Της Χρύσας Χατχηβασιλείου, 

Τα τραπεζικά δεδομένα πλέον διέπονται από ένα αυστηρό παγκοσμιοποιημένο και όχι μόνο ευρωπαϊκό πλαίσιο, που πολλές φορές συγκρούεται με τον Κανονισμό για την προστασία των προσωπικών δεδομένων (GDPR). Η εφαρμογή του νέου Κανονισμού σίγουρα απαιτεί αρκετό κόστος για τις τράπεζες, ώστε να τεθούν σε εφαρμογή όλα τα ζητούμενα του ΓΚΠΔ. Παρόλα αυτά, οδήγησε τις τράπεζες να αναπροσαρμόσουν τα συστήματά τους και τις εργασίες τους, να προσαρμοστούν στις νέες απαιτήσεις, να προστατεύσουν τον εαυτό τους από παραβιάσεις τέτοιου τύπου και κατά συνέπεια, από την επιβολή υψηλών προστίμων.

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα έχει εκδώσει αρκετές αποφάσεις, που αφορούν τα χρηματοπιστωτικά ιδρύματα. Παραθέτονται περιληπτικά αποφάσεις του έτους 2019:

39/2019

To 2018 η Τράπεζα Eurobank Ergasias A.E. υποβάλλει αίτηση θεραπείας κατά της µε αριθ. 98/2017 Απόφασης της Αρχής. Kαταγγέλλοντες ισχυρίζονταν ότι παρανόμως οχλήθηκαν στο πλαίσιο ενημέρωσης οφειλετών και ότι η Τράπεζα Eurobank Ergasias A.E δεν τους ενημέρωσε σχετικά µε τη χορήγηση των στοιχείων τους σε Εταιρείες Ενημέρωσης Οφειλετών.

Η Αρχή αποφάσισε ότι κάθε Τράπεζα οφείλει να προβαίνει, µε κάθε πρόσφορο τρόπο, σε ειδική ατομική ενημέρωσή τους, η οποία πρέπει να επαναλαμβάνεται, όταν τα στοιχεία των οφειλετών διατίθενται σε διαφορετική Εταιρεία Ενημέρωσης Οφειλετών και να παρέχεται στους οφειλέτες εύλογο διάστημα πριν από τη διάθεση για την άσκηση των δικαιωμάτων πρόσβασης και αντίρρησης. Έτσι, απέρριψε την αίτηση θεραπείας της ανώνυμης τραπεζικής εταιρείας με την επωνυμία «Τράπεζα Eurobank Ergasias Ανώνυµη Εταιρεία» κατά της Απόφασης 98/2017 της Αρχής.

18/2019

To 2017 η Ανώνυμη Εταιρεία ΤΕΙΡΕΣΙΑΣ ζήτησε την έγκριση της Αρχής για την ένταξη των Εταιρειών ∆ιαχείρισης Απαιτήσεων και της θυγατρικής της, (ν.4354/2015) στους νομιμοποιούμενους αποδέκτες των δεδομένων των αρχείων «Σύστηµα Αθέτησης Υποχρεώσεων» (εφεξής ΣΑΥ ή «μαύρη λίστα») και «Σύστημα Συγκέντρωσης Χορηγήσεων» (εφεξής ΣΣΧ ή «λευκή λίστα»), τα οποία τηρεί, µε τους ίδιους όρους και προϋποθέσεις που ισχύουν για τις Τράπεζες.

