Τετάρτη, 14 Ιανουαρίου 2015

Παράνομη επεξεργασία προσωπικών δεδομένων από την ΤΕΙΡΕΣΙΑΣ Α.Ε.

ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ ∆Ε∆ΟΜΕΝΩΝ
ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ
 Αθήνα, 18-12-2014
 Αριθ. Πρωτ. Γ/ΕΞ/1136-2/18-12-2014
Α Π Ο Φ Α Σ Η  185 / 2014
Η Αρχή Προστασίας ∆εδοµένων Προσωπικού Χαρακτήρα συνήλθε, µετά από πρόσκληση του Προέδρου της, σε τακτική συνεδρίαση στην έδρα της την 02-12-2014, σε συνέχεια των από 27-11-2014, 04-11-2014 και 14-10-2014 συνεδριάσεων, προκειµένου να εξετάσει την υπόθεση του αναφέρεται στο ιστορικό της παρούσας.
Παρέστησαν ο Πρόεδρος, Π. Χριστόφορος και τα τακτικά µέλη της Αρχής Λ. Κοτσαλής, Α.-Ι. Μεταξάς, ∆. Μπριόλας, Α. Συµβώνης, Κ. Χριστοδούλου, ως εισηγητής, και Π. Τσαντίλας. Στη συνεδρίαση, χωρίς δικαίωµα ψήφου, παρέστησαν επίσης, µε εντολή του Προέδρου, οι Κ. Λωσταράκου, Γ. Ρουσόπουλος και Θ. Τουτζιαράκη, ειδικοί επιστήµονες – ελεγκτές, ως βοηθοί εισηγητή, και η Γ. Παλαιολόγου, υπάλληλος του τµήµατος διοικητικών και οικονοµικών υποθέσεων, ως γραµµατέας.


Η Αρχή έλαβε υπόψη τα παρακάτω:
Με το υπ’ αριθµ. πρωτ. ΓΝ/ΕΙΣ/1136/10-06-2014 έγγραφό της, η εταιρεία ΤΕΙΡΕΣΙΑΣ Α.Ε. γνωστοποιεί στην Αρχή τη λειτουργία του συστήµατος µε την ονοµασία «Τειρεσίας Σύστηµα Ελέγχου Κινδύνων» (ΤΣΕΚ). Σκοπός του συστήµατος αυτού είναι η παροχή πληροφοριών οικονοµικής συµπεριφοράς για την διαπίστωση της πιστοληπτικής ικανότητας πάσης φύσεως επιχειρήσεων. Ειδικότερα, σύµφωνα πάντα µε την ως άνω αίτηση, η λειτουργία του γνωστοποιηθέντος αρχείου έχει ξεκινήσει από τον Ιούνιο 2013 αναφορικά µε δεδοµένα αποκλειστικά και µόνο νοµικών προσώπων, τα οποία, κατά την άποψη της εταιρείας, δεν συνιστούν δεδοµένα προσωπικού χαρακτήρα και, ως εκ τούτου, η διάθεσή τους δεν εµπίπτει στις διατάξεις του ν. 2472/1997. Περαιτέρω, σύµφωνα πάντα µε την ως άνω αίτηση, δεδοµένου ότι οι µεταξύ νοµικών προσώπων συναλλαγές αποτελούν ένα µικρό µέρος του συνόλου της εµπορικής δραστηριότητας στη χώρα µας, στην οποία µεγάλο τµήµα του συνόλου των επιχειρήσεων είναι ατοµικές, η αιτούσα προχώρησε στο επόµενο βήµα και, από την αρχή του τρέχοντος έτους, παρέχει σε επιχειρηµατίες φυσικά και νοµικά πρόσωπα (αποδέκτες), την κατά τα προαναφερθέντα δυνατότητα πρόσβασης σε δεδοµένα οικονοµικής συµπεριφοράς φυσικών και νοµικών προσώπων.
