το υπόμνημά της η Εθνική Τράπεζα προσκομίζει τις Προτάσεις που υποβλήθηκαν εκατέρωθεν στο πλαίσιο αγωγής του καταγγέλλοντος ενώπιον του Μονομελούς Πρωτοδικείου …, όπως ζητήθηκε από την Αρχή κατά την ακρόαση (Συν. 10-Γ και 10-Δ). Σημειώνεται ότι στις σελ. 6 και 7 των από 20/1/2022 Προτάσεων της Τράπεζας γίνεται αναφορά στο περιεχόμενο της από 3/9/2021 τηλεφωνικής συνομιλίας του καταγγέλλοντος με εκπροσώπους της Τράπεζας, ενώ αντίστοιχα στη σελ. 8 των από 3/2/2022 Προτάσεων του καταγγέλλοντος αναφέρεται ότι «η αντίδικος μέχρι σήμερα ουδέποτε ανταποκρίθηκε στις αιτήσεις του πρώτου εξ ημών για χορήγηση αντιγράφων των συνομιλιών του…». Με το υπόμνημά της η Εθνική Τράπεζα δεν απαντά στον ισχυρισμό του καταγγέλλοντος ότι με τον τρόπο αυτό βρέθηκε σε δυσμενέστερη αποδεικτική θέση και υπέστη δικονομική βλάβη.
2. …: Η Τράπεζα επαναλαμβάνει τα πραγματικά περιστατικά της υπόθεσης προσκομίζοντας την από 20/4/2022 απάντησή της προς την καταγγέλλουσα και την από 14/6/2022 επιστολή χορήγησης των ηχογραφημένων συνομιλιών που είχαν ζητηθεί αρχικά στις 16/2/2022 μέσω Καταστήματος, στις 2/3/2022 εγγράφως και στις 20/3/2022 μέσω εξωδίκου.
3. …: Η Τράπεζα προσκομίζει τρεις επιστολές της προς τον καταγγέλλοντα που αφορούσαν το αίτημα αμφισβήτησης συναλλαγής του και τα συναφή παράπονα που υποβλήθηκαν στη συνέχεια και προηγήθηκαν του αιτήματος πρόσβασης σε (Συν. 8-Α, 8-Β και 8-Γ), ενώ αναφορικά με το υπό κρίση αίτημα που υποβλήθηκε στις 11/7/2022, αναφέρει ότι αφού προέβη σε αναζήτηση στοιχείων και συνεννοήθηκε τηλεφωνικά με τον πελάτη, του απέστειλε τη ζητηθείσα πληροφόρηση στις 23/9/2022 (Συν. 8-Δ).
4. …: Η Τράπεζα επαναλαμβάνει τα πραγματικά περιστατικά προσκομίζοντας τα συναφή αιτήματα του καταγγέλλοντος, από τα οποία προκύπτει ότι το από 7/5/2021 αίτημά του ικανοποιήθηκε με τη χορήγηση του αντιγράφου που ζητήθηκε στις 9/9/2021.
5. .....: Η Τράπεζα επαναλαμβάνει τα πραγματικά περιστατικά προσκομίζοντας την από 20/2/2023 απαντητική επιστολή της προς τον καταγγέλλοντα, με την οποία ενημερώθηκε ότι το από 16/11/2022 αίτημά του βρίσκεται υπό επεξεργασία και αναφέρει ότι το αίτημα ικανοποιήθηκε με τη χορήγηση του αντιγράφου που ζητήθηκε στις 9/3/2023.
6. …: Η Τράπεζα επαναλαμβάνει τα πραγματικά περιστατικά της υπόθεσης, προσκομίζοντας τις ενημερωτικές επιστολές που η Τράπεζα απέστειλε, σε συνέχεια του από 3/10/2022 αιτήματος και των από 5/10/2022 και 17/10/2022 εξωδίκων δηλώσεων της καταγγέλλουσας, με τις οποίες ενημερωνόταν ότι η υπόθεσή της βρίσκεται υπό επεξεργασία, το από 19/1/2023 αποδεικτικό παραλαβής των ηχογραφημένων συνομιλιών της καταγγέλλουσας (Συν. 13-Γ), καθώς και το τελικό από 30/5/2023 μήνυμα με το οποίο της εστάλησαν τα ζητηθέντα στοιχεία.
7. …: Η Τράπεζα επαναλαμβάνει τα πραγματικά περιστατικά της υπόθεσης, προσκομίζοντας εκ νέου τις απαντήσεις που παρείχε στην καταγγέλλουσα. Σημειώνεται ότι οι απαντήσεις που προσκομίζονται ως Συν. 11-Β (από 24/12/2022) και 11-Δ (24/01/2023) έχουν αποσταλεί μέσω e-mail στη διεύθυνση του άγνωστου δράστη (…), ο οποίος είχε προβεί στη σχετική αλλαγή μέσω των ρυθμίσεων e-banking της καταγγέλλουσας. Η Τράπεζα δεν παρείχε κάποια εξήγηση αναφορικά με την απουσία ενημέρωσης της καταγγέλλουσας για το γεγονός ότι μια συγκεκριμένη ζητηθείσα κλήση (από 3/12/2022) δεν είχε εντοπιστεί.
Η Τράπεζα επισημαίνει ότι στις παραπάνω περιπτώσεις οι πελάτες επέλεξαν να απευθυνθούν είτε στο Κατάστημα συνεργασίας τους είτε στο τηλεφωνικό κέντρο της, έχοντας ως πρωταρχικό μέλημά τους την αμφισβήτηση των συναλλαγών. Στο πλαίσιο αυτό οι σχετικές υποθέσεις προωθήθηκαν για διερεύνηση και περαιτέρω χειρισμό στις Μονάδες της Τράπεζας που επιλαμβάνονται των συναφών ενεργειών (διερεύνηση πραγματικών περιστατικών σε συνεργασία με άλλες Μονάδες της Τράπεζας, επικοινωνία με τρίτες Τράπεζες κλπ). Μόνο μία πελάτισσα απευθύνθηκε στο mailbox dpo@nbg.gr , αφού ωστόσο είχε προηγουμένως υποβάλει αίτημα αμφισβήτησης συναλλαγών το οποίο είχε απαντηθεί, καθώς και δύο (2) εξώδικες διαμαρτυρίες. Στη συνέχεια και εξαιτίας της μη ικανοποίησης του αιτήματος αμφισβήτησης συναλλαγών, οι πελάτες αιτήθηκαν τη χορήγηση αντιγράφων των τηλεφωνικών τους επικοινωνιών ή λοιπών στοιχείων από την Τράπεζα. Όπως υποστηρίζει η Εθνική Τράπεζα, κατέβαλε κάθε δυνατή προσπάθεια για να ανταποκριθεί εμπρόθεσμα στα αιτήματα των πελατών, κάτι που επετεύχθη, όπως αναφέρει, σε μεγάλο βαθμό, καθώς στις τρεις από τις ανωτέρω υποθέσεις τηρήθηκε το ανώτατο προβλεπόμενο χρονικό διάστημα ενώ στις τρεις παρατηρήθηκε μικρή χρονική απόκλιση (περίπου 10 ημερών). Όσον αφορά τον επιπλέον χρόνο που απαιτήθηκε για την παροχή των πληροφοριών που ζητήθηκαν στις ανωτέρω περιπτώσεις, η Τράπεζα υποστηρίζει ότι οφείλεται κυρίως:
-στο πλήθος των σχετικών αιτημάτων που παρουσιάζουν ραγδαία αύξηση λόγω της έξαρσης της ηλεκτρονικής απάτης
-στην εκτεταμένη έρευνα που απαιτείται για τη διερεύνηση των συναφών περιστατικών
-στο γεγονός ότι η δημιουργία αντιγράφων των καταγεγραμμένων τηλεφωνικών κλήσεων απαιτεί πρόσβαση κατάλληλα εξουσιοδοτημένου προσωπικού σε συγκεκριμένες υποδομές της Τράπεζας, η οποία δεν ήταν εφικτή καθημερινά λόγω των ρυθμίσεων τηλεργασίας.