Η Αρχή, ήδη από το έτος 1999, είχε εκδώσει δύο αποφάσεις τις οποίες επανέλαβε το 2004, σύμφωνα µε τις οποίες η τήρηση δυσμενών δεδομένων οικονομικής συμπεριφοράς από την ΤΕΙΡΕΣΙΑΣ Α.Ε. επιτρέπεται και χωρίς τη συγκατάθεση του/των υποκειμένου/ων των δεδομένων, µε βάση το άρθρο 5 παρ. 2 περ. ε΄ του ν. 2472/1997, που στοχεύει στην ελαχιστοποίηση των κινδύνων από τη σύναψη πιστωτικών συµβάσεων με αφερέγγυους πελάτες, στην εξυγίανση των οικονομικών συναλλαγών και στην προστασία της εμπορικής πίστης.H απόφαση 86/2002, στην οποία στηρίχτηκε η Αρχή, όρισε ότι η λευκή λίστα περιέχει ενήμερες οφειλές και τις οφειλές σε καθυστέρηση, χωρίς αυτές όμως να είναι οφειλές βεβαιωµένες και απαιτητές (όπως στην περίπτωση της «μαύρης λίστας»), η οποία µπορεί να δημιουργηθεί και να λειτουργήσει μόνο στη βάση της συγκατάθεσης του υποκειμένου των δεδομένων. Σύμφωνα με τον ήδη σε ισχύ Γενικό Κανονισµό (ΕΕ) 2016/679 (άρθρα 57-58), η Αρχή δεν είναι πλέον αρμόδια να αδειοδοτήσει/εγκρίνει επεξεργασίες προσωπικών δεδομένων (βλ. και την µε αριθ. 52/2018 Απόφαση της Αρχής). Συνακόλουθα, ο υπεύθυνος επεξεργασίας καθορίζει τους σκοπούς και τους αποδέκτες της επεξεργασίας δεδομένων προσωπικού χαρακτήρα στην οποία προβαίνει, λαμβάνοντας υπόψη και την αρχή της λογοδοσίας (άρθρο 5 παρ. 2 ΓΚΠ∆). Επισημαίνεται η υποχρέωση του υπεύθυνου επεξεργασίας για διενέργεια εκτίμησης αντικτύπου, πρόκειται για πράξεις επεξεργασίας που έχουν αδειοδοτηθεί/ελεγχθεί από την Αρχή πριν από τον Μάιο του 2018.

Πάγια νομολογία της Αρχής έκρινε ότι η χρήση των δεδομένων πρέπει να μην παρεκκλίνει των σκοπών επεξεργασίας τους, διαφορετικά δεν είναι νόμιμη. Κατ’ εξαίρεση επιτρέπεται η επεξεργασία για άλλους σκοπούς, μόνο βάσει ειδικών διατάξεων, όπως η πρόσβαση της Αρχής Καταπολέμησης της Νομιμοποίησης Εσόδων από Εγκληματικές Δραστηριότητες και Χρηματοδότηση της Τρομοκρατίας στα αρχεία της ΤΕΙΡΕΣΙΑΣ.

Συμπέρασμα

  • Σε αρκετές περιπτώσεις η Αρχή δεν επιβάλλει πρόστιμα, αλλά ασκεί τις διορθωτικές πράξεις της σύστασης και της επίπληξης (π.χ. 33/2018, 48/2018, 69/2018).
  • Επιδιώκεται στάθμιση από τη μια, της προστασίας της εμπορικής πίστης, της ελαχιστοποίησης των κινδύνων από τη σύναψη πιστωτικών συµβάσεων µε αφερέγγυους πελάτες, και από την άλλη της προστασίας των τραπεζικών δεδομένων και του τραπεζικού απορρήτου.
  • Κύριο μέλημα είναι, εκτός των άλλων, η εξιχνίαση της χρηματοδότησης της τρομοκρατίας και του ξεπλύματος βρώμικου χρήματος.

Πηγές
  • Γενικός Κανονισμός για την Προστασία των Προσωπικών Δεδομένων (GDPR) Νομική διάσταση και πρακτική εφαρμογή, Λεωνίδας Κοτσαλής Κωνσταντίνος Μενουδάκης 2018
  • site AΔΠΧ dpa.gr

Χρύσα Χατζηβασιλείου

Σπούδασε Νομική του ΔΠΘ. Είναι ασκούμενη δικηγόρος και παράλληλα φοιτήτρια στο μεταπτυχιακό «Δίκαιο και Πληροφορική» στο ΠΑ.ΜΑΚ., το οποίο αφορά τα προσωπικά δεδομένα και το ηλεκτρονικό έγκλημα. Είναι μέλος στην ELSA Komotini  συμμετέχοντας σε summer schools, σεμινάρια και institutional visits σε ευρωπαϊκά και διεθνή όργανα σε Βρυξέλλες και Χάγη. Επιπλέον, είναι εθελόντρια στην ΜΚΟ Ένωση Κυριών Δράμας «Σπίτι Ανοιχτής Φιλοξενίας».