Συγκεκριµένα, κατά την αιτούσα, τα δεδοµένα στα οποία παρέχεται πρόσβαση είναι εκείνα που προβλέπονται στην Απόφαση 26/ 2004 της Αρχής πλέον αυτών που αφορούν στο ν. 3869/ 2010 «Ρύθµιση των οφειλών υπερχρεωµένων φυσικών προσώπων και άλλες διατάξεις», υποκείµενα δε αυτών των δεδοµένων είναι µόνο τα επί πιστώσει συναλλασσόµενα µε τους ανωτέρω αποδέκτες νοµικά και φυσικά πρόσωπα. Πρόσβαση στα ως άνω δεδοµένα µπορούν πλέον να έχουν, κατά δήλωση της αιτούσας, εκτός των νοµικών προσώπων, και φυσικά πρόσωπα ή ενώσεις προσώπων του Αστικού Κώδικα που ασκούν εµπορική, βιοµηχανική, βιοτεχνική, γεωργική ή άλλη επιχείρηση στην Ελληνική Επικράτεια ή σε άλλη χώρα του Ευρωπαϊκού Οικονοµικού Χώρου και την Ελβετία, προκειµένου να αντλούν δεδοµένα για τα φυσικά ή νοµικά πρόσωπα, µε τα οποία συναλλάσσονται µε πίστωση και, συνεπώς, αναλαµβάνουν σχετικό πιστωτικό κίνδυνο, ώστε αφενός καθίσταται απαραίτητος ο έλεγχος της φερεγγυότητας των αντισυµβαλλοµένων τους και αφετέρου είναι προφανές το έννοµο συµφέρον πρόσβασης στην συγκεκριµένη υπηρεσία. Σηµειωτέον ότι οι παρεχόµενες πληροφορίες αντλούνται από το αρχείο της ΤΕΙΡΕΣΙΑΣ, το οποίο λειτουργεί νοµίµως σύµφωνα µε την Απόφαση 24/ 2004 της Αρχής για την προστασία των τραπεζών και των θυγατρικών τους εταιρειών από αφερέγγυους πελάτες.
Στο πλαίσιο εξέτασης της ως άνω υπόθεσης, η εταιρεία ΤΕΙΡΕΣΙΑΣ Α.Ε. κλήθηκε νοµίµως σε ακρόαση κατά τη συζήτηση της υπόθεσης ενώπιον της Αρχής στις 14-10-2014 µε την υπ' αριθµ. πρωτ. ΓΝ/ΕΞ/1768/29-09-2014 κλήση και παρέστη. Κατά τη συνεδρίαση, η κληθείσα εξέθεσε προφορικά τις απόψεις της, τις οποίες ανέπτυξε κατόπιν διεξοδικώς µε σχετικό υπόµνηµά της (βλ. υπόµνηµα υπ’ αριθµ. πρωτ. ΓΝ/ΕΙΣ/6547/30-10-2014).
Η Αρχή, µετά από εξέταση όλων των στοιχείων του φακέλου και αναφορά στα διαµειφθέντα των συνεδριάσεων των 27-11-2014, 04-11-2014 και 14-10-2014, αφού άκουσε τον εισηγητή και τους βοηθούς εισηγητές, οι οποίοι στη συνέχεια αποχώρησαν, και κατόπιν διεξοδικής συζήτησης,

1. Νοµιµότητα µεταβολής σκοπού επεξεργασίας. 

Σύµφωνα µε το άρθρο 4 παρ. 1 στοιχ. α΄ του ν. 2472/1997, «τα δεδοµένα πρέπει να συλλέγονται κατά τρόπο θεµιτό και νόµιµο για καθορισµένους, σαφείς και νόµιµους σκοπούς και να υφίστανται θεµιτή και νόµιµη επεξεργασία ενόψει των σκοπών αυτών». Από τη διάταξη αυτή προκύπτει ότι οι σκοποί πρέπει να έχουν προσδιοριστεί και καταστεί σαφείς στα υποκείµενα των δεδοµένων πριν ή τουλάχιστον κατά τη συλλογή των δεδοµένων (βλ. προοίµιο 28 της Οδηγίας 95/46/ΕΚ), ώστε να είναι δυνατή η εκτίµηση της συµβατότητάς τους µε το νόµο. Οι τρόποι εξειδίκευσης του σκοπού µπορεί να είναι πολλοί (δηµόσιες ανακοινώσεις του υπευθύνου, νοµοθεσία, αποφάσεις της Αρχής κλπ), αλλά πρέπει να έχουν προηγηθεί της συλλογής των δεδοµένων από τα υποκείµενα. Κρίσιµα στοιχεία αποτελούν η ακρίβεια και η σαφήνεια των παρεχόµενων πληροφοριών και κυρίως τα πραγµατικά περιστατικά της κάθε περίπτωσης που υπερισχύουν από κάθε τυχόν ισχυρισµό του υπευθύνου.