Επιπλέον, η Τράπεζα επισημαίνει ότι στις περιπτώσεις των υπό κρίση καταγγελιών η Τράπεζα έλαβε όλα τα προβλεπόμενα από τις πολιτικές της μέτρα για την πρόληψη της απάτης, χωρίς αυτή να είναι πάντα εφικτή λόγω παραγόντων που εκφεύγουν της σφαίρας επιρροής της, τονίζοντας όμως ότι καθ’ όλη τη διάρκεια διερεύνησης των υποθέσεων των καταγγελλόντων, η Τράπεζα τους ενημέρωνε για την πορεία τους και ανταποκρίθηκε στα αιτήματά τους για χορήγηση των πληροφοριών που τους αφορούσαν. Συμπληρωματικά, η Τράπεζα αναφέρει ότι η συμμόρφωσή της με το ισχύον νομοθετικό πλαίσιο για την προστασία προσωπικών δεδομένων αποτελεί κύριο μέλημά της διαχρονικά και στο πλαίσιο αυτό επανεξετάζει διαρκώς τις εσωτερικές της διαδικασίες, παρέχει διαρκώς οδηγίες στο προσωπικό της για την ταχύτερη διεκπεραίωση των αιτημάτων τους, έχει ενισχύσει με προσωπικό τις Μονάδες που είναι αρμόδιες για την υποδοχή και τον χειρισμό σχετικών αιτημάτων, έχει προχωρήσει σε αναβάθμιση των εσωτερικών συστημάτων και εφαρμογών της ώστε τα αιτήματα αμφισβήτησης συναλλαγών να υποβάλλονται άμεσα και μέσω της εφαρμογής internet και mobile banking. Τέλος, δηλώνει ότι υπό το πρίσμα επισκόπησης των εν λόγω υποθέσεων προτίθεται να επανεξετάσει τις εσωτερικές της διαδικασίες σχετικά με τη διαχείριση αιτημάτων πρόσβασης, λαμβάνοντας υπόψη τις εξελίξεις σε ευρωπαϊκό επίπεδο (όπως τις Κατευθυντήριες Γραμμές 1/2022 του ΕΣΠΔ) και θα δρομολογηθεί εκ νέου στοχευμένη ενημέρωση στις αρμόδιες Μονάδες της.
Η Αρχή, μετά από εξέταση των στοιχείων του φακέλου και αφού άκουσε τον εισηγητή και τις διευκρινίσεις από τη βοηθό εισηγητή, μετά από διεξοδική συζήτηση
ΣΚΕΦΤΗΚΕ ΣΥΜΦΩΝΑ ΜΕ ΤΟ ΝΟΜΟ
1. Από τις διατάξεις των άρθρων 51 και 55 του Γενικού Κανονισμού Προστασίας Δεδομένων (Κανονισμού (ΕΕ) 2016/679 – εφεξής, ΓΚΠΔ) και του άρθρου 9 του νόμου 4624/2019 (ΦΕΚ Α΄ 137) προκύπτει ότι η Αρχή έχει αρμοδιότητα να εποπτεύει την εφαρμογή των διατάξεων του ΓΚΠΔ, του νόμου αυτού και άλλων ρυθμίσεων που αφορούν την προστασία του ατόμου από την επεξεργασία προσωπικών δεδομένων. Ειδικότερα, από τις διατάξεις των άρθρων 57 παρ. 1 στοιχ. στ΄ του ΓΚΠΔ και 13 παρ. 1 στοιχ. ζ΄ του Ν. 4624/2019 προκύπτει ότι η Αρχή έχει αρμοδιότητα να επιληφθεί των ανωτέρω καταγγελιών για παραβίαση του δικαιώματος πρόσβασης σε προσωπικά δεδομένα, ενώ από τις διατάξεις των άρθρων 57 παρ. 1 στοιχ. α’ και η’ του ΓΚΠΔ και 13 παρ. 1 στοιχ. η’ του Ν. 3624/2019 προκύπτει ότι η Αρχή έχει παράλληλα αρμοδιότητα να ερευνήσει αυτεπαγγέλτως τη συμμόρφωση της Εθνικής Τράπεζας με τις διατάξεις των άρθρων 24 παρ. 1, 12 και 15 του ΓΚΠΔ και να ασκήσει, αντίστοιχα, τις εξουσίες που της απονέμονται από τις διατάξεις των άρθρων 58 του ΓΚΠΔ και 15 του νόμου 4624/2019.
2. Με το άρθρο 5 παρ. 1 ΓΚΠΔ τίθενται οι αρχές που πρέπει να διέπουν μια επεξεργασία. Σύμφωνα με το άρθρο 5 παρ. 1 α) ΓΚΠΔ «1. Τα δεδομένα προσωπικού χαρακτήρα: α) υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων («νομιμότητα, αντικειμενικότητα και διαφάνεια»), […]. Περαιτέρω, σύμφωνα με την αρχή της λογοδοσίας που ορίζεται ρητώς στην δεύτερη παράγραφο του ιδίου άρθρου, ο υπεύθυνος επεξεργασίας «φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση με την παράγραφο 1 («λογοδοσία»)». Η αρχή αυτή συνεπάγεται την υποχρέωση του υπευθύνου επεξεργασίας να δύναται να αποδείξει συμμόρφωση με τις αρχές του άρθ. 5 παρ. 1.
3. Σύμφωνα με τις διατάξεις του άρθρου 15 παρ. 1 και 3 ΓΚΠΔ: «1. Το υποκείμενο των δεδομένων έχει το δικαίωμα να λαμβάνει από τον υπεύθυνο επεξεργασίας επιβεβαίωση για το κατά πόσον ή όχι τα δεδομένα προσωπικού χαρακτήρα που το αφορούν υφίστανται επεξεργασία και, εάν συμβαίνει τούτο, το δικαίωμα πρόσβασης στα δεδομένα προσωπικού χαρακτήρα […]. 3. Ο υπεύθυνος επεξεργασίας παρέχει αντίγραφο των δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία. Για επιπλέον αντίγραφα που ενδέχεται να ζητηθούν από το υποκείμενο των δεδομένων, ο υπεύθυνος επεξεργασίας μπορεί να επιβάλει την καταβολή εύλογου τέλους για διοικητικά έξοδα. Εάν το υποκείμενο των δεδομένων υποβάλλει το αίτημα με ηλεκτρονικά μέσα και εκτός εάν το υποκείμενο των δεδομένων ζητήσει κάτι διαφορετικό, η ενημέρωση παρέχεται σε ηλεκτρονική μορφή που χρησιμοποιείται συνήθως». Η ορθή και έγκαιρη ικανοποίηση του δικαιώματος πρόσβασης των υποκειμένων αποτελεί κρίσιμο στοιχείο για τη διαφάνεια της επεξεργασίας. Όπως επισημαίνεται στις Κατευθυντήριες Γραμμές 1/2022 του ΕΣΠΔ για το δικαίωμα πρόσβασης ,το δικαίωμα αυτό δεν πρέπει να θεωρείται μεμονωμένο, καθώς συνδέεται στενά με άλλες προβλέψεις του Κανονισμού, ιδίως με τις αρχές προστασίας προσωπικών δεδομένων, συμπεριλαμβανομένης της νομιμότητας και αντικειμενικότητας της επεξεργασίας, της υποχρέωσης διαφάνειας του υπευθύνου επεξεργασίας, και με τα υπόλοιπα δικαιώματα του υποκειμένου των δεδομένων που προβλέπονται στο κεφάλαιο 3 του ΓΚΠΔ.Περαιτέρω, δεν έχει σημασία για ποιο σκοπό το υποκείμενο ασκεί το δικαίωμα πρόσβασης. Όπως δε έχει κρίνεi η Αρχή, ο ΓΚΠΔ δεν θέτει προϋποθέσεις για την άσκησή του, η οποία συνδέεται με τη δυνατότητα του υποκειμένου να έχει επίγνωση της επεξεργασίας και να επαληθεύει τη νομιμότητα της επεξεργασίας (βλ. Αιτιολογική Σκέψη 63 ΓΚΠΔ, απόφαση ΑΠΔ 1/2022), χωρίς όμως να περιορίζεται στον σκοπό αυτό, όπως επιβεβαίωσε προσφάτως με απόφασή του το ΔΕΕ (βλ. απόφαση C-307/22, §§29-52). Έτσι δεν απαιτείται η επίκληση των λόγων για τους οποίους το υποκείµενο των δεδοµένων επιθυµεί την άσκηση του δικαιώµατος πρόσβασης (βλ. και αποφάσεις ΑΠΔ 36/2021, 2/2020 και 16/2017 σκ. 3). Το ίδιο επισημαίνεται εξάλλου και στις προαναφερόμενες Κατευθυντήριες Γραμμές 1/2022 του ΕΣΠΔ για το δικαίωμα πρόσβασης (βλ. ιδίως παρ. §13: “…. the aim of the right of access is not suitable to be analysed as a precondition for the exercise of the right of access by the controller as part of its assessment of access requests. Thus, controllers should not assess “why” the data subject is requesting access, but only “what” the data subject is requesting”).
