facebook
Αρχική Νομολογία Ανακοινώσεις Κυρώσεις σε Τράπεζα για παράβαση του δικαιώματος πρόσβασης σε πληροφορίες σχετικά με δεδομένα που αφορούσαν πελάτη της.

Κυρώσεις σε Τράπεζα για παράβαση του δικαιώματος πρόσβασης σε πληροφορίες σχετικά με δεδομένα που αφορούσαν πελάτη της.

Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα επέβαλε κυρώσεις σε Τράπεζα για παράβαση του δικαιώματος πρόσβασης σε πληροφορίες σχετικά με δεδομένα που αφορούσαν πελάτη της. Ειδικότερα, ο πελάτης κατήγγειλε ότι παρόλο που ζήτησε εγγράφως από την τράπεζα να του γνωστοποιήσει τα πρόσωπα τα οποία κατά συγκεκριμένο χρονικό διάστημα επεξεργάστηκαν τα στοιχεία τραπεζικού λογαριασμού του, ουδέποτε έλαβε απάντηση. Η Αρχή επέβαλε στην τράπεζα πρόστιμο ύψους 10.000 ευρώ για μη εκπλήρωση της υποχρέωσής της να απαντήσει στον προσφεύγοντα εντός της προβλεπόμενης προθεσμίας, καθώς και την κύρωση της προειδοποίησης να ικανοποιήσει το δικαίωμα πρόσβασής του εντός 5 ημερών από τη λήψη της απόφασης. Επιπλέον, της απηύθυνε περαιτέρω συστάσεις σχετικά με την ασφάλεια των δεδομένων των τραπεζικών λογαριασμών και τη διευκόλυνση των πελατών της όσον αφορά την απόδειξη άσκησης των προβλεπόμενων δικαιωμάτων τους πρόσβασης και αντίρρησης. 

 

Αθήνα, 12-12-2017 
 Αριθ. Πρωτ.: Γ/ΕΞ/2303-4/12-12-2017      
Α Π Ο Φ Α Σ Η   ΑΡ.   143 / 2017 
(Τµήµα) 
Η Αρχή Προστασίας ∆εδοµένων Προσωπικού Χαρακτήρα συνήλθε, µετά από πρόσκληση του 
Προέδρου της, σε τακτική συνεδρίαση στις 22-11-2017, σε συνέχεια της από 04-10-2017 
συνεδρίασης και εξ’ αναβολής από τη συνεδρίαση της 27-09-2017, προκειµένου να εξετάσει την υπόθεση που αναφέρεται στο ιστορικό της παρούσας. Παρέστησαν ο Αναπληρωτής Πρόεδρος Γεώργιος Μπατζαλέξης, κωλυοµένου του Προέδρου της Αρχής Κωνσταντίνου Μενουδάκου, και τα αναπληρωµατικά µέλη Παναγιώτης Ροντογιάννης, Χαράλαµπος Τσιλιώτης, ως εισηγητής, σε αναπλήρωση των τακτικών µελών Αντώνιου Συµβώνη και Σπυρίδωνα Βλαχόπουλου, αντίστοιχα, οι οποίοι, αν και εκλήθησαν νοµίµως εγγράφως, δεν παρέστησαν λόγω κωλύµατος. Επίσης, δεν παρέστησαν λόγω κωλύµατος, αν και εκλήθησαν νοµίµως εγγράφως, το τακτικό µέλος Χαράλαµπος Ανθόπουλος και το αναπληρωµατικό µέλος αυτού Γρηγόριος Τσόλιας. Παρούσα χωρίς δικαίωµα ψήφου ήταν η Θεοδώρα Τουτζιαράκη, ειδικός επιστήµονας – νοµικός ελεγκτής, ως βοηθός εισηγητή, και η Ειρήνη Παπαγεωργοπούλου, υπάλληλος του τµήµατος διοικητικών υποθέσεων, ως γραµµατέας.  