Εν προκειµένω, σηµειώνεται, καταρχάς, ότι η αιτούσα ιδρύθηκε αρχικά ως εταιρία µη κερδοσκοπικού χαρακτήρα επιδιώκουσα οικονοµικό σκοπό µε την επωνυµία «ΤΡΑΠΕΖΙΚΑ ΣΥΣΤΗΜΑΤΑ ΠΛΗΡΟΦΟΡΙΩΝ» και τον διακριτικό τίτλο «ΤΕΙΡΕΣΙΑΣ», στους σκοπούς της οποίας συγκαταλεγόταν «η διαχείριση των παραγόµενων από τα πληροφοριακά συστήµατα πληροφοριών, µε τη διάθεση τους σε τράπεζες και τρίτους» (βλ. άρθρα 1 και 2β του καταστατικού της εταιρείας που περιλαµβάνεται στην από 14-12-1992 εταιρική σύµβαση)˙ όµως η προσθήκη της διάθεσης σε τρίτους παραλείφθηκε έκτοτε από τα επόµενα καταστατικά της ανώνυµης πλέον εταιρείας. Από το Σεπτέµβριο του 1997 έως και σήµερα η αιτούσα λειτουργεί ως ανώνυµη εταιρεία (βλ. ΦΕΚ ΑΕ-EΠΕ 6322/03.09.1997), µέτοχοι της οποίας µπορεί να είναι µόνον πιστωτικά ιδρύµατα κατά την έννοια του ν. 3601/ 2007 «Ανάληψη και άσκηση δραστηριοτήτων από τα πιστωτικά ιδρύµατα, επάρκεια ιδίων κεφαλαίων των πιστωτικών ιδρυµάτων και των επιχειρήσεων παροχής επενδυτικών υπηρεσιών και λοιπές διατάξεις», όπως ισχύει, και θυγατρικές εταιρείες πιστωτικών ιδρυµάτων µε σκοπό τη χρηµατοδοτική µίσθωση, την πρακτόρευση επιχειρηµατικών απαιτήσεων τρίτων ή την διαχείριση για λογαριασµό µητρικών πιστωτικών ιδρυµάτων προϊόντων καταναλωτικής πίστης και µέσων πληρωµών (βλ. άρθρα 1 και 7 του από 21-09-2012 τροποποιηµένου καταστατικού της εταιρείας, το οποίο υποβλήθηκε στην Αρχή µε το υπ’ αριθµ. πρωτ. Αρχής ΓΝ/ΕΙΣ/1738/25-09-2014 έγγραφο).
Η Αρχή, µε τις κανονιστικές αποφάσεις 24/ 2004 και 25/ 2004, όρισε τις προϋποθέσεις τήρησης αρχείου από την ΤΕΙΡΕΣΙΑΣ Α.Ε. Σκοπός τήρησης και λειτουργίας του εν λόγω αρχείου είναι «η ελαχιστοποίηση των κινδύνων από τη σύναψη πιστωτικών συµβάσεων µε αφερέγγυους πελάτες και εν γένει από τη δηµιουργία επισφαλών απαιτήσεων και τελικά η προστασία της εµπορικής πίστης και η εξυγίανση των οικονοµικών συναλλαγών», ενώ η σχετική επεξεργασία επιτρέπεται ως επεξεργασία απολύτως αναγκαία για την ικανοποίηση του υπέρτερου έννοµου συµφέροντος του υπεύθυνου επεξεργασίας και των νοµίµων αποδεκτών των δεδοµένων, δηλαδή, κατά κύριο λόγο, των µοναδικών µετόχων του τραπεζικών ιδρυµάτων, σύµφωνα µε το άρθρο 5 παρ. 2 στοιχ. ε΄ του ν. 2472/ 1997 (βλ. παρ. 1 της απόφασης 24/ 2004). Επισηµαίνεται δε ότι, σύµφωνα µε την παρ. 4 της απόφασης 24/ 2004, «Αποδέκτες των δεδοµένων, σύµφωνα µε τον σκοπό της επεξεργασίας, δικαιολογείται να είναι µόνο οι τράπεζες, τα χρηµατοπιστωτικά ιδρύµατα και οι εταιρείες διαχείρισης πιστωτικών καρτών, καθώς και φορείς του δηµόσιου τοµέα, όχι τρίτοι µετέχοντες στις οικονοµικές συναλλαγές και ακόµη λιγότερο µη µετέχοντες. Επισηµαίνεται δε στην αυτή απόφαση ότι ήδη η «Τειρεσίας Α.Ε.» γνωστοποίησε στην Αρχή, ότι το ∆.