4. Περαιτέρω, σύμφωνα με τις Κατευθυντήριες Γραμμές της ΟΕ 29 σχετικά με τη διαφάνεια (WP260 rev.01) κατά την ενημέρωση των υποκειμένων σύμφωνα με τα άρθρα 13-14 ΓΚΠΔ, οι παρεχόμενες πληροφορίες θα πρέπει να είναι συγκεκριμένες και οριστικές: «Η χρήση γλωσσικών προσδιορισμών όπως «ενδέχεται», «ορισμένος», «συχνά» και «πιθανός» θα πρέπει επίσης να αποφεύγεται. Όταν οι υπεύθυνοι επεξεργασίας δεδομένων επιλέγουν να χρησιμοποιούν αόριστη διατύπωση, θα πρέπει να είναι σε θέση, σύμφωνα με την αρχή της λογοδοσίας, να αποδεικνύουν τον λόγο για τον οποίο η χρήση τέτοιας διατύπωσης δεν ήταν δυνατό να αποφευχθεί και γιατί δεν υπονομεύει τη νομιμότητα της επεξεργασίας» (§ 13). O κανόνας αυτός για τον ίδιο λόγο πρέπει να διέπει και την ενημέρωση που λαμβάνουν τα υποκείμενα ως απάντηση σε σχετικό αίτημα πρόσβασης κατά το άρθρο 15 ΓΠΚΔ, αφού όπως επισημαίνεται «Η αρχή της λογοδοσίας όσον αφορά τη διαφάνεια δεν ισχύει μόνο κατά το σημείο της συλλογής δεδομένων προσωπικού χαρακτήρα, αλλά και καθ’ όλη τη διάρκεια του κύκλου ζωής της επεξεργασίας ανεξάρτητα από τις πληροφορίες που παρέχονται ή την επικοινωνία που πραγματοποιείται» (§ 29). Όσον αφορά την ενημέρωση των υποκειμένων στο πλαίσιο των άρθρων 13-14 ΓΚΠΔ ειδικά για τους αποδέκτες των δεδομένων, συστήνονται τα εξής: «Πρέπει να παρέχονται τα ονόματα των αποδεκτών των δεδομένων προσωπικού χαρακτήρα ή οι κατηγορίες αποδεκτών. Σύμφωνα με την αρχή της νομιμότητας, οι υπεύθυνοι επεξεργασίας πρέπει να παρέχουν σχετικά με τους αποδέκτες τις πλέον σημαντικές για τα υποκείμενα των δεδομένων πληροφορίες. Στην πράξη, θα πρόκειται σε γενικές γραμμές για τα ονόματα των αποδεκτών, ώστε να υποκείμενα των δεδομένων να γνωρίζουν επακριβώς ποιος έχει στην κατοχή του τα δεδομένα προσωπικού χαρακτήρα τους. Εάν οι υπεύθυνοι επεξεργασίας επιλέγουν να παράσχουν τις κατηγορίες των αποδεκτών, οι πληροφορίες θα πρέπει είναι όσο το δυνατόν πιο συγκεκριμένες και να αναφέρουν τον τύπο του αποδέκτη (δηλ., με αναφορά στις δραστηριότητες που εκτελεί), τον κλάδο, τον τομέα, τον επιμέρους τομέα και την τοποθεσία των αποδεκτών» (βλ. πίνακα σελ. 49-50, WP260 rev.01). Βλ. και τις Κατευθυντήριες Γραμμές 1/2022 του ΕΣΠΔ για το δικαίωμα πρόσβασης, §115 και εκεί αναφερόμενο παράδειγμα: «… ήδη υπό το άρθρο 13/14 ΓΚΠΔ οι πληροφορίες σχετικά με τους αποδέκτες ή τις κατηγορίες αποδεκτών πρέπει να είναι όσο πιο συγκεκριμένες είναι δυνατόν από πλευράς τήρησης των αρχών της διαφάνειας και της νομιμότητας. Ο υπεύθυνος επεξεργασίας θα πρέπει να κατονομάσει τους πραγματικούς αποδέκτες εκτός εάν θα ήταν δυνατό μόνο να προσδιορίσει την κατηγορία αποδεκτών. Σε κάθε περίπτωση, κάποιες φορές δεν είναι ακόμα δυνατό να κατονομαστούν οι πραγματικοί αποδέκτες κατά το χρόνο της παροχής πληροφοριών σύμφωνα με τα άρθρα 13 και 14 ΓΚΠΔ, παρά μόνο σε επόμενο στάδιο, για παράδειγμα, όταν υποβάλλεται ένα αίτημα πρόσβασης».Σύμφωνα με τα παραπάνω, στην περίπτωση που το υποκείμενο ασκεί το δικαίωμα πρόσβασής του όσον αφορά τους αποδέκτες, σε χρόνο μεταγενέστερο της αρχικής ενημέρωσης, δηλαδή σε χρόνο κατά τον οποίο έχει ήδη πραγματοποιηθεί η διαβίβαση των δεδομένων του σε συγκεκριμένους αποδέκτες, ο Υπεύθυνος Επεξεργασίας θα πρέπει να κατονομάσει τους εν λόγω συγκεκριμένους αποδέκτες, ώστε το υποκείμενο να είναι σε θέση, εφόσον επιθυμεί, να ασκήσει περαιτέρω δικαιώματά του απευθυνόμενο προς αυτούς.