Η Αρχή έλαβε υπόψη τα παρακάτω: 
Με την υπ’ αριθµ. πρωτ. Γ/ΕΙΣ/2303/20-03-2017 προσφυγή του προς την Αρχή, όπως αυτή 
συµπληρώθηκε, ο A καταγγέλλει παράνοµη επεξεργασία προσωπικών του δεδοµένων και µη 
ικανοποίηση του δικαιώµατος πρόσβασής του από την τράπεζα Eurobank. Ειδικότερα, ο 
προσφεύγων αναφέρει ότι µε το από … 2017 ηλεκτρονικό µήνυµά του, ζήτησε από την Τράπεζα να του γνωστοποιήσει τα πρόσωπα, τα οποία κατά το χρονικό διάστηµα µεταξύ … 2015 και … 2015 επεξεργάστηκαν παρανόµως τα στοιχεία του αναφερόµενου στην ως άνω προσφυγή τραπεζικού λογαριασµού όψεως, τον οποίο τηρεί στην Τράπεζα και, συγκεκριµένα στο υπ’ αριθµ. … Υποκατάστηµα [περιοχής] Χ. Περαιτέρω, ο προσφεύγων αναφέρει ότι γνωρίζει µε ασφάλεια ότι τρίτα συγκεκριµένα πρόσωπα απέκτησαν παρανόµως γνώση των κινήσεων του ως άνω τραπεζικού του λογαριασµού µε τη συνδροµή συγκεκριµένου υπαλλήλου του ως άνω υποκαταστήµατος της Τράπεζας. Επίσης, ο προσφεύγων επισηµαίνει ότι, κατά το ανωτέρω χρονικό διάστηµα, ο ίδιος δεν πραγµατοποίησε καµία συναλλαγή µε το συγκεκριµένο υποκατάστηµα της Τράπεζας και ούτε κάποιο τραπεζικό προϊόν αιτήθηκε, έληγε ή του προσφέρθηκε και, τελικώς, δεν υπήρχε νόµιµος λόγος ή συγκατάθεση του προσφεύγοντος, προκειµένου ο συγκεκριµένος υπάλληλος να εξετάζει τις κινήσεις του τραπεζικού του λογαριασµού, πωλώ δε µάλλον να ανακοινώνει τα ευρήµατα αυτού σε τρίτα πρόσωπα. Επιπρόσθετα, σύµφωνα πάντα µε την ως άνω προσφυγή, η Τράπεζα απάντησε, 
αρχικά µε την από … 2017 επιστολή, µε την οποία τον πληροφόρησε ότι η υπόθεσή του τελεί
ακόµη υπό διαχείριση, ενώ µε την από … 2017 απάντησή της ουσιαστικά αρνήθηκε την παροχή οποιασδήποτε πληροφορίας, αναφέροντας αυτολεξεί «Πρόσβαση στους λογαριασµούς των πελατών της Τράπεζας έχουν αποκλειστικά και µόνο τα νοµίµως εξουσιοδοτηµένα αρµόδια όργανα αυτής.». 
Κατόπιν τούτου, ο προσφεύγων έστειλε στην Τράπεζα την από … 2017 εξώδικη δήλωση 
διαµαρτυρίας – πρόσκληση, µε την οποία ζήτησε από την Τράπεζα τα ακόλουθα (συνοπτικά):  
1) Πλήρη έγγραφη ενηµέρωση σχετικά µε την ως άνω παράνοµη επεξεργασία.  
2) Αντίγραφο έκθεσης ελέγχου την οποία η Τράπεζα όφειλε να συντάξει κατόπιν της από … 
καταγγελίας του, η οποία να αποδεικνύει ή να απορρίπτει τους ισχυρισµούς του περί αθέµιτης πρόσβασης στον τραπεζικό του λογαριασµό.  
3) Αντίγραφο, από το µηχανογραφικό της σύστηµα, των αρχείων καταγραφής του ως άνω 
λογαριασµού του, στα οποία να περιλαµβάνονται οι καταγεγραµµένες προσβάσεις υπαλλήλων της Τράπεζας κατά το ως άνω χρονικό διάστηµα διάρκειας τριών (3) ηµερών (από … έως και …) στον ως άνω τραπεζικό λογαριασµό.  