Σ. της αποφάσισε να περιορίσει µόνο στους παραπάνω νοµιµοποιούµενους, κατά τον σκοπό της επεξεργασίας, αποδέκτες τη διακίνηση των δεδοµένων. Είναι αυτονόητο ότι µόνον οι παραπάνω αποδέκτες προσωπικών δεδοµένων έχουν το δικαίωµα χρησιµοποίησης τους. Η περαιτέρω επεξεργασία τους (διαβίβαση σε τρίτους κ.λ.π.) από αυτούς είναι απολύτως απαγορευτική». Επιπρόσθετα, σύµφωνα µε την παρ. 2 της απόφασης 24/ 2004, «Από τα δεδοµένα που υποβάλλονται σε επεξεργασία πρέπει να απαλειφθούν εκείνα που αφορούν αγορές και πωλήσεις ακινήτων, ως µη συµβιβαζόµενα προς την αρχή της αναλογικότητας, κατά την οποία τα δεδοµένα «δεν πρέπει να είναι περισσότερα από όσα κάθε φορά απαιτείται εν όψει του σκοπού της επεξεργασίας» (άρθρο 4 παρ. 1 εδ. β του νόµου). Η διατήρηση τέτοιων στοιχείων προκαταβολικά, για απροσδιόριστο αριθµό προσώπων που δεν τα συνδέει (και ίσως δεν θα τα συνδέσει ποτέ) καµιά σχέση µε τις τράπεζες υπερακοντίζει τους σκοπούς του αρχείου. Η επέµβαση στην ιδιωτική σφαίρα όλων αυτών των προσώπων είναι εντονότερη επιβάρυνση των συµφερόντων τους από ό,τι η επιβάρυνση µιας τράπεζας να φροντίζει σε κάθε συγκεκριµένη περίπτωση, πριν π.χ. συνάψει µια πιστωτική σύµβαση µε ένα πελάτη της, να ζητεί ενηµέρωση για την ακίνητη περιουσία του, αν αποδίδει σηµασία σ’ αυτό και πέρα από τις ασφάλειες που του ζητεί.[…]». Ο σκοπός αυτός αναγνωρίστηκε και µεταγενέστερα σε διατάξεις νόµων [Όπως των άρθρων 40 του ν.3259/ 2004, 70 του ν.3746/ 2009 και 3 και 4 του ν.3816/ 2010] ως σκοπός των εν λόγω αρχείων δεδοµένων οικονοµικής συµπεριφοράς της ΤΕΙΡΕΣΙΑΣ Α.Ε. που λειτουργούν χάριν των πιστωτικών και χρηµατοδοτικών ιδρυµάτων. Από όλα τα παραπάνω, προκύπτει µε σαφήνεια ότι ο σκοπός τήρησης και λειτουργίας του αρχείου της ΤΕΙΡΕΣΙΑΣ Α.Ε. είναι προσδιορισµένος και περιορισµένος, καθώς αναφέρεται αποκλειστικά στην προστασία του τραπεζικού συστήµατος από αφερέγγυους πελάτες.
Εξάλλου, η ΤΕΙΡΕΣΙΑΣ ΑΕ που, σηµειωτέον, λειτουργεί και ως κόµβος των τραπεζικών ιδρυµάτων µε την Γενική Γραµµατεία Πληροφοριακών Συστηµάτων για τη διαβίβαση βεβαίωσης φορολογικής ενηµερότητας, αλλά και του συστήµατος µητρώου τραπεζικών λογαριασµών [Το άρθρο 62 παρ. 2 του ν. 4170/ 2013 ορίζει ότι «….ως κόμβος ηλεκτρονικής διασύνδεσης και επικοινωνίας των υπόχρεων προσώπων με τη Γ.Γ.Π.Σ. για τις ανάγκες του παρόντος, ορίζεται η διατραπεζική εταιρεία “Τραπεζικά Συστήματα Πληροφοριών – Τειρεσίας Α.Ε.”»], γνωστοποιεί κατά διαστήµατα στην Αρχή, µε επίκληση του συµφέροντος προστασίας της τραπεζικής πίστης, τον εµπλουτισµό των αρχείων της µε νέα αρχεία και δεδοµένα (π.