5. Επιπλέον, σύμφωνα με το άρθρο 12 παρ. 2 ΓΚΠΔ «Ο υπεύθυνος επεξεργασίας διευκολύνει την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων που προβλέπονται στα άρθρα 15 έως 22. (…)», ενώ η παρ. 3 του ιδίου άρθρου ορίζει την προθεσμία ανταπόκρισης στα αιτήματα πρόσβασης σε 30 ημέρες, κατά κανόνα: «Ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων πληροφορίες για την ενέργεια που πραγματοποιείται κατόπιν αιτήματος δυνάμει των άρθρων 15 έως 22 χωρίς καθυστέρηση και σε κάθε περίπτωση εντός μηνός από την παραλαβή του αιτήματος. Η εν λόγω προθεσμία μπορεί να παραταθεί κατά δύο ακόμη μήνες, εφόσον απαιτείται, λαμβανομένων υπόψη της πολυπλοκότητας του αιτήματος και του αριθμού των αιτημάτων. Ο υπεύθυνος επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων για την εν λόγω παράταση εντός μηνός από την παραλαβή του αιτήματος, καθώς και για τους λόγους της καθυστέρησης. Εάν το υποκείμενο των δεδομένων υποβάλλει το αίτημα με ηλεκτρονικά μέσα, η ενημέρωση παρέχεται, εάν είναι δυνατόν, με ηλεκτρονικά μέσα, εκτός εάν το υποκείμενο των δεδομένων ζητήσει κάτι διαφορετικό». Σύμφωνα δε με την αιτιολογική σκέψη 59 του Κανονισμού «Θα πρέπει να προβλέπονται τρόποι για να διευκολύνεται το υποκείμενο των δεδομένων να ασκεί τα δικαιώματά του κατά τον παρόντα κανονισμό, μεταξύ άλλων μηχανισμοί με τους οποίους να ζητείται και, κατά περίπτωση, να αποκτάται δωρεάν, ιδίως, πρόσβαση σε δεδομένα προσωπικού χαρακτήρα και διόρθωση ή διαγραφή αυτών και να ασκείται το δικαίωμα προβολής αντιρρήσεων. Ο υπεύθυνος επεξεργασίας θα πρέπει επίσης να παρέχει τα μέσα για ηλεκτρονική υποβολή των αιτημάτων, ιδίως όταν δεδομένα προσωπικού χαρακτήρα υφίστανται επεξεργασία με ηλεκτρονικά μέσα. Ο υπεύθυνος επεξεργασίας θα πρέπει να υποχρεούται να απαντά σε αιτήματα του υποκειμένου των δεδομένων αμελλητί και το αργότερο εντός μηνός και να παρέχει αιτιολογία, όταν δεν προτίθεται να συμμορφωθεί προς τυχόν τέτοια αιτήματα».
6. Σύμφωνα με το άρθρο 24 παρ. 1 και 2 του ΓΚΠΔ, «1. Λαμβάνοντας υπόψη τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τον παρόντα κανονισμό. Τα εν λόγω μέτρα επανεξετάζονται και επικαιροποιούνται όταν κρίνεται απαραίτητο. 2. Όταν δικαιολογείται σε σχέση με τις δραστηριότητες επεξεργασίας, τα μέτρα που αναφέρονται στην παράγραφο 1 περιλαμβάνουν την εφαρμογή κατάλληλων πολιτικών για την προστασία των δεδομένων από τον υπεύθυνο επεξεργασίας». Βάσει των ανωτέρω καθίσταται σαφές ότι είναι σημαντική η θέσπιση κατάλληλων διαδικασιών και πολιτικών που θα εξασφαλίζουν τον έγκαιρο και αποτελεσματικό χειρισμό αιτημάτων υποκειμένων των δεδομένων για την άσκηση δικαιωμάτων τους βάσει του ΓΚΠΔ, ιδίως από υπεύθυνους επεξεργασίας που επεξεργάζονται συστηματικά προσωπικά δεδομένα σε μεγάλη κλίμακα, για ποικίλους διαφορετικούς σκοπούς, λόγω του πεδίου δραστηριότητάς τους. Σε περιπτώσεις δε που, λόγω της φύσης της επεξεργασίας, το υποκείμενο ενδέχεται να υποστεί βλάβη από την καθυστέρηση στην ικανοποίηση των δικαιωμάτων του, αυτό θα πρέπει να λαμβάνεται ιδιαιτέρως υπόψη κατά την κατάρτιση των σχετικών πολιτικών και διαδικασιών, κατά ρητή επιταγή του άρθρου 24 παρ. 1 ΓΚΠΔ. Εξάλλου, σύμφωνα με το άρθρο 25 παρ. 1 ΓΚΠΔ «Λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων από την επεξεργασία, ο υπεύθυνος επεξεργασίας εφαρμόζει αποτελεσματικά, τόσο κατά τη στιγμή του καθορισμού των μέσων επεξεργασίας όσο και κατά τη στιγμή της επεξεργασίας, κατάλληλα τεχνικά και οργανωτικά μέτρα, όπως η ψευδωνυμοποίηση, σχεδιασμένα για την εφαρμογή αρχών προστασίας των δεδομένων, όπως η ελαχιστοποίηση των δεδομένων, και την ενσωμάτωση των απαραίτητων εγγυήσεων στην επεξεργασία κατά τρόπο ώστε να πληρούνται οι απαιτήσεις του παρόντος κανονισμού και να προστατεύονται τα δικαιώματα των υποκειμένων των δεδομένων». Παράλληλα, η αποτελεσματικότητα των ληφθέντων μέτρων θα πρέπει να ελέγχεται τακτικά με βάση την ανατροφοδότηση που λαμβάνεται από τα επηρεαζόμενα υποκείμενα και σε περίπτωση που αυτό κρίνεται σκόπιμο, οι σχετικές διαδικασίες και πολιτικές του υπευθύνου επεξεργασίας θα πρέπει να αναδιαμορφώνονται κατάλληλα, π.χ. με την επανεκπαίδευση του υπάρχοντος προσωπικού ή με την πρόσληψη επιπλέον υπαλλήλων, εφόσον αυτό απαιτείται, ώστε να εξασφαλίζεται σε κάθε περίπτωση η εκπλήρωση των ανωτέρω στόχων του Γενικού Κανονισμού προς όφελος των υποκειμένων. Όπως, εξάλλου, αναφέρεται στις ως άνω Κατευθυντήριες Γραμμές του ΕΣΠΔ (1/2022), δεν θα πρέπει να γίνεται κατάχρηση της δυνατότητας παράτασης της προθεσμίας ανταπόκρισης κατά δύο μήνες. Αν οι υπεύθυνοι επεξεργασίας βρίσκονται συχνά στη θέση να αναγκάζονται να επεκτείνουν την ανωτέρω προθεσμία, αυτό θα μπορούσε να αποτελεί ένδειξη ότι απαιτείται τροποποίηση και βελτίωση των γενικών πρακτικών τους ως προς τον χειρισμό αιτημάτων άσκησης δικαιωμάτων βάσει του ΓΚΠΔ.Σε καμία περίπτωση οι εσωτερικές πολιτικές που εφαρμόζει ο υπεύθυνος επεξεργασίας, όπως για παράδειγμα οι ρυθμίσεις τηλεργασίας των υπαλλήλων του, δεν θα πρέπει να έχουν ως αποτέλεσμα την υπονόμευση της προστασίας των δικαιωμάτων των υποκειμένων των δεδομένων.
