Πρόστιμο 10.000 ευρώ σε τράπεζα: Συνέχισε να στέλνει ειδοποιήσεις για χρήση web-banking σε τρίτους και όχι στην πελάτισσά του

Οι ιδιοκτήτες του λογαριασμού είχαν ενημερώσει για τη λάθος διεύθυνση ηλεκτρονικού ταχυδρομείου. Τι αποφάνθηκε η Αρχή Προστασίας Προσωπικών Δεδομένων μετά από καταγγελία.

NEWSROOM
Πρόστιμο 10.000 ευρώ σε τράπεζα: Συνέχισε να στέλνει ειδοποιήσεις για χρήση web-banking σε τρίτους και όχι στην πελάτισσά του

Λάμβανε τρίτο πρόσωπο ειδοποιήσεις μέσω e-banking, με το ονοματεπώνυμο της καταγγέλλουσας, το οποίο συνεχιζόταν παρά τη σχετική ενημέρωση της Τράπεζας. Σύμφωνα με την προσφυγή στην ανεξάρτητη Αρχή υποβλήθηκε στην τράπεζα περιστατικό που αφορά παραβίαση προσωπικών δεδομένων, συνιστάμενο στην αποστολή ειδοποιήσεων e-banking σε τρίτο πρόσωπο, με το ονοματεπώνυμο της καταγγέλλουσας, το οποίο συνεχιζόταν παρά τη σχετική ενημέρωση της Τράπεζας.

Από τη διερεύνηση προέκυψε ότι το περιστατικό οφειλόταν στην εσφαλμένη δήλωση ηλεκτρονικής διεύθυνσης εκ μέρους του συνδικαιούχου της καταγγέλλουσας. Παρότι η Τράπεζα ειδοποιήθηκε σχετικά, δεν προέβη στη διακοπή της αποστολής των ειδοποιήσεων αλλά υπέδειξε προς την καταγγέλλουσα τον τρόπο με τον οποίο θα έπρεπε να ασκηθεί το δικαίωμα διόρθωσης εκ μέρους του συνδικαιούχου, ως υποκειμένου ανακριβών δεδομένων. Διαπιστώθηκε παράβαση της αρχής της εμπιστευτικότητας (άρθ. 5 παρ. 1 στοιχ. δ) και στ) ΓΚΠΔ) και παράβαση των υποχρεώσεων της Τράπεζας για γνωστοποίηση του περιστατικού στην Αρχή και στο υποκείμενο (άρθρα 33 και 34 ΓΚΠΔ) για τις οποίες επιβλήθηκε πρόστιμο συνολικού ύψους 10.000 €. Επιπλέον η Αρχή απηύθυνε προειδοποίηση προς την Τράπεζα σε σχέση με τα ελλιπή τεχνικά και οργανωτικά μέτρα ασφάλειας (άρθρα 24 και 32 ΓΚΠΔ) που διαπιστώθηκαν, εξαιτίας της απουσίας μέτρων επιβεβαίωσης των ηλεκτρονικών διευθύνσεων που δηλώνονται για τον σκοπό της αποστολής ειδοποιήσεων e-banking.

unsplash

Το ιστορικό της υπόθεσης

Η ίδια παραπονούμενη για «επαναλαμβανόμενο περιστατικό παραβίασης και μη ικανοποίηση του δικαιώματος διόρθωσης των προσωπικών της δεδομένων. Ειδικότερα, σύμφωνα με την καταγγελία, οι κινήσεις της χρεωστικής κάρτας της καταγγέλλουσας κοινοποιούνται από την καταγγελλόμενη Τράπεζα στις ηλεκτρονικές διευθύνσεις … και … που ανήκουν σε τρίτο πρόσωπο, συνονόματο και συνεπώνυμο με την καταγγέλλουσα και όχι στη διεύθυνση της καταγγέλλουσας (…). Το γεγονός αυτό γνωστοποιήθηκε από την καταγγέλλουσα, όπως υποστηρίζει με την καταγγελία της, στην καταγγελλόμενη Τράπεζα, αρχικά προφορικά τον …στο κατάστημα Χ, οπότε και έλαβε τη διαβεβαίωση ότι το πρόβλημα θα διορθωθεί, και ακολούθως στις …, μέσω μηνύματος ηλεκτρονικής αλληλογραφίας (e-mail) προς τον Υπεύθυνο Προστασίας Δεδομένων της καταγγελλόμενης, το οποίο έλαβε αρ. πρωτ. … .»