χ. αρχείο εκχωρηµένων απαιτήσεων από συµβάσεις και πιστοποιήσεις εκτέλεσης δηµοσίων έργων, αιτήσεις και αποφάσεις δικαστικής ρύθµισης χρεών κλπ.). Στο ίδιο πνεύµα κινούνται και οι ενηµερώσεις της εταιρείας προς τα υποκείµενα των δεδοµένων, καθώς και τους αποδέκτες των δεδοµένων, δηλαδή ότι η εταιρεία λειτουργεί ως διατραπεζικό σύστηµα για την εξυπηρέτηση των συµφερόντων των νοµικών προσώπων που παρέχουν πίστη και ελέγχονται από την ΤτΕ ή από άλλες κεντρικές τράπεζες των κρατών µελών της ΕΕ κατά τους όρους της Οδηγίας 2006/48/ΕΚ «σχετικά µε την ανάληψη και την άσκηση δραστηριότητας πιστωτικών ιδρυµάτων» και του ν. 3601/2007, καθώς και του συµφέροντος λειτουργίας ορισµένων φορέων του δηµοσίου, των οποίων είναι προφανές το έννοµο συµφέρον [Βλ. Συμπληρωματική γνωστοποίηση ΤΕΙΡΕΣΙΑ του εντύπου με τίτλο «Ωφέλεια και Αναγκαιότητα Αρχείων ΤΕΙΡΕΣΙΑΣ», Μάρτιος 2009, καθώς και, ενδεικτικά, την από 30-11-2008 ενημέρωση δια του τύπου στην εφημερίδα «ΠΡΩΤΟ ΘΕΜΑ».].
Επιπλέον, η κοινή γνώση και οι εύλογες προσδοκίες των υποκειµένων, βασιζόµενες σε νοµικές καταστάσεις και πραγµατικά περιστατικά (βλ. απόφαση 234/11.12.2006 της ΕΤΠΘ της ΤτΕ για την αναγγελία δεδοµένων ακάλυπτων επιταγών και συναλλαγµατικών από τις τράπεζες στο διατραπεζικό αρχείο ΣΑΥ της ΤΕΙΡΕΣΙΑΣ), οδηγούν στο συµπέρασµα ότι η µεταγενέστερη διάθεση και εµπορία των εν λόγω για το συµφέρον του χρηµατοπιστωτικού συστήµατος συλλεγέντων δεδοµένων δεν ήταν ούτε είναι αναµενόµενη από τα υποκείµενα τους κατά το στάδιο της συλλογής τους και µεταγενέστερα. Τούτο δε για τον λόγο ότι αναγνωρίζεται επί µεγάλο διάστηµα από τον νοµοθέτη και την Αρχή, αλλά και εκλαµβάνεται από τα υποκείµενα και γενικότερα την κοινωνία, ότι η εταιρεία προβαίνει σε επεξεργασία δεδοµένων για επιδίωξη συγκεκριµένου εννόµου συµφέροντος των τραπεζών που έγκειται στη διασφάλιση του γενικότερου δηµόσιου συµφέροντος της τραπεζικής πίστης (βλ. ενδεικτικά, ενηµερώσεις τύπου για τήρηση αρχείου 15/12/2001, 15/12/2002, 13/11/2005, 19/11/2006, όπου αναφέρεται ρητά η εταιρεία στην αποκλειστική παροχή στα χρηµατοπιστωτικά ιδρύµατα πληροφόρησης για την εκτίµηση της φερεγγυότητας και πιστοληπτικής ικανότητας των πελατών τους). Όπου δε η εταιρεία έπρεπε να προβεί σε επεξεργασίες πέρα από τις νόµιµες υποχρεώσεις της για να υποβοηθήσει δηµόσιες αρχές ή ιδιωτικούς φορείς στην προσπάθεια καταπολέµησης παράνοµων δραστηριοτήτων, υπήρξε ειδική ρύθµιση από το νοµοθέτη [Βλ. π.χ. την σχετική ειδική ρύθμιση για την πρόσβαση της Αρχής Καταπολέμησης της Νομιμοποίησης Εσόδων από Εγκληματικές Δραστηριότητες και της Χρηματοδότησης της Τρομοκρατίας στο άρθρο 7Β παρ. 1 του ν. 3691/2008 «Πρόληψη και καταστολή της νομιμοποίησης εσόδων από εγκληματικές δραστηριότητες και της χρηματοδότησης της τρομοκρατίας και άλλες διατάξεις», το οποίο προστέθηκε με το άρθρο 2 παρ. 2 του ν. 3932/2011 (ΦΕΚ Α 49/10.3.2011), «1. Οι