Στο πλαίσιο εξέτασης της ως άνω υπόθεσης, η Αρχή ζήτησε διευκρινίσεις από την Τράπεζα, οι οποίες υποβλήθηκαν εγγράφως κατόπιν αιτήµατός για παροχή παράτασης ως προς την προθεσµία απάντησης (βλ. το υπ’ αριθµ. πρωτ. Γ/ΕΞ/2303-1/18-05-2017 έγγραφο της Αρχής και την υπ’ αριθµ. πρωτ. Γ/ΕΙΣ/4779/21-06-2017 απάντηση της τράπεζας Eurobank, κατόπιν του υπ’ αριθµ. πρωτ. Γ/ΕΙΣ/4648/15-06-2017 αιτήµατος παράτασης). Ειδικότερα, η Τράπεζα διευκρίνισε ότι µε την από … 2017 επιστολή, αλλά και µε την από … 2017 εξώδικη απάντηση, η υπόθεση του προσφεύγοντος εξετάσθηκε από την Τράπεζα και δεν διαπιστώθηκε παραβίαση του τραπεζικού απορρήτου. Ειδικότερα, η Τράπεζα αναφέρει ότι κατά το επίµαχο διάστηµα διενεργήθηκε έλεγχος από τον Β, ∆ιευθυντή του Καταστήµατος (… υποκατάστηµα) [περιοχής] Χ, ύστερα από προγενέστερη αµφισβήτηση συναλλαγών. Σύµφωνα πάντα µε τους ισχυρισµούς της Τράπεζας, πελάτης της Τράπεζας ερώτησε τον Β γιατί χρεώθηκε ο λογαριασµός του µε ποσό …..  Ευρώ, το οποίο πιστώθηκε στο λογαριασµό του προσφεύγοντος. Κατά την Τράπεζα, τα στοιχεία του πελάτη που καλύπτονται από το απόρρητο των τραπεζικών καταθέσεων µπορούν να υποβληθούν στην Αρχή κατόπιν νόµιµης άρσης του τραπεζικού απορρήτου, ενώ θεωρεί ότι τα στοιχεία του είναι γνωστά στον καταγγέλλοντα. Περαιτέρω, η Τράπεζα αναφέρει ότι ο Β έλεγξε τον τελευταίο αυτό λογαριασµό για να επιβεβαιώσει τη πίστωση ποσού σε αυτόν. Τέτοιοι έλεγχοι επί λογαριασµών πελατών, κατά την άποψη της Τράπεζας, σαφώς εµπίπτουν στις αρµοδιότητες των εξουσιοδοτηµένων προς τούτο τραπεζικών υπαλλήλων, χωρίς να παραβιάζεται οιαδήποτε νοµοθετική διάταξη, ενώ το αίτηµα του προσφεύγοντος δεν πληρούσε τις τυπικές προϋποθέσεις άσκησης του δικαιώµατος πρόσβασης. Τέλος, η Τράπεζα σηµειώνει ότι προέβη στον έλεγχο των 
λογαριασµών αποκλειστικά προκειµένου να διαπιστώσει τη βασιµότητα ή µη της προβληθείσας από τον εµπλεκόµενο πελάτη της αµφισβήτησης της τραπεζικής συναλλαγής και δεν προέβη σε καµία περαιτέρω επεξεργασία. 
Ακολούθως, η τράπεζα Eurobank και ο προσφεύγων κλήθηκαν νοµίµως σε ακρόαση κατά τη 
συζήτηση της υπόθεσης ενώπιον της Αρχής στις … 2017 µε τις υπ’ αριθµ. πρωτ. Γ/ΕΞ/2303-2/15 09-2017 και Γ/ΕΞ/2303-3/15-09-2017 κλήσεις, αντίστοιχα, και, ενώ προσήλθαν, ο προσφεύγων ζήτησε αναβολή λόγω κωλύµατος στο πρόσωπο του πληρεξούσιου δικηγόρου του. Το αίτηµα αναβολής έγινε δεκτό και οι κληθέντες προσήλθαν εκ νέου στη συνεδρίαση της 04-10-2017. Ο προσφεύγων παραστάθηκε δια του πληρεξούσιου δικηγόρου του Γεωργίου Ιγνατιάδη και η τράπεζα Eurobank εκπροσωπήθηκε από την πληρεξούσια δικηγόρο ∆ήµητρα Γκίκα. Κατά τη συνεδρίαση, οι κατά τα άνω παραστάντες απάντησαν σε ερωτήσεις των µελών του Τµήµατος και εξέθεσαν τις απόψεις τους, τις οποίες ανέπτυξαν κατόπιν διεξοδικώς µε σχετικά υποµνήµατά τους, που κατατέθηκαν εντός της προθεσµίας που τους παρασχέθηκε (βλ. το υπ’ αριθµ. πρωτ. Γ/ΕΙΣ/7318/1210-2017 υπόµνηµα της τράπεζας Eurobank και το υπ’ αριθµ. πρωτ. Γ/ΕΙΣ/7352/13-10-2017 υπόµνηµα του προσφεύγοντος). 