7. Εν προκειμένω, από την εξέταση του συνόλου των στοιχείων του φακέλου των ανωτέρω υποθέσεων και κατόπιν της ακροαματικής διαδικασίας, διαπιστώνονται τα εξής:
Εν όψει εφαρμογής του ΓΚΠΔ, τον Μάιο του 2018, η Εθνική Τράπεζα υιοθέτησε την Πολιτική Διαχείρισης Δεδομένων Προσωπικού Χαρακτήρα, η οποία επικαιροποιήθηκε τον Μάιο του 2022. Η εν λόγω Πολιτική περιλαμβάνει περιγραφή των δραστηριοτήτων επεξεργασίας προσωπικών δεδομένων της Τράπεζας, κατανομή αρμοδιοτήτων, αναφορά στις υποχρεώσεις της τράπεζας και στην εκπαίδευση του προσωπικού. Στο κείμενο της Πολιτικής γίνεται αναφορά στις αρχές του ΓΚΠΔ και στις συναφείς υποχρεώσεις της Τράπεζας ως Υπευθύνου Επεξεργασίας. Επιπλέον εξέδωσε την υπηρεσιακή εγκύκλιο Β’ 85/24.05.2018 με θέμα «Έναρξη εφαρμογής του νέου πλαισίου αναφορικά με την προστασία των Φυσικών Προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα (Γενικός Κανονισμός για την Προστασία Δεδομένων – ΓΚΠΔ)» (Συν. 3 υπομνήματος), με την οποία ενημέρωσε το προσωπικό της για τη θέση σε εφαρμογή του ΓΚΠΔ και παρείχε κατευθύνσεις ως προς τη συμμόρφωση της Τράπεζας, μεταξύ των οποίων και οδηγίες για τη διαχείριση των αιτημάτων πελατών για την άσκηση των δικαιωμάτων τους που απορρέουν από τον ΓΚΠΔ, και την καταχώρισή τους στο ειδικό σύστημα που δημιουργήθηκε σχετικά (Σύστημα Διαχείρισης Αιτημάτων GDPR). Επιπλέον, σύμφωνα με την Τράπεζα, έχει σχεδιαστεί το υποχρεωτικό εκπαιδευτικό σεμινάριο «Προστασία του Ατόμου από την Επεξεργασία Δεδομένων Προσωπικού Χαρακτήρα» που απευθύνεται στο προσωπικό της, με ειδικές ενότητες που αφορούν στα ζητήματα άσκησης δικαιωμάτων των υποκειμένων (βλ. σχετικές αποτυπώσεις οθόνης ως Συν. 6). Τα έγγραφα αυτά αναφέρουν «ημερομηνία ενημέρωσης: 13/12/2022», ενώ δεν διευκρινίστηκε από την Τράπεζα αν τα εν λόγω σεμινάρια έχει παρακολουθήσει το σύνολο του προσωπικού της ή μέρος του και σε ποιο χρονικό σημείο.
Κατά τα έτη 2021-2022 και στις αρχές του έτους 2023 υποβλήθηκαν στην Αρχή αρκετές καταγγελίες υποκειμένων των δεδομένων κατά της Εθνικής Τράπεζας για παραβίαση του δικαιώματος πρόσβασης σε προσωπικά τους δεδομένα. Σε κάποιες περιπτώσεις, στις οποίες το δικαίωμα ικανοποιήθηκε με καθυστέρηση μεν, αλλά πριν οποιαδήποτε παρέμβαση της Αρχής, οι σχετικές υποθέσεις τέθηκαν στο αρχείο ως άνευ αντικειμένου. Με την απόφαση 36/2021 επιβλήθηκε στην Τράπεζα πρόστιμο ύψους 20.000 ευρώ για παραβίαση του άρθρου 15 ΓΚΠΔ, ενώ σε άλλη περίπτωση, αφού διαπιστώθηκε ότι η καθυστέρηση οφειλόταν στα μέτρα αντιμετώπισης της πανδημίας Covid-19 και στους σχετικούς περιορισμούς στη λειτουργία της Τράπεζας το 2021, εστάλη το .../07-02-2023 έγγραφο (βλ. ανωτέρω, σελ. 12) με το οποίο η Αρχή επέστησε την προσοχή στην Τράπεζα για το ότι οφείλει να τηρεί τις υποχρεώσεις της που απορρέουν από τα άρθρα 12 παρ. 3 και 15 ΓΚΠΔ, μεριμνώντας για τη λήψη κατάλληλων οργανωτικών και τεχνικών μέτρων και επανεξετάζοντας τα μέτρα αυτά, όπου είναι απαραίτητο.
8. Όσον αφορά ειδικότερα τις εδώ επτά (7) συνεξεταζόμενες υποθέσεις, προέκυψαν τα εξής:
1. …: Τα δεδομένα που ζήτησε ο καταγγέλλων χορηγήθηκαν μερικώς (οι συμβάσεις του) μετά την επίδοση αγωγής, ενώ οι ηχογραφημένες συνομιλίες που ζήτησε του χορηγήθηκαν 7 μήνες μετά την υποβολή του αιτήματος. Θα πρέπει να ληφθεί ιδιαιτέρως υπόψη η ύπαρξη δικαστικής αντιδικίας μεταξύ του καταγγέλλοντος και της Τράπεζας, στο πλαίσιο της οποίας η Τράπεζα χρησιμοποίησε προσωπικά δεδομένα του καταγγέλλοντος, τα οποία ο ίδιος προηγουμένως είχε ζητήσει και δεν του είχαν χορηγηθεί ακόμη και μετά την πάροδο της προθεσμίας για προσθήκη-αντίκρουση, με αποτέλεσμα, εξαιτίας της καθυστέρησης ικανοποίησης του αιτήματος, ο τελευταίος να βρεθεί σε δυσμενέστερη αποδεικτική θέση και να υποστεί δικονομική βλάβη. Με το υπόμνημά της η Εθνική Τράπεζα δεν απάντησε στον ισχυρισμό του καταγγέλλοντος ότι με τον τρόπο αυτό βρέθηκε σε δυσμενέστερη αποδεικτική θέση και υπέστη δικονομική βλάβη. Προφορικά κατά την ακρόαση οι εκπρόσωποι της Εθνικής αρνήθηκαν ότι η καθυστέρηση αυτή έγινε συνειδητά εκ μέρους της, ενώ ανέφεραν ότι η καθυστέρηση οφείλεται στο γεγονός ότι το αίτημα αρχικά διαβιβάστηκε σε λάθος υπηρεσία. Παρά ταύτα για την προστασία των δικονομικών συμφερόντων της Εθνικής Τράπεζας υπήρξε δυνατότητα έγκαιρης πρόσβασης στα σχετικά στοιχεία από την ίδια προκειμένου να αξιοποιηθούν στο δικαστήριο. Διαπιστώνεται, επομένως, παραβίαση του άρθρου 15 ΓΚΠΔ σε συνδυασμό με το άρθρο 12 παρ. 3 και 4 ΓΚΠΔ.
2. …: Το δικαίωμα πρόσβασης της καταγγέλλουσας ικανοποιήθηκε μεν πριν την κοινοποίηση της καταγγελίας εκ μέρους της Αρχής, όμως μετά την πάροδο 4,5 μηνών και μετά την εκ νέου υποβολή, γραπτά, και με εξώδικη δήλωση μετά την πάροδο μηνός από την αρχική υποβολή του αιτήματος της καταγγέλλουσας, η οποία υποστηρίζει ότι από την καθυστέρηση αυτή υπέστη ηθική βλάβη και καθυστέρησε να ασκήσει τις αξιώσεις της για την αποκατάσταση της ζημίας από τις μη εγκεκριμένες συναλλαγές. Εξάλλου, η τηλεργασία των υπαλλήλων και η αύξηση των αιτημάτων λόγω έξαρσης της ηλεκτρονικής απάτης που επικαλείται η Τράπεζα δεν συνιστούν λόγο άρσης των υποχρεώσεών της που απορρέουν από το άρθρο 12 του ΓΚΠΔ, αλλά, όπως έχει ήδη επισημανθεί στην Τράπεζα με το έγγραφο που αναφέρεται στην προηγούμενη σκέψη, οφείλει η ίδια να λαμβάνει τα αναγκαία μέτρα συμμόρφωσης στις απαιτήσεις του ΓΚΠΔ. Διαπιστώνεται, επομένως, παραβίαση του άρθρου 12 παρ. 3 και 4 ΓΚΠΔ.
3. …: Το αίτημα ικανοποιήθηκε σε 74 μέρες από την υποβολή του. Διαπιστώνεται παραβίαση του άρθρου 12 παρ. 3 και 4 ΓΚΠΔ αναφορικά με την ενημέρωση του καταγγέλλοντος για τους λόγους της καθυστέρησης και την ανάγκη παράτασης, καθώς το αίτημα αρχικά «καταχωρήθηκε ως παράπονο», γεγονός το οποίο οφείλεται σε ελλιπείς διαδικασίες, τεχνικά και οργανωτικά μέτρα και ελλιπή εκπαίδευση των υπαλλήλων που οδήγησαν στην αδυναμία αναγνώρισης ενός αιτήματος υποκειμένου των δεδομένων ως αιτήματος πρόσβασης.
4. …: Το αίτημα ικανοποιήθηκε μερικώς 5 μήνες μετά την άσκησή του (χορήγηση ηχογραφημένης κλήσης) και ως λόγο για την καθυστέρηση η Τράπεζα επικαλείται την τηλεργασία των υπαλλήλων της. Ο ισχυρισμός όμως αυτός δεν συνιστά λόγο άρσης των υποχρεώσεών της που απορρέουν από το άρθρο 12 του ΓΚΠΔ, αλλά, όπως έχει ήδη επισημανθεί στην Τράπεζα με το έγγραφο που αναφέρεται στην προηγούμενη σκέψη, οφείλει η ίδια να λαμβάνει τα αναγκαία μέτρα για τη συμμόρφωσή της στις απαιτήσεις του ΓΚΠΔ. Επιπλέον, προς απάντηση του ερωτήματος αναφορικά με τους ακριβείς αποδέκτες των δεδομένων του καταγγέλλοντος, η Τράπεζα δεν έδωσε σαφείς και συγκεκριμένες πληροφορίες, αλλά ανέφερε απλώς ότι «στο πλαίσιο πραγματοποίησης του επίμαχου εμβάσματος επεξεργάστηκε μόνο τα απαραίτητα για την εκτέλεση του εμβάσματος στοιχεία» (βλ. σκέψη 4 ανωτέρω). Επομένως διαπιστώνεται παραβίαση του άρθρου 15 ως προς την παράλειψη ενημέρωσης για τους αποδέκτες και του άρθρου 12 παρ. 3 και 4 ΓΚΠΔ.
5. ...: Το αίτημα ικανοποιήθηκε 4 μήνες μετά την άσκησή του και 2 μήνες μετά την υποβολή της καταγγελίας, χωρίς σχετική ενημέρωση. Ως λόγο η Τράπεζα επικαλείται την τηλεργασία των υπαλλήλων της, ο ισχυρισμός όμως αυτός δεν συνιστά λόγο άρσης των υποχρεώσεών της που απορρέουν από το άρθρο 12 του ΓΚΠΔ, αλλά, όπως έχει ήδη επισημανθεί στην Τράπεζα με το έγγραφο που αναφέρεται στην προηγούμενη σκέψη, οφείλει η ίδια να λαμβάνει τα αναγκαία μέτρα για τη συμμόρφωσή της στις απαιτήσεις του ΓΚΠΔ. Διαπιστώνεται, επομένως, παραβίαση του άρθρου 12 παρ. 3 και 4 ΓΚΠΔ.
6. …: Το αίτημα ικανοποιήθηκε 6 μήνες μετά την άσκησή του, 1 μήνα μετά την κοινοποίηση της καταγγελίας από την Αρχή στην Τράπεζα και μετά την παρέμβαση του Συνηγόρου του Καταναλωτή, χωρίς σχετική ενημέρωση της καταγγέλλουσας, πέρα από τα τυποποιημένα μηνύματα ότι το αίτημα βρίσκεται υπό επεξεργασία, και χωρίς να επικαλείται η Τράπεζα συγκεκριμένο λόγο για την καθυστέρηση. Διαπιστώνεται, επομένως, παραβίαση του άρθρου 12 παρ. 3 και 4 ΓΚΠΔ.
7. …: Το δικαίωμα ικανοποιήθηκε μερικώς, με καθυστέρηση (4 μήνες μετά την υποβολή του). Αναφορικά με μία συγκεκριμένη καταγεγραμμένη κλήση που ζητήθηκε, το δικαίωμα δεν ικανοποιήθηκε. Μετά την υποβολή νεότερου αιτήματος ειδικά ως προς αυτή την κλήση, παρότι η Τράπεζα δεν κατόρθωσε να την εντοπίσει, δεν πληροφόρησε σχετικά την καταγγέλλουσα. Αντ’ αυτού, κατέγραψε εκ νέου την ήδη χορηγηθείσα συνομιλία της σε άλλο CD, το οποίο και της παρέδωσε, χωρίς να την ενημερώσει ότι το CD δεν περιέχει τα ζητηθέντα προσωπικά της δεδομένα. Oι απαντήσεις που προσκομίζονται ως Συν. 11-Β (από 24/12/2022) και 11-Δ (24/01/2023) έχουν αποσταλεί μέσω e- mail στη διεύθυνση του άγνωστου δράστη (…), ο οποίος είχε προβεί στη σχετική αλλαγή μέσω των ρυθμίσεων e-banking της καταγγέλλουσας. Η Τράπεζα δεν παρείχε κάποια εξήγηση αναφορικά με την απουσία ενημέρωσης της καταγγέλλουσας για το γεγονός ότι μια συγκεκριμένη ζητηθείσα κλήση (από 3/12/2022) δεν είχε εντοπιστεί. Διαπιστώνεται, επομένως, παραβίαση των άρθρων 15 ΓΚΠΔ και 12 παρ. 3 και 4 ΓΚΠΔ.
Περαιτέρω, παρότι η Τράπεζα ισχυρίζεται ότι «καθ’ όλη τη διάρκεια διερεύνησης των υποθέσεων των καταγγελλόντων, τους ενημέρωνε για την πορεία των αιτημάτων τους», δεν προέκυψε ότι παρείχε συγκεκριμένα τις απαιτούμενες από το άρθρο 12 παρ. 4 ΓΚΠΔ πληροφορίες στους καταγγέλλοντες αλλά διαπιστώνεται, ότι απέστελλε απλώς ένα τυποποιημένο μήνυμα με το οποίο ανέφερε ότι το αίτημα βρίσκεται υπό επεξεργασία.
Ως εκ τούτου, η Αρχή διαπιστώνει στις αναφερόμενες ανωτέρω 7 περιπτώσεις παράβαση εκ μέρους της Εθνικής Τράπεζας, ως υπεύθυνου επεξεργασίας, του άρθρου 12 παρ. 3 και 4 ΓΚΠΔ σε συνδυασμό ως προς τις περιπτώσεις υπό στοιχ. 1, 4 και 7 με το άρθρο 15 ΓΚΠΔ, όπως προεκτέθηκε.
9. Περαιτέρω, βάσει των ανωτέρω προκύπτει ότι οι τηρούμενες εκ μέρους της Τράπεζας διαδικασίες χειρισμού αιτημάτων πρόσβασης ήταν αναποτελεσματικές:
Σε 3 από τις εξεταζόμενες περιπτώσεις η Τράπεζα επικαλέστηκε τις ρυθμίσεις τηλεργασίας των εργαζομένων της, εξαιτίας των οποίων δεν ήταν εφικτή η πρόσβασή τους στις υποδομές, στις οποίες τηρούνται τα αρχεία καταγεγραμμένων συνομιλιών, σε κάποιες περιπτώσεις η Τράπεζα ανέφερε ότι τα αιτήματα δεν διαβιβάστηκαν ορθώς και εγκαίρως στα κατάλληλα τμήματά της, καθώς υποβλήθηκαν στο πλαίσιο περιστατικών αμφισβήτησης συναλλαγών, ενώ επικαλέστηκε ως επιχείρημα και τη μεγάλη αύξηση των συναφών αιτημάτων το τελευταίο διάστημα.
Σύμφωνα, εξάλλου, με το υπόμνημα της Εθνικής Τράπεζας, τον Δεκέμβριο του 2023 καταρτίστηκε η διαδικασία «Διαχείριση Αιτημάτων Άσκησης Δικαιωμάτων GDPR» (Συν. 4). Η διαδικασία αυτή φαίνεται να καταρτίστηκε μετά την υποβολή των εδώ εξεταζόμενων καταγγελιών και αφού εστάλη από την Αρχή εκ νέου τον Νοέμβριο του 2023 το .../06-02-2023 έγγραφο, για τον αυτεπάγγελτο έλεγχο των διαδικασιών της.
Επιπλέον, παρότι εκ μέρους της Τράπεζας τονίζεται ο θεωρητικά πολύ σημαντικός ρόλος του ΥΠΔ στην παρακολούθηση της συμμόρφωσης και στην επισήμανση σχετικών ζητημάτων, δεν προέκυψε ότι ο ΥΠΔ έχει προβεί σε συγκεκριμένες προτάσεις ή συμβουλές για τον χειρισμό των εξεταζόμενων υποθέσεων ούτε οποιαδήποτε συμβολή του ΥΠΔ στο πλαίσιο της καταγραφής των διαδικασιών και της επικαιροποίησης των πολιτικών της Τράπεζας.
Το γεγονός δε ότι παρά την ύπαρξη των παραπάνω καταγγελιών και τη διαπίστωση ότι σε όλες αυτές τις περιπτώσεις δεν τηρήθηκαν οι προθεσμίες του ΓΚΠΔ, η Τράπεζα κινητοποιήθηκε για την καταγραφή των σχετικών διαδικασιών της μόνο μετά τα δύο έγγραφα της Αρχής που της εφιστούσαν την προσοχή στο ζήτημα και την καλούσαν να αποδείξει τη συμμόρφωσή της με τα άρθρα 12 παρ. 2 και 24 παρ. 1 και 2 του ΓΚΠΔ, καταδεικνύει ότι από τη θέση σε εφαρμογή του ΓΚΠΔ και μέχρι την ημερομηνία εξέτασης της υπόθεσης κατά τη συνεδρίαση της Αρχής, η Τράπεζα δεν είχε συμμορφωθεί με αυτά, κατά τρόπο ανεπίτρεπτο δεδομένου του όγκου και της φύσης των προσωπικών δεδομένων που επεξεργάζεται, των πολλαπλών αιτημάτων πρόσβασης που αναμένεται να δέχεται λόγω του πεδίου δραστηριότητάς της και των πιθανών κινδύνων από την καθυστέρηση στην ικανοποίηση του δικαιώματος πρόσβασης, που είναι πολύ πιθανό να έχουν ως αποτέλεσμα οικονομικές συνέπειες για τα υποκείμενα (αδυναμία απόδειξης στο πλαίσιο αμφισβήτησης απατηλών συναλλαγών, αδυναμία διερεύνησης της απάτης κλπ.). Ακόμα η Τράπεζα δεν φαίνεται να έχει εντοπίσει συγκεκριμένες αιτίες της αδυναμίας συμμόρφωσής της, αλλά με το από 12/4/2024 υπόμνημά της αναφέρεται αορίστως σε μελλοντική επανεξέταση των διαδικασιών της: για παράδειγμα, αναφέρει ότι έχει ενισχύσει με προσωπικό τις Μονάδες που είναι αρμόδιες για την υποδοχή και τον χειρισμό σχετικών αιτημάτων, χωρίς να έχει προσδιορίσει πού οφείλεται ο εσφαλμένος χειρισμός στις ανωτέρω περιπτώσεις, αν λ.χ. αιτία ήταν η έλλειψη επαρκούς προσωπικού ή η απουσία κατανόησης του υπάρχοντος προσωπικού ή κάποια άλλη αιτία. Επιπλέον, αναφέρει ότι «υπό το πρίσμα επισκόπησης των εν λόγω υποθέσεων προτίθεται να επανεξετάσει τις εσωτερικές της διαδικασίες σχετικά με τη διαχείριση αιτημάτων πρόσβασης, λαμβάνοντας υπόψη τις εξελίξεις σε ευρωπαϊκό επίπεδο (όπως τις Κατευθυντήριες Γραμμές 1/2022 του ΕΣΠΔ) και θα δρομολογηθεί εκ νέου στοχευμένη ενημέρωση στις αρμόδιες Μονάδες της». Ωστόσο, το γεγονός ότι ως υπεύθυνος επεξεργασίας, η Τράπεζα άρχισε να δέχεται ασυνήθιστα μεγάλο αριθμό αιτημάτων πρόσβασης, αποτελεί παράγοντα που όφειλε να έχει ληφθεί υπόψη κατά τον σχεδιασμό και την επικαιροποίηση των σχετικών διαδικασιών εκ μέρους της ήδη από το χρονικό σημείο κατά το οποίο διαπιστώθηκε η αύξηση αυτή, φροντίζοντας να ανταποκριθεί στη νέα αυτή συνθήκη, λαμβανομένου υπόψη και του καθεστώτος εργασίας των υπαλλήλων της. Συγκεκριμένα, στο πλαίσιο της διαρκούς συμμόρφωσης με τον ΓΚΠΔ, η Τράπεζα όφειλε να έχει ήδη προβεί στην αξιολόγηση των αδυναμιών της, αρχικά όταν παρατηρήθηκε η («εκθετική», όπως αναφέρει) αύξηση των αιτημάτων πρόσβασης ως συνέπεια της έξαρσης της ηλεκτρονικής απάτης, ακολούθως όταν εντάθηκαν οι διαμαρτυρίες των πελατών της και σε κάθε περίπτωση όταν η Αρχή προέβη σε αυτεπάγγελτο έλεγχο των διαδικασιών της από το έτος 2023. Αντιθέτως, από τα πραγματικά περιστατικά προκύπτει ότι οι Πολιτικές της Τράπεζας αποτελούν θεωρητικά κείμενα τα οποία δεν εφαρμόζονται στην πράξη, παρά τις διαβεβαιώσεις της για το αντίθετο.
Δεδομένων των ανωτέρω, στο πλαίσιο του αυτεπάγγελτου ελέγχου των διαδικασιών της καταγγελλόμενης Τράπεζας, διαπιστώνεται παραβίαση του άρθρου 12 παρ. 2 ΓΚΠΔ σε συνδυασμό με το άρθρο 25 παρ. 1 ΓΚΠΔ.
10. Με βάση τα ανωτέρω, η Αρχή κρίνει ότι συντρέχει περίπτωση να ασκήσει τις κατά το άρθρο 58 παρ. 2 του ΓΚΠΔ διορθωτικές εξουσίες της σε σχέση με τις διαπιστωθείσες παραβάσεις.
i. Αναφορικά με την καταγγελία που αναφέρεται στο σημείο 1 της σκέψης 8 της παρούσας απόφασης, η Αρχή κρίνει ότι πρέπει, με βάση τις περιστάσεις που διαπιστώθηκαν, να επιβληθεί κατ’ εφαρμογή της διάταξης του άρθρου 58 παρ. 2 εδ. θ’ του ΓΚΠΔ, αποτελεσματικό, αναλογικό και αποτρεπτικό διοικητικό χρηματικό πρόστιμο, κατ’ άρθρο 83 του ΓΚΠΔ, όπως αναφέρεται στο διατακτικό της παρούσας απόφασης. Για την επιμέτρηση του προστίμου ελήφθησαν υπόψη τα κριτήρια που ορίζονται στο άρθρο 83 παρ. 2 του ΓΚΠΔ, η παρ. 5 εδ. β’ του ιδίου άρθρου που έχει εφαρμογή στην υπόθεση και ιδίως, το γεγονός ότι ενώ στον καταγγέλλοντα δεν είχαν χορηγηθεί τα ζητηθέντα εκ μέρους του προσωπικά του δεδομένα (καταγεγραμμένες τηλεφωνικές κλήσεις), χρησιμοποιήθηκαν από την Τράπεζα στο πλαίσιο της μεταξύ τους αντιδικίας.
ii. Αναφορικά με τις καταγγελίες που αναφέρονται στα σημεία 2-7 της σκέψης 8 της παρούσας, η Αρχή κρίνει ότι ως προς τις διαπιστωθείσες παραβάσεις του ΓΚΠΔ προσήκει να απευθύνει επίπληξη στην Εθνική Τράπεζα, σύμφωνα με το άρθρο 58 παρ. 2 εδ. β’ του ΓΚΠΔ και όχι διοικητικό πρόστιμο δεδομένου ότι τα πραγματικά περιστατικά των υποθέσεων αυτών αξιολογούνται αυτοτελώς παρακάτω σχετικά με τη γενικότερη συμμόρφωση της Τράπεζας προς τις υποχρεώσεις που απορρέουν από τα άρθρα 12 και 15 του ΓΚΠΔ, στο πλαίσιο διακριτής περίπτωσης ελέγχου.
iii. Αναφορικά με τη διαπιστωθείσα παράβαση του άρθρου 12 παρ. 2 ΓΚΠΔ σε συνδυασμό με το άρθρο 25 παρ. 1 ΓΚΠΔ η Αρχή κρίνει ότι πρέπει, με βάση τις περιστάσεις που διαπιστώθηκαν, να επιβληθεί κατ’ εφαρμογή της διάταξης του άρθρου 58 παρ. 2 εδ. θ’ του ΓΚΠΔ, αποτελεσματικό, αναλογικό και αποτρεπτικό διοικητικό χρηματικό πρόστιμο, κατ’ άρθρο 83 του ΓΚΠΔ. Για την επιμέτρηση του προστίμου, η Αρχή έλαβε υπόψη τα κριτήρια που ορίζονται στο άρθρο 83 παρ. 2 του ΓΚΠΔ, τις παραγράφους 4 εδ. α) και 5 εδ. β) του ίδιου άρθρου που έχουν εφαρμογή στην παρούσα υπόθεση, τις Κατευθυντήριες γραμμές για την εφαρμογή και τον καθορισμό διοικητικών προστίμων για τους σκοπούς του Κανονισμού 2016/679 που εκδόθηκαν στις 03-10-2017 από την Ομάδα Εργασίας του άρθρου 29 (WP 253) και τις Κατευθυντήριες γραμμές 04/2022 του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων για τον υπολογισμό των διοικητικών προστίμων στο πλαίσιο του Γενικού Κανονισμού, καθώς και τα πραγματικά δεδομένα της εξεταζόμενης υπόθεσης, ιδίως δε τα κριτήρια και τις ειδικές περιστάσεις που παρατίθενται στη συνέχεια:
• Ο μεγάλος αριθμός των επηρεαζόμενων υποκειμένων, ήτοι, δυνητικά όλο το πελατολόγιο της Τράπεζας, καθώς και τρίτα συναλλασσόμενα φυσικά πρόσωπα.
• Η μεγάλη διάρκεια της παράβασης, αφού διαπιστώνεται ότι αφορά το χρονικό διάστημα από την θέση σε εφαρμογή του ΓΚΠΔ (25/5/2018).
• Το γεγονός ότι η παράβαση αφορά τις κύριες δραστηριότητες του υπευθύνου επεξεργασίας.
• Το γεγονός ότι στην Τράπεζα έχει επιβληθεί στο παρελθόν κύρωση για παράβαση του δικαιώματος πρόσβασης.
• Το ότι η Τράπεζα αδιαφόρησε για την ορθή και έγκαιρη ικανοποίηση των δικαιωμάτων πρόσβασης για μεγάλο χρονικό διάστημα, επικαλούμενη τις τρέχουσες συνθήκες λόγω πανδημίας, προχώρησε δε σε διαμόρφωση σχετικών πολιτικών μόνο μετά τον σχετικό έλεγχο της Αρχής, ενώ αναφέρεται σε μελλοντική επανεξέταση των διαδικασιών της.
• Ότι ο τζίρος (ακαθάριστος κύκλος εργασιών) της Τράπεζας για το τελευταίο οικονομικό έτος (2023) ανήλθε σε περίπου 2,6 δις ευρώ
ΓΙΑ ΤΟΥΣ ΛΟΓΟΥΣ ΑΥΤΟΥΣ
Η ΑΡΧΗ
Α. Επιβάλλει στην Εθνική Τράπεζα της Ελλάδος Α.Ε., ως υπεύθυνο επεξεργασίας, με βάση το άρθρο 58 παρ. 2 εδ. θ’ του ΓΚΠΔ, διοικητικό πρόστιμο ύψους είκοσι χιλιάδων (20.000€) ευρώ, για τη διαπιστωθείσα παράβαση του κατά το άρθρο 15 παρ. 1 και 3 ΓΚΠΔ δικαιώματος πρόσβασης του καταγγέλλοντος …., σύμφωνα με όσα αναφέρονται στο σημείο i. της σκέψης 10 ανωτέρω.
Β. Απευθύνει στην Εθνική Τράπεζα της Ελλάδος Α.Ε., ως υπεύθυνο επεξεργασίας, με βάση το άρθρο 58 παρ. 2 εδ. β’ του ΓΚΠΔ, επίπληξη, για τις διαπιστωθείσες παραβάσεις του άρθρου 12 παρ. 3 και 4 ΓΚΠΔ σε συνδυασμό με το άρθρο 15 ΓΚΠΔ, στις περιπτώσεις των καταγγελιών που αναφέρονται στο σημείο ii. της σκέψης 10 ανωτέρω.
Γ. Επιβάλλει στην Εθνική Τράπεζα της Ελλάδος Α.Ε., ως υπεύθυνο επεξεργασίας, με βάση το άρθρο 58 παρ. 2 εδ. θ’ του ΓΚΠΔ, διοικητικό πρόστιμο ύψους διακοσίων χιλιάδων (200.000€) ευρώ, για τη διαπιστωθείσα παράβαση των άρθρων 12 παρ. 2 και 25 παρ. 1 ΓΚΠΔ, σύμφωνα με όσα αναφέρονται στο σημείο iii. της σκέψης 10 ανωτέρω.
Ο Πρόεδρος Η Γραμματέας
Κωνσταντίνος Μενουδάκος Ειρήνη Παπαγεωργοπούλου
anchor link
Εγγραφή
Εγγραφήκατε επιτυχώς στο newsletter!
Η εγγραφή στο newsletter απέτυχε. Παρακαλώ δοκιμάστε αργότερα.
Αρθρογραφία, Νομολογία ή Σχόλια | Άμεση ανάρτηση | Επώνυμη ή ανώνυμη | Προβολή σε χιλιάδες χρήστες σε όλη την Ελλάδα
Δημοσιεύστε