Μονάδες της Αρχής έχουν πρόσβαση σε κάθε μορφής αρχείο δημόσιας αρχής ή οργανισμού που τηρεί και επεξεργάζεται δεδομένα, καθώς και στο σύστημα "Τειρεσίας"»] και την Αρχή [Βλ. Κανονιστικές Αποφάσεις 24/2004 παρ. 4 και 25/2004 Κεφ. Β΄ της Αρχής, όπου ορίζονται, μεταξύ άλλων, ως νόμιμοι αποδέκτες των δεδομένων του αρχείου οι φορείς του δημοσίου τομέα, οι εταιρείες πρακτορείας επιχειρηματικών απαιτήσεων και οι εταιρείες χρηματοδοτικής μίσθωσης. Πρβλ. και Απόφαση 66/ 2013, όπου κρίθηκε ότι η επεξεργασία των δεδομένων από τράπεζα, πέραν του σκοπού για τον οποίο αρχικώς συλλέχθηκαν από την ΤΕΙΡΕΣΙΑΣ Α.Ε. (έλεγχος πιστοληπτικής ικανότητας πελάτη, ο οποίος ήταν ταυτόχρονα και υπάλληλος της τράπεζας), για τον σκοπό του πειθαρχικού ελέγχου υπαλλήλου της διενεργούσης την επεξεργασία τράπεζας, συνιστά θεμιτή μεταβολή του σκοπού της αρχικής συλλογής και επεξεργασίας των προσωπικών δεδομένων του προσφεύγοντος. Εκτός σκοπού, βλ., ενδεικτικά, Αποφάσεις 61/ 2001 (όπου κρίθηκε παράνομη η πρόσβαση τράπεζας στο αρχείο της ΤΕΙΡΕΣΙΑΣ με σκοπό την ανεύρεση και προσκόμισή τους στο δικαστήριο δυσμενών στοιχείων πελάτη της και αντιδίκου της σε δίκη ασφαλιστικών μέτρων), 62/ 2003 (όπου κρίθηκε ότι η επέκταση των αποδεκτών του αρχείου της ΤΕΙΡΕΣΙΑΣ ΑΕ και στις Εταιρείες Ασφάλισης Πιστώσεων και Εγγυήσεων δεν δικαιολογείται από τον σκοπό επεξεργασίας του συγκεκριμένου αρχείου), 57/ 2013 (επιβολή προστίμου σε τράπεζα για παράνομη πρόσβαση υπαλλήλων της στα αρχεία της ΤΕΙΡΕΣΙΑΣ Α.Ε. και για μη ικανοποίηση του δικαιώματος πρόσβασης), 154/ 2013 (επιβολή προστίμων σε τράπεζα και ιδιωτική εταιρία για παράνομη συλλογή και χρήση δεδομένων πιστοληπτικής ικανότητας από τα αρχεία της ΤΕΙΡΕΣΙΑΣ Α.Ε.)].
Από τα ανωτέρω συνάγεται σαφώς ότι ο σκοπός δηµιουργίας των ανωτέρω αρχείων της ΤΕΙΡΕΣΙΑΣ είναι σαφής, περιορισµένος και προσδιορισµένος από τη µετέπειτα νοµοθεσία, από τις αποφάσεις της Αρχής, αλλά και από τις δηµόσιες ανακοινώσεις της εταιρείας. Σκοπός όµως του ΤΣΕΚ, όπως αναφέρεται και στο υπ’ αριθµ. πρωτ. ΓΝ/ΕΙΣ/6547/30-10-2014 υπόµνηµα, είναι η παροχή ορθών και επίκαιρων πληροφοριών οικονοµικής συµπεριφοράς των υποκειµένων για την εξασφάλιση γενικά της εµπορικής πίστης, της αξιοπιστίας και ασφάλειας των συναλλαγών και τελικά της άσκησης του δικαιώµατος οικονοµικής ελευθερίας των επιχειρηµατιών. Συνεπώς ο σκοπός αυτός διαφέρει του αναφερόµενου στην απόφαση 24/2004 της Αρχής και προσοµοιάζει απολύτως, αν δεν ταυτίζεται, προς τον σκοπό των εταιρειών διαπίστωσης πιστοληπτικής ικανότητας της απόφασης 26/ 2004 της Αρχής (ΦΕΚ Β΄ 684/2004, πρώην υπ’ αριθµ. 