Η Αρχή, µετά από εξέταση των στοιχείων του φακέλου της υπόθεσης, αφού άκουσε τον εισηγητή και τη βοηθό εισηγητή, η οποία παρέστη χωρίς δικαίωµα ψήφου και αποχώρησε µετά τη συζήτηση της υπόθεσης και πριν από τη διάσκεψη και τη λήψη απόφασης, και κατόπιν διεξοδικής συζήτησης, 
ΣΚΕΦΤΗΚΕ ΣΥΜΦΩΝΑ ΜΕ ΤΟ ΝΟΜΟ 
1. Στο άρθρο 2 στοιχ. α΄ και γ΄ του ν. 2472/1997 ορίζονται οι έννοιες των απλών δεδοµένων και του υποκειµένου αυτών αντίστοιχα, ενώ στο στοιχ. δ΄ του ίδιου άρθρου ορίζεται και η έννοια της επεξεργασίας, στην οποία συµπεριλαµβάνονται «η χρήση» και «κάθε άλλης µορφής διάθεση… ». Ακολούθως, στο άρθρο 4 του ν. 2472/1997 ορίζονται οι βασικές αρχές της επεξεργασίας, ενώ στο άρθρο 5 του ίδιου νόµου ορίζονται οι επιµέρους προϋποθέσεις για τη νοµιµότητά της. Επιπρόσθετα, στο άρθρο 10 του ίδιου νόµου ορίζονται οι υποχρεώσεις του υπεύθυνου επεξεργασίας και του εκτελούντος την επεξεργασία σχετικά µε το απόρρητο και την ασφάλεια της επεξεργασίας, από όπου προκύπτει ρητά ότι ουσιώδες στοιχείο της νόµιµης επεξεργασίας είναι η λήψη των κατάλληλων µέτρων ασφάλειας και ο έλεγχος αυτών από τον υπεύθυνο επεξεργασίας. Τα µέτρα ασφάλειας πρέπει α) να διασφαλίζουν ότι τα δεδοµένα χρησιµοποιούνται µόνον για τον εκάστοτε επιδιωκόµενο σκοπό και β) να εξασφαλίζουν επίπεδο ασφάλειας ανάλογο προς τους κινδύνους που συνεπάγεται η επεξεργασία και η φύση των δεδοµένων που είναι αντικείµενο της επεξεργασίας λαµβάνοντας υπόψη τις τεχνολογικές εξελίξεις και το κόστος (βλ., ενδεικτικά, Απόφαση 1/2015 της Αρχής). Περαιτέρω, το άρθρο 12 του ν. 2472/1997 καθιερώνει το δικαίωµα πρόσβασης του υποκειµένου στα δεδοµένα που το αφορούν µε κύριο σκοπό να βεβαιώνεται το υποκείµενο για την ακρίβεια και τον σύννοµο χαρακτήρα της επεξεργασίας των δεδοµένων του (βλ. αιτιολογική σκέψη 41 της Οδηγίας 95/46/ΕΚ). Ως εκ τούτου, για την ικανοποίηση του δικαιώµατος πρόσβασης δεν απαιτείται η επίκληση έννοµου συµφέροντος, αφού θεωρείται δεδοµένο το έννοµο συµφέρον (έστω και ηθικό) του υποκειµένου να λάβει γνώση πληροφοριών, οι οποίες το αφορούν και οι οποίες έχουν καταχωρηθεί σε αρχείο που τηρεί ο υπεύθυνος επεξεργασίας, έτσι ώστε να πραγµατώνεται η βασική αρχή του δικαίου για την προστασία των προσωπικών δεδοµένων, που συνίσταται στη διαφάνεια της επεξεργασίας ως προϋπόθεση κάθε περαιτέρω ελέγχου της νοµιµότητάς της εκ 
µέρους του υποκειµένου των δεδοµένων (βλ., ενδεικτικά, Αποφάσεις της Αρχής υπ’ αριθµ. 71/2013, 72/2013, 98/2014, 149/2014, 48/2015, 71/2015, 16/2017, 32/2017, 33/2017).  
2. Αναφορικά µε την υποχρέωση του υπεύθυνου επεξεργασίας να ικανοποιεί το δικαίωµα 
πρόσβασης εντός της προβλεπόµενης προθεσµίας των δεκαπέντε (15) ηµερών, διαπιστώνεται ότι, εν προκειµένω, η τράπεζα Εurobank δεν απάντησε εµπροθέσµως στον προσφεύγοντα αναφορικά µε το αίτηµά του να λάβει σαφείς πληροφορίες σχετικά µε τα δεδοµένα που τον αφορούν, καθώς και σχετικά µε οποιοδήποτε άλλο στοιχείο που αφορά στην περαιτέρω επεξεργασία αυτών, όπως π.χ. οι σκοποί της επεξεργασίας, οι αποδέκτες ή κατηγορίες αποδεκτών, η εξέλιξη της επεξεργασίας για το χρονικό διάστηµα από την προηγούµενη ενηµέρωσή του κ.α. (βλ. ιδίως άρθρο 12 παρ. 2 και 4 του ν. 2472/1997). Ειδικότερα, ο προσφεύγων άσκησε το δικαίωµα πρόσβασης α) για πρώτη φορά µε το από … ηλεκτρονικό µήνυµά του, στο οποίο η Τράπεζα απάντησε µε την από … επιστολή της κατά τρόπο γενικό και αόριστο («Πρόσβαση στους λογαριασµούς των πελατών της Τράπεζας έχουν αποκλειστικά και µόνο τα νοµίµως εξουσιοδοτηµένα αρµόδια όργανα αυτής.») και β) για δεύτερη φορά µε την από … εξώδικη δήλωση διαµαρτυρίας – πρόσκληση, στην οποία η Τράπεζα απάντησε µε την από … εξώδικη απάντηση κατόπιν παρέµβασης της Αρχής, όπως αναφέρεται και στο ιστορικό της παρούσας (βλ. υπ’ αριθµ. πρωτ. Γ/ΕΞ/2303-1/18-05-2017 έγγραφο της Αρχής προς την Τράπεζα και υπ’ αριθµ. πρωτ. Γ/ΕΙΣ/4779/21-06-2017 απάντηση της τελευταίας, κατόπιν του υπ’ αριθµ. πρωτ. Γ/ΕΙΣ/4648/15-06-2017 αιτήµατός της για παροχή παράτασης ως προς την προθεσµία απάντησης). Ο ισχυρισµός της Τράπεζας ότι το πρώτο από … 2017 ηλεκτρονικό αίτηµα του προσφεύγοντος ήταν αόριστο διότι αναφερόταν σε µεγάλο χρονικό διάστηµα (από … 2015 µέχρι της αποστολής του) δεν αίρει την υποχρέωσή της να απαντήσει εµπροθέσµως έστω και µε αυτή την αιτιολογία. Επίσης, το δεύτερο αίτηµα του προσφεύγοντος, αν και απόλυτα ορισµένο και σαφές, απαντήθηκε µετά από δυο (2) µήνες και µόνον κατόπιν παρέµβασης της Αρχής. Από τα παραπάνω προκύπτει ότι η Τράπεζα καθυστέρησε αδικαιολόγητα να ικανοποιήσει το δικαίωµα πρόσβασης του προσφεύγοντος, καθώς απάντησε ουσιαστικά ύστερα από τεσσερισήµισι µήνες, λαµβανοµένου υπόψη ότι ο προσφεύγων άσκησε για πρώτη φορά το δικαίωµα πρόσβασης µε το από … 2017 ηλεκτρονικό µήνυµά του, ενώ η Τράπεζα απάντησε στις … 2017. Συνεπώς η τράπεζα Eurobank δεν ικανοποίησε το δικαίωµα πρόσβασης του υποκειµένου κατά τους όρους του άρθρου 12 παρ. 4 του ν. 2472/1997, καθώς απάντησε µε αδικαιολόγητη χρονική καθυστέρηση και στα δυο 
αιτήµατα, ήτοι σχεδόν µετά από έναν µήνα στο πρώτο αίτηµα και µετά από δυο µήνες στο δεύτερο αίτηµα και µόνον κατόπιν παρέµβασης της Αρχής.   
3. Αναφορικά µε την υποχρέωση του υπεύθυνου επεξεργασίας να δίνει στο υποκείµενο των 
δεδοµένων ικανοποιητική απάντηση κατά την άσκηση του δικαιώµατος πρόσβασης, διαπιστώνεται ότι, εν προκειµένω, η τράπεζα Εurobank δεν απάντησε ικανοποιητικά στο αίτηµα του προσφεύγοντος να λάβει σαφείς πληροφορίες σχετικά µε τα δεδοµένα που τον αφορούν, καθώς και σχετικά µε οποιοδήποτε άλλο στοιχείο που αφορά στην περαιτέρω επεξεργασία των δεδοµένων του, όπως π.χ. οι σκοποί της επεξεργασίας, οι αποδέκτες ή κατηγορίες αποδεκτών, η εξέλιξη της επεξεργασίας για το χρονικό διάστηµα από την προηγούµενη ενηµέρωσή του κ.α. (βλ. ιδίως άρθρο 12 παρ. 2 και 4 του ν. 2472/1997). Ειδικότερα, όπως προαναφέρθηκε, η από … 2017 γενική και αόριστη απάντηση («Πρόσβαση στους λογαριασµούς των πελατών της Τράπεζας έχουν αποκλειστικά και µόνο τα νοµίµως εξουσιοδοτηµένα αρµόδια όργανα αυτής.») ουδόλως µπορεί να κριθεί ικανοποιητική, ενώ ο περαιτέρω ισχυρισµός της Τράπεζας ότι µε την από … 2017 εξώδικη απάντησή της ικανοποίησε πλήρως το δικαίωµα αυτό, κρίνεται απορριπτέος, καθώς η Τράπεζα 
οφείλει να αποκαλύψει τα στοιχεία τόσο του υπαλλήλου που εκτέλεσε την αναζήτηση στον 