Περαιτέρω καταγγέλλεται η μη ικανοποίηση του δικαιώματος διόρθωσης των προσωπικών δεδομένων της καταγγέλλουσας, καθώς παρά το αίτημά της να λαμβάνει τη σχετική ενημέρωση στην ορθή διεύθυνση ηλεκτρονικού ταχυδρομείου της (…) που υποβλήθηκε με τους προαναφερθέντες τρόπους στην καταγγελλόμενη, οι ειδοποιήσεις σχετικά με τις κινήσεις της χρεωστικής της κάρτας συνέχισαν να αποστέλλονται στις παραπάνω διευθύνσεις που δεν της ανήκουν, όπως πληροφορήθηκε από την αποδέκτη τους, και όχι στη δική της ηλεκτρονική διεύθυνση.

unsplash

Παραβίαση προσωπικών δεδομένων: Η απόφαση της Αρχής

Σύμφωνα με την εξέταση της υπόθεσης και βάσει των στοιχείων και της ακροαματικής διαδικασίας, η Αρχή διαπιστώνει εκ μέρους της καταγγελλόμενης Τράπεζας:

α) παράβαση της αρχής της εμπιστευτικότητας των δεδομένων (άρ. 5 παρ. 1 στ) ΓΚΠΔ), διότι η καταγγελλόμενη Τράπεζα, αν και, μέσω των από … και … επιστολών της καταγγέλλουσας και, σε κάθε περίπτωση, του υπ’ αρ. πρωτ. Γ/ΕΞ/740/02-03-2021 εγγράφου της Αρχής, έλαβε γνώση του γεγονότος ότι οι προσωπικές πληροφορίες τραπεζικών συναλλαγών της καταγγέλλουσας διέρρεαν σε τρίτο πρόσωπο, ήτοι στην κάτοχο της ηλεκτρονικής διεύθυνσης …, εξακολούθησε να αποστέλλει τις σχετικές ειδοποιήσεις στην ίδια διεύθυνση μέχρι την …, καθώς και παράβαση των εκ των άρθρων 33 και 34 ΓΚΠΔ υποχρεώσεων της καταγγελλόμενης, δεδομένου ότι δεν γνωστοποίησε το περιστατικό στην Αρχή ή στο υποκείμενο, ούτε έλαβε μέτρα για την άμβλυνση των συνεπειών της παραβίασης (παύση αποστολής ειδοποιήσεων) και για την αποφυγή αντίστοιχων περιστατικών στο μέλλον.

β) Ελλιπή τεχνικά και οργανωτικά μέτρα ασφάλειας, σύμφωνα με τα άρθρα 24 και 32 ΓΚΠΔ, τα οποία οδήγησαν στο ως άνω περιστατικό. Ειδικότερα, διαπιστώνεται η απουσία μέτρων και διαδικασιών προς επιβεβαίωση της ορθότητας των διευθύνσεων e-mail που δηλώνονται στην Τράπεζα για τη λήψη ειδοποιήσεων, αφού ληφθούν υπόψη οι πιθανές συνέπειες τυχόν εσφαλμένης δηλώσεως.

Ακολουθήστε το dikastiko.gr στο Google News και δείτε πρώτοι όλες τις ειδήσεις

Διαβάστε όλες τις τελευταίες ειδήσεις από την Ελλάδα και τον Κόσμο στο dikastiko.gr