050/20.01.2000), για τον οποίο ούτε από την Αρχή έχει κριθεί ούτε από την συναφή νοµοθεσία αναγνωρίζεται ότι λειτουργεί η ΤΕΙΡΕΣΙΑΣ. Η ΤΕΙΡΕΣΙΑΣ ΑΕ δηλώνει ότι, ο επιδιωκόµενος σκοπός ως προς το «ΤΣΕΚ» είναι ο ίδιος σκοπός, µε τον οποίο συγκροτήθηκαν όπως στην απόφαση 24/ 2004 αναφέρεται, τα αρχεία της που τηρεί ως διατραπεζικό σύστηµα (ΣΑΥ, ΣΥΠ και ΣΣΧ). Όµως, µέτρο κρίσεως για την ταυτότητα ή µεταβολή του σκοπού δεν είναι το αν πληρούνται οι γενικοί και αφηρηµένοι ορισµοί του νόµου και των κανονιστικών αποφάσεων της Αρχής περί νοµιµότητας των σκοπών επεξεργασίας, για τη λειτουργία των εταιρειών διαπίστωσης της πιστοληπτικής ικανότητας των υποκειµένων, αλλά ο εκάστοτε γνωστοποιηθείς στην Αρχή συγκεκριµένος σκοπός επεξεργασίας, το οποίο θεώρησε η Αρχή ως µη αντικείµενο στις διατάξεις περί προστασίας των δεδοµένων προσωπικού χαρακτήρα. Επιπλέον, η εταιρεία όχι απλώς δεν εξειδικεύει τη λειτουργία του ΤΣΕΚ µε επαρκή σαφήνεια και καθαρή και µη αµφισβητήσιµη γλώσσα, αλλά δηµιουργεί σύγχυση: Στις ενηµερώσεις της προς τα υποκείµενα αναφέρει το ΤΣΕΚ- ως σύστηµα και άλλοτε ως υπηρεσία- που αποτελεί το µέσο πρόσβασης στα υπάρχοντα αρχεία ΣΑΥ και ΣΥΠ, ενώ στη γνωστοποίηση του αρχείου προς την Αρχή διατείνεται ότι αυτό είναι απολύτως διακριτό από το «σύστηµα διάθεσης των δεδοµένων στο χρηµατοπιστωτικό σύστηµα» αν και διευρύνει στις ατοµικές ενηµερώσεις τον κύκλο των αποδεκτών των αρχείων συµπεριλαµβάνοντας και συναλλασσόµενες µε το υποκείµενο ατοµικές επιχειρήσεις και φυσικά πρόσωπα. Στις ενηµερώσεις για τήρηση αρχείου µέσω τύπου δεν αναφέρεται η υπηρεσία ΤΣΕΚ, στη δε νέα κατηγορία «∆ιάθεση των στοιχείων σε τρίτους», αναφέρονται αόριστα «αποδέκτες- νοµικά πρόσωπα» (βλ. εφηµερίδα REAL NEWS 20/6/2014), παραβλέποντας η εταιρεία ότι η διάθεση σε τρίτους δεδοµένων των εν λόγω αρχείων της που όµως έχουν συλλεγεί για διαφορετικό σκοπό έρχεται σε αντίθεση προς την υπ’ αριθµ. 24/ 2004 απόφαση της Αρχής και συνεπώς είναι παράνοµη. Επιπροσθέτως, στο αρχείο ΤΣΕΚ τηρούνται και διατίθενται προς εµπορία στοιχεία ακάλυπτων επιταγών/συναλλαγµατικών κάνοντας χρήση των αρχείων ΣΑΥ και ΣΥΠ της εταιρείας, ενώ σύµφωνα µε την απόφαση 71/ 2001 της Αρχής, µπορούν να διαβιβάζονται νόµιµα σε εταιρείες διαπίστωσης πιστοληπτικής ικανότητας µόνο τα στοιχεία που έχει η κάθε µία τράπεζα στο δικό της αρχείο και όχι αυτά που µπορεί να έχει πρόσβαση µέσω του διατραπεζικού συστήµατος ΤΕΙΡΕΣΙΑΣ. Περαιτέρω, η Αρχή έχει χορηγήσει στην ΤΕΙΡΕΣΙΑΣ Α.Ε. άδεια διασύνδεσης µε τη Γ.Γ.Π.Σ. µε σκοπό λειτουργίας της αποκλειστικά προς χάριν των τραπεζών (βλ. υπ’ αριθµ. πρωτ. ΓΝ/ΕΞ/351/16-3-2007 άδεια διασύνδεσης αρχείων µε χρήση ενιαίου κωδικού αριθµού σύµφωνα µε το άρθρο 8 παρ.3 και 4 του ν.2472/1997, αρ. αδείας 21, η οποία έχει ανανεωθεί µέχρι τις 03-07-2017 µε την υπ’ αριθµ. πρωτ. Γ/ΕΞ/926/09-07-2012 ανανέωση αδείας).