τραπεζικό λογαριασµό του προσφεύγοντος όσο και του προσώπου που φέρεται να αµφισβήτησε τη συναλλαγή και στο οποίο, µάλιστα, όπως και η ίδια η Τράπεζα οµολογεί, αποκαλύφθηκαν δεδοµένα του προσφεύγοντος µε τη χορήγηση σε αυτό σχετικού αντιγράφου παραστατικού κατάθεσης, συνεπώς σαφώς πρόκειται για έναν νέο αποδέκτη για τον οποίο το υποκείµενο πρέπει να ενηµερωθεί. Ειδικότερα, η Τράπεζα αβάσιµα ισχυρίζεται ότι η αποκάλυψη προσωπικών δεδοµένων υπαλλήλων της δεν συµπεριλαµβάνεται στο περιεχόµενο του δικαιώµατος πρόσβασης, καθώς από τον ορισµό του «αποδέκτη» στην διάταξη του άρθρου 2 στοιχ. ι΄ του ν. 2472/1997 καθίσταται σαφές ότι αποδέκτης των δεδοµένων είναι  κ ά θ ε  πρόσωπο (φυσικό ή νοµικό) στο οποίο αυτά ανακοινώνονται ή µεταδίδονται, ανεξαρτήτως µάλιστα αν πρόκειται για τρίτο ή όχι, δηλαδή αποδέκτης µπορεί να είναι ένας απλός εργαζόµενος – υπάλληλος του υπεύθυνου επεξεργασίας, ένας νέος υπεύθυνος επεξεργασίας, ένας εκτελών την επεξεργασία ή κάποιος τρίτος. Κατά ρητή επιταγή του ν. 2472/1997, οι αποδέκτες πρέπει να γνωστοποιούνται ατοµικώς ο καθένας 
ή ανά κατηγορία τόσο στην Αρχή (βλ. άρθρο 6 παρ. στοιχ. στ΄ του ν. 2472/1997) όσο και στο 
υποκείµενο των δεδοµένων (βλ. άρθρο 11 παρ. 1 στοιχ. γ΄ και άρθρο 12 παρ. 2 στοιχ. β΄ του ν. 2472/1997), δηλαδή οι αποδέκτες θα πρέπει να καθίστανται ορισµένοι ή έστω οριστοί1, ώστε να αποσαφηνίζονται ο ρόλος και η ευθύνη τους σε σχέση µε την επεξεργασία, ιδίως µάλιστα σε περίπτωση που καταγγέλλεται περιστατικό παράνοµης επεξεργασίας, όπως εν προκειµένω, το οποίο η Τράπεζα όφειλε αµέσως να διερευνήσει, όπως θα αναλυθεί και στη συνέχεια. Η απόφαση, πάντως, της Τράπεζας να χορηγήσει πλήρη στοιχεία του προσφεύγοντος σχετικά µε τη συγκεκριµένη συναλλαγή σε άλλο πελάτη της χωρίς να επικαλεστεί το τραπεζικό απόρρητο, ενώ έναντι του προσφεύγοντος προβάλει το τραπεζικό απόρρητο για την ίδια ακριβώς συναλλαγή, ενέχει αξιολογική αντινοµία και καθιστά την αιτιολόγηση της άρνησης αποκάλυψης των στοιχείων του άλλου πελάτη προσχηµατική (βλ. και Απόφαση 16/2017 της Αρχής, σελ. 14). Και αυτό, γιατί η Τράπεζα κρίνει ότι ισχύει το τραπεζικό απόρρητο έναντι του προσφεύγοντος – υποκειµένου των δεδοµένων και ακολούθως δεν του γνωστοποιεί τα στοιχεία του συγκεκριµένου προσώπου που 
κατέθεσε χρήµατα στο λογαριασµό του, ενώ όσον αφορά το έτερο αυτό πρόσωπο έκρινε, 
αντιθέτως, ότι δεν ισχύει το τραπεζικό απόρρητο και ότι ακολούθως έπρεπε να του χορηγήσει 
στοιχεία τραπεζικού λογαριασµού του προσφεύγοντος µε την άµεση έκδοση αντιγράφου 
αποδεικτικού κατάθεσης, όπου αναγράφονται, µεταξύ άλλων, το πλήρες ονοµατεπώνυµο και ο αριθµός λογαριασµού του προσφεύγοντος. Έτσι, ως προς τον έναν πελάτη της (προσφεύγοντα) που                                                1 Πρβλ. ΧΡΙΣΤΟ∆ΟΥΛΟΥ Κ., ∆ίκαιο Προσωπικών ∆εδοµένων, Νοµική Βιβλιοθήκη 2013, σελ. 95.της υπέβαλε µάλιστα εγγράφως τα αιτήµατά του, η Τράπεζα προέβαλε το τραπεζικό απόρρητο προκειµένου να µην του χορηγήσει πλήρη στοιχεία σχετικά µε την υπό αµφισβήτηση συναλλαγή, ενώ ως προς έτερο πελάτη της (πρόσωπο που φέρεται να αµφισβήτησε τη συναλλαγή) η Τράπεζα δεν προέβαλε το τραπεζικό απόρρητο προκειµένου να του χορηγήσει πλήρη στοιχεία σχετικά µε την  ίδια  ακριβώς συναλλαγή, αρκούµενη µάλιστα σε ένα «προφορικό» του αίτηµα, όπως άλλωστε οµολογεί και η ίδια. Συνεπώς, πέρα από το γεγονός ότι η τράπεζα Eurobank απάντησε µε αδικαιολόγητη χρονική καθυστέρηση και στα δυο αιτήµατα του προσφεύγοντος (βλ. ανωτέρω σκέψη 2), η τελική της απάντηση ουδόλως µπορεί να κριθεί ως ικανοποιητική, συνεπώς συντρέχει περίπτωση δεύτερης αυτοτελούς παράβασης των διατάξεων του άρθρου 12 παρ. 2 και 4 του ν. 2472/1997. 
4. Αναφορικά µε το καταγγελλόµενο περιστατικό παράνοµης επεξεργασίας/παραβίασης της 
ασφάλειας των δεδοµένων, η Τράπεζα οµολογεί ότι έλεγξε τους λογαριασµούς του προσφεύγοντος χωρίς να προηγηθεί έγγραφο αίτηµα του προσώπου που φέρεται να αµφισβήτησε συγκεκριµένη συναλλαγή, για την οποία φέρεται να διενεργήθηκε ο ανωτέρω έλεγχος, και χωρίς προηγουµένως να ενηµερώσει τον προσφεύγοντα. Επισηµαίνεται, καταρχάς, ότι η τεκµηρίωση που προσκόµισε η Τράπεζα σχετικά µε την υπό κρίση επεξεργασία δεδοµένων τραπεζικού λογαριασµού δεν είναι επαρκής. Ειδικότερα, η Τράπεζα δεν απέδειξε τους ισχυρισµούς της σχετικά µε έλεγχο τραπεζικού λογαριασµού του προσφεύγοντος κατόπιν αιτήµατος άλλου προσώπου, καθώς το µόνο που προσκόµισε στην Αρχή είναι ένα αντίγραφο του από … 2015 παραστατικού αναφορικά µε την µεταφορά του ποσού των …… Ευρώ στον λογαριασµό του προσφεύγοντος και, µάλιστα, «[…] µε διαγεγραµµένο το ονοµατεπώνυµο του πελάτη για λόγους τήρησης του τραπεζικού απορρήτου. […]» (βλ. υπ’ αριθµ. πρωτ. Γ/ΕΙΣ/7318/12-10-2017 υπόµνηµα της τράπεζας Eurobank). Με βάση το εύρηµα αυτό, ελλοχεύουν για την ασφάλεια των δεδοµένων συγκεκριµένοι κίνδυνοι, ήτοι 1) µη εξουσιοδοτηµένη πρόσβαση σε στοιχεία λογαριασµών πελατών της τράπεζας και 2) περαιτέρω διάθεση/διάδοση των στοιχείων τραπεζικών λογαριασµών εν αγνοία του κατόχου του λογαριασµού. 
Αν οι ισχυρισµοί της Τράπεζας περί ελέγχου κατόπιν προφορικής αµφισβήτησης συναλλαγής από άλλο πρόσωπο γίνουν δεκτοί, ακολούθως θα πρέπει να γίνει δεκτό ότι οι προαναφερόµενοι κίνδυνοι εξελίχθηκαν, εν προκειµένω, σε περιστατικό παράνοµης επεξεργασίας δεδοµένων, ήτοι σε πρόσβαση υπαλλήλου της τράπεζας στον τραπεζικό λογαριασµό του προσφεύγοντος χωρίς νόµιµο λόγο και σε διάθεση στοιχείων συγκεκριµένης τραπεζικής συναλλαγής σε άλλο πρόσωπο χωρίς έγγραφο αίτηµα του προσώπου αυτού, ως στοιχειώδες µέτρο τεκµηρίωσης της νοµιµότητας της συγκεκριµένης επεξεργασίας. Συνεπώς, από τα στοιχεία του φακέλου της υπόθεσης, προκύπτει, καταρχάς, ότι, κατά την περίοδο που έλαβε χώρα το εν λόγω περιστατικό (µεταξύ … 2015 και …2015), η τράπεζα Eurobank επεξεργάστηκε τα στοιχεία λογαριασµού του προσφεύγοντος χωρίς νόµιµο λόγο (βλ. άρθρο 10 σε συνδυασµό µε άρθρα 4 και 5 του ν. 2472/1997), καθώς δεν απέδειξε ότι ανέκυψε πράγµατι «υπηρεσιακή ανάγκη» για την εν λόγω αναζήτηση και περαιτέρω διάθεση προσωπικών δεδοµένων, όπως ισχυρίζεται. Λαµβανοµένου υπόψη ότι τα γεγονότα, που συνιστούν τις κατ’ ιδίαν συνθήκες του συγκεκριµένου περιστατικού ελέγχου του λογαριασµού του προσφεύγοντος δεν βεβαιώθηκαν απολύτως, σε συνδυασµό µε το ότι ούτε στην Αρχή, όπως προαναφέρθηκε, αποκαλύφθηκαν τα στοιχεία του προσώπου που φέρεται να αµφισβήτησε τη συγκεκριµένη συναλλαγή (νέος αποδέκτης των δεδοµένων), κρίνεται ότι πρέπει να απευθυνθεί στην Τράπεζα η σύσταση για τη βελτίωση των σχετικών διαδικασιών της σύµφωνα µε όσα η ίδια έχει εκθέσει στην Αρχή.  
Η Αρχή, λαµβάνοντας υπόψη τη βαρύτητα των παραβάσεων των άρθρων 5, 10 και 12 του ν. 
2472/1997 που αποδείχθηκαν και της προσβολής που επήλθε από αυτές στο υποκείµενο των 
δεδοµένων, όπως αυτή εκτέθηκε αναλυτικά ανωτέρω, κρίνει ότι πρέπει να επιβληθούν στην 
τράπεζα Eurobank, ως υπεύθυνο επεξεργασίας, οι προβλεπόµενες στο άρθρο 21 παρ. 1 εδαφ. α΄ και β΄ του ν. 2472/1997 κυρώσεις που αναφέρονται στο διατακτικό και οι οποίες τυγχάνουν ανάλογες µε τη βαρύτητα εκάστης παράβασης και της προσβολής του προσφεύγοντος εξ’ αυτών, καθώς και να της απευθυνθούν επιπλέον σύµφωνα µε το άρθρο 19 παρ. 1 στοιχ. γ΄ του ν. 2472/1997 οι συστάσεις που αναφέρονται στο διατακτικό. 
ΓΙΑ ΤΟΥΣ ΛΟΓΟΥΣ ΑΥΤΟΥΣ 
Η Αρχή 
1. Επιβάλει στην τράπεζα Eurobank πρόστιµο ύψους ….. Ευρώ για µη εκπλήρωση της 
υποχρέωσής της να απαντήσει στον προσφεύγοντα εντός της προβλεπόµενης προθεσµίας των δεκαπέντε (15) ηµερών σύµφωνα µε όσα εκτίθενται ανωτέρω στη σκέψη µε αριθµό 2.  
2. Επιβάλει στην τράπεζα Eurobank την κύρωση της προειδοποίησης να ικανοποιήσει το 
δικαίωµα πρόσβασης του προσφεύγοντος απαντώντας µε πληρότητα και σαφήνεια στο αίτηµά του σύµφωνα µε όσα εκτίθενται ανωτέρω στη σκέψη µε αριθµό 3 εντός αποκλειστικής 
προθεσµίας πέντε (5) ηµερών από τη λήψη της παρούσας απόφασης και να ενηµερώσει σχετικά την Αρχή.  
3. Απευθύνει στην τράπεζα Eurobank τις ακόλουθες συστάσεις: 
i. Να µεριµνήσει αµελλητί για τη βελτίωση των οργανωτικών και τεχνικών µέτρων 
που οφείλει να λαµβάνει για την ασφάλεια των δεδοµένων τραπεζικών λογαριασµών 
και την προστασία τους από κάθε µορφής αθέµιτη επεξεργασία σύµφωνα και µε όσα 
εκτίθενται ανωτέρω στη σκέψη µε αριθµό 4.  
ii. Κατά την υποβολή αιτήµατος πελάτη µέσω της ηλεκτρονικής της πλατφόρµας να 
παρέχει στα υποκείµενα των δεδοµένων τη δυνατότητα άµεσης αποθήκευσης/εκτύπωσης του υποβληθέντος αιτήµατός τους, ώστε να διευκολύνεται ιδίως η εκ µέρους τους απόδειξη άσκησης των προβλεπόµενων δικαιωµάτων πρόσβασης και αντίρρησης. 
Ο Αναπληρωτής Πρόεδρος 
Γεώργιος Μπατζαλέξης 
Η Γραµµατέας 
Ειρήνη Παπαγεωργοπούλου
 
ΠΗΓΉ:ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ ∆Ε∆ΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