Του Δημήτρη Πατσιαβά,
Η απελευθέρωση κινήσεως κεφαλαίων και συναλλαγών κατά τις δύο τελευταίες δεκαετίες οδήγησε στην ταχεία ανάπτυξη του τραπεζικού συστήματος της χώρας, μέσω της προσαρμογής και υιοθέτησης νέων συστημάτων πληρωμών/συναλλαγών, αλλά και χρηματοπιστωτικών και επενδυτικών προϊόντων. Εξαιτίας, λοιπόν, του νευραλγικού αυτού ρόλου των τραπεζών, σε συνδυασμό με το γεγονός ότι η κοινωνία τις εμπιστεύεται για απλή αποταμίευση και τήρηση αρχείων πελατών, μέχρι τη σύναψη συμβάσεων δανείων, καταλαβαίνει κανείς ότι βασικό χαρακτηριστικό που χρωματίζει τις σχέσεις αυτές είναι η εμπιστοσύνη.
Βασική υποχρέωση των πιστωτικών ιδρυμάτων είναι η τήρηση της αρχής της καλής πίστης και των χρηστών ηθών (ΑΚ 177, 178, 200, 281, 288). Μεταξύ άλλων, η τράπεζα έχει υποχρέωση εχεμύθειας (γενικό τραπεζικό απόρρητο), που δεν της επιτρέπει την ανακοίνωση – διαβίβαση σε τρίτους, πληροφοριών που περιέρχονται σε γνώση της από τους πελάτες της, καθώς και το ειδικό τραπεζικό απόρρητο που αφορά στις καταθέσεις των πελατών της. Ανάμεσα στις υποχρεώσεις αυτές, υπάρχει φυσικά και η υποχρέωση προστασίας των προσωπικών δεδομένων των πελατών του πιστωτικού ιδρύματος.
Τα πιστωτικά ιδρύματα, λόγω της θέσης ισχύος τους στην παγκόσμια οικονομία, καθώς και της σχέσης εξάρτησης μεταξύ αυτών και των πελατών τους, επεξεργάζονται καθημερινά τεράστιο όγκο προσωπικών δεδομένων. Υπό το πρίσμα του Κανονισμού ΕΕ 2016/679 (GDPR), διευκολύνεται μεν η επιχειρηματική δραστηριότητα στη σύγχρονη ψηφιακή εποχή, προτεραιότητα ωστόσο καθίσταται η προστασία των προσωπικών δεδομένων των πελατών. Ειδικότερα:
- Ποια δεδομένα τυγχάνουν επεξεργασίας;
Τα πιστωτικά ιδρύματα, με σκοπό την εκπλήρωση των συμβάσεων που υπογράφουν με τους πελάτες, όσο και την ομαλή επικοινωνία μαζί τους, συλλέγουν και επεξεργάζονται προσωπικά δεδομένα, μερικά εκ των οποίων είναι απολύτως απαραίτητα για κάθε σχέση με την τράπεζα, όπως για παράδειγμα: δεδομένα ταυτοποίησης (ονοματεπώνυμο, ΑΦΜ, ΔΟΥ, ημερομηνία γέννησης κλπ.), δεδομένα επικοινωνίας (τηλέφωνο, διεύθυνση, e-mail), δεδομένα οικονομικής και περιουσιακής κατάστασης (επάγγελμα, αποδοχές, φορολογικές δηλώσεις), δεδομένα αθέτησης οικονομικών υποχρεώσεων των υποκειμένων (π.χ. ακάλυπτες επιταγές, διαταγές πληρωμής, υπαγωγή σε πτωχευτικές διαδικασίες), δεδομένα αξιολόγησης κινδύνου νομιμοποίησης εσόδων από παράνομες δραστηριότητες (συλλέγονται είτε από την «ΤΕΙΡΕΣΙΑΣ Α.Ε.» είτε από αρχές και όργανα που είναι επιφορτισμένα με την πρόληψη, αντιμετώπιση και καταστολή τέτοιων αδικημάτων), κ.ά.
- Ποιος είναι ο σκοπός επεξεργασίας των δεδομένων;
Οι τράπεζες συλλέγουν και επεξεργάζονται προσωπικά δεδομένα πελατών α) για την εκτέλεση σύμβασης (άρθρο 6 παρ.1β’ ΓΚΠΔ), όπως δεδομένα ταυτοποίησης και επαλήθευσης στοιχείων του πελάτη κατά το προσυμβατικό και συμβατικό στάδιο των συναλλαγών, β) για τη συμμόρφωση τους με τις έννομες υποχρεώσεις του ως Υπεύθυνων Επεξεργασίας, όπως ορίζει το εκάστοτε νομικό και κανονιστικό πλαίσιο (π.χ. προστασία πελατών, εργαζομένων, εγκαταστάσεων, πρόληψη και καταστολή νομιμοποίησης εσόδων από παράνομες δραστηριότητες), γ) σκοπούς προωθητικών ενεργειών, όπου το πιστωτικό ίδρυμα ενδέχεται να επεξεργαστεί δεδομένα του υποκειμένου των δεδομένων, κατόπιν συγκατάθεσής του τελευταίου (η συγκατάθεση πρέπει να δίνεται ελεύθερα, εν πλήρει επιγνώσει, ρητά και για συγκεκριμένο σκοπό).
- Ποια τα δικαιώματα των υποκειμένων των δεδομένων;
Με τον GDPR ενδυναμώθηκαν τα ήδη υπάρχοντα δικαιώματα των υποκειμένων των δεδομένων, ενώ κατοχυρώθηκαν και νέα, ενισχύοντας με αυτόν τον τρόπο τη νομική θέση των πελατών απέναντι στο πιστωτικό ίδρυμα. Τα δικαιώματα αυτά αναφέρονται στα άρθρα 13-21 του ΓΚΠΔ και επιγραμματικά είναι τα εξής: δικαίωμα ενημέρωσης, πρόσβασης, διόρθωσης, διαγραφής (λήθης), περιορισμού της επεξεργασίας, φορητότητας και εναντίωσης.
Όλα τα ανωτέρω στοιχεία αναφέρονται αναλυτικά στις πολιτικές προστασίας προσωπικών δεδομένων που αναρτώνται στους ιστοτόπους των πιστωτικών ιδρυμάτων στο διαδίκτυο. Ανά πάσα στιγμή κάποιος πελάτης μπορεί να επικοινωνήσει με τα πιστωτικά ιδρύματα είτε και απευθείας με τον Υπεύθυνο Προστασίας Δεδομένων (DPO) τους, να λάβει πληροφορίες ή να ασκήσει κάποιο από τα δικαιώματα που του παρέχονται. Η άσκηση των δικαιωμάτων είναι δωρεάν, ωστόσο το πιστωτικό ίδρυμα μπορεί να επιβάλλει στο υποκείμενο κάποιο εύλογο τέλος, σε περίπτωση που το αίτημα κριθεί προδήλως αβάσιμο, υπερβολικό ή επαναλαμβανόμενο. Από την άλλη, το πιστωτικό ίδρυμα είναι υποχρεωμένο να ανταποκριθεί εντός 30 ημερών στο υποκείμενο των δεδομένων. Η προθεσμία αυτή μπορεί να παραταθεί για επιπλέον 60 ημέρες, αν το αίτημα είναι ιδιαιτέρως πολύπλοκο.
- Το φαινόμενο των Εταιρειών Ενημέρωσης Οφειλετών – πράξεις της ΑΠΔΠΧ
Η ΑΠΔΠΧ ως εποπτική αρχή έχει πάρει θέση σε πλήθος καταγγελιών για την παράνομη διαβίβαση δεδομένων των πελατών είτε σε εταιρείες διαχείρισης απαιτήσεων (ν.4354/2015), είτε σε εταιρείες ενημέρωσης οφειλετών (κατά κόσμον «εισπρακτικές εταιρείες» – ν.3758/2009). Χρήσιμο όπως σημειωθεί ότι η Αρχή έχει θέσει επί τάπητος την άποψή της περί ριζικής αναμόρφωσης του ν.3758/2009, προκειμένου να μην προσκρούει στις διατάξεις του ΓΚΠΔ, χωρίς ωστόσο να έχει υπάρξει κάποια αλλαγή. Το ζήτημα που τίθεται σε αυτές τις περιπτώσεις είναι ότι τα υποκείμενα δεν έχουν ενημερωθεί για τη διαβίβαση αυτή ή δεν έχουν δώσει τη ρητή συγκατάθεσή τους.
Με την υπ’ αριθμ. 49/2011 Οδηγία της η Αρχή εξέδωσε οδηγίες σχετικά με την λειτουργία των εν λόγω εταιρειών και αποσαφήνισε τις δικές της αρμοδιότητες σχετικά με προσφυγές σε καταγγελίας κατά των εταιρειών αυτών. Πρακτικά, αυτό που συμβαίνει είναι ότι τα πιστωτικά ιδρύματα ενημερώνουν μεν τους πελάτες για το ενδεχόμενο διαβίβασης των δεδομένων τους, αν και εφόσον οι απαιτήσεις τους καταστούν ληξιπρόθεσμες, δεν τους ενημερώνουν όμως όταν αυτό συμβεί, με συνέπεια οι πελάτες να μην μπορούν να ασκήσουν τα δικαιώματά τους. Η υπ’ αριθμ. 98/2017 Απόφαση της Αρχής έκρινε ότι «πρέπει να γίνεται ειδική, ατομική και συγκεκριμένη ενημέρωση σε κάθε οφειλέτη, να αναφέρεται συγκεκριμένα σε ποια εταιρεία ενημέρωσης οφειλετών θα διαβιβαστούν τα δεδομένα και να δίνεται ένα εύλογο χρονικό διάστημα (10-15 ημερών) πριν από τη διαβίβαση, ώστε το υποκείμενο να μπορεί να ασκήσει τα δικαιώματά του».
Και στα πολιτικά δικαστήρια έχει κριθεί ότι η παροχή οικονομικών στοιχείων του δανειολήπτη χωρίς τη ρητή συναίνεση του τελευταίου προσβάλλει την προσωπικότητά του και του προκαλεί ηθική βλάβη, ενώ και η συλλογή και η επεξεργασία των δεδομένων προσωπικού χαρακτήρα από την εναγόμενη εισπρακτική εταιρεία είναι παράνομη (Βλ. 1437/2014 ΜονΕφΘ, 273/2016 ΕιρΑθ.)
Πλην όμως, η Ολομέλεια του Αρείου Πάγου έκρινε, με την υπ’ αριθμ. 3/2020 απόφαση, ότι για τη νομιμότητα της επεξεργασίας είναι αρκετή και η γενική ενημέρωση των υποκειμένων, χωρίς να απαιτείται η ειδική αναφορά της εταιρείας ενημέρωσης οφειλετών, στην οποία θα διαβιβαστούν τα προσωπικά δεδομένα. Η Ολομέλεια έκρινε ότι στην περίπτωση αυτή, η διαβίβαση στην εκτελούσα την επεξεργασία «εταιρεία ενημέρωσης οφειλετών» γίνεται για λογαριασμό της τράπεζας και συνεπώς, δεν χωρεί εφαρμογής το άρθρο 11 παρ. 3 του ν.2472/1997 (ο παλαιότερος νόμος, ο οποίος καταργήθηκε και αντικαταστάθηκε από τον ν.4624/2019). Η απόφαση αυτή έχει ενδιαφέρον, γιατί αρχικά πηγαίνει ενάντια στην μέχρι τότε πάγια νομολογία των δικαστηρίων (βλ. ΑΠ 1740/2013) και της Αρχής, ενώ αξιοσημείωτη είναι και η θέση της μειοψηφίας της Ολομέλειας, που έκρινε ότι η τράπεζα πρέπει να ενημερώσει το υποκείμενο με ακρίβεια. Για την εν λόγω απόφαση, κατατέθηκε τον Ιανουάριο του 2021 προσφυγή κατά της Ελλάδας στο Ευρωπαϊκό Δικαστήριο Δικαιωμάτων του Ανθρώπου, ενώ ερωτηματικό αποτελεί η πρακτική αυτών των εταιρειών από εδώ και στο εξής, δεδομένου ότι η απόφαση της Ολομέλειας ουσιαστικά «νομιμοποιεί» σε μεγάλο βαθμό τις αθέμιτες πρακτικές τους.
ΕΝΔΕΙΚΤΙΚΕΣ ΠΗΓΕΣ
- Αλεξανδροπούλου – Αιγυπτιάδου Ε., «Ηλεκτρονική επεξεργασία προσωπικών δεδομένων στο πεδίο της τραπεζικής δραστηριότητας», Αρμενόπουλος 2004, σ.1381
- Πλιαβέσης Ε. Γεώργιος, Η προστασία των προσωπικών δεδομένων στη σχέση Τράπεζας – Πελάτη, 2019, εκδ. Νομική Βιβλιοθήκη
- Ολόκληρη ν υπ’ αριθμ. 3/2020 ΟλΑΠ διαθέσιμη εδώ