Συνεπώς, ο ισχυρισµός της ΤΕΙΡΕΣΙΑΣ ΑΕ ότι ο σκοπός λειτουργίας του συστήµατος «ΤΣΕΚ» είναι ο αυτός που η εταιρεία επιδιώκει ως διατραπεζική εταιρεία που λειτουργεί χάριν των πιστωτικών και χρηµατοδοτικών ιδρυµάτων είναι αβάσιµος, όπως αβάσιµος είναι και ο περαιτέρω ισχυρισµός ότι νοµίµως γίνεται διαχωρισµός µεταξύ των διαβιβαζόµενων πληροφοριών πιστοληπτικής ικανότητας στο χρηµατοπιστωτικό σύστηµα και των µη προβλεποµένων από τον σκοπό διαβιβαζοµένων πληροφοριών σε νοµικά και φυσικά πρόσωπα.

 2. Παράλειψη γνωστοποίησης στην Αρχή.

Η εν λόγω επεξεργασία γνωστοποιήθηκε στην Αρχή µετά την έναρξή της και, ειδικότερα, όσον αφορά επεξεργασία δεδοµένων φυσικών προσώπων, έξι µήνες αργότερα (Ιούνιος 2014). Ως εκ τούτου, υπάρχει µη έγκαιρη γνωστοποίηση κατά παράβαση του άρθρου 6 του ν. 2472/1997. Τούτο άλλωστε ρητώς συνοµολογήθηκε από την εταιρεία.

3. Παράλειψη ενηµέρωσης των υποκειµένων των δεδοµένων - Ενηµέρωση των υποκειµένων µέσω του αποδέκτη.

Η εταιρεία δεν έχει ενηµερώσει σύµφωνα µε το άρθρο 11 του ν. 2472/1997 τα υποκείµενα των δεδοµένων για τα βασικά στοιχεία της εν λόγω επεξεργασίας ούτε κατά το στάδιο της συλλογής, ούτε πριν την ανακοίνωση τους στους αποδέκτες. Στις µέχρι τις 14-10-2014 εξηγήσεις της προς την Αρχή, η εταιρεία δηλώνει ότι η ενηµέρωση αυτή πραγµατοποιείται µέσω του επιτηδευµατία – αποδέκτη, ο οποίος αναλαµβάνει τη ρητή συµβατική δέσµευση να συµπεριλάβει στις αιτήσεις, έντυπα παραγγελίας κ.α. ή/και τις συµβάσεις του, την έγγραφη ενηµέρωση του αντισυµβαλλοµένου για τα βασικά στοιχεία της εν λόγω επεξεργασίας, καθώς και να τηρεί υποχρεωτικά τις έγγραφες αυτές ενηµερώσεις στο αρχείο του, ώστε να µπορεί η ΤΕΙΡΕΣΙΑΣ Α.Ε. να αποκτά πρόσβαση σε αυτές οποτεδήποτε, προκειµένου να ελέγχει τη συµµόρφωση του πελάτη της µε το σχετικό όρο της µεταξύ τους σύµβασης (όρος 7.6 του υποβληθέντος µέχρι πρότινος τηρουµένου σχεδίου).
Από τη δήλωση αυτή της αιτούσας, προκύπτει ότι η αιτούσα «µετακυλύει» ουσιαστικά τη δική της υποχρέωση στον εκάστοτε αποδέκτη των δεδοµένων. Όµως,  από µόνη την ενηµέρωση του υποκειµένου εκ µέρους του αποδέκτη δεν καθίσταται σαφές ότι ο τελευταίος ενεργεί για λογαριασµό του υπευθύνου. Τουναντίον, τόσο η αρχή του εµφανούς αναλογικώς εφαρµοζόµενη σε κάθε δήλωση όσο και η αρχή της διαφάνειας της επεξεργασίας των δεδοµένων (άρθρο 4 παρ.1), επιβάλλει να καθίσταται σαφές στο υποκείµενο για λογαριασµό ποίου ενεργεί αυτός που τον ενηµερώνει, στο δικό του όνοµα και λογαριασµό ή στο όνοµα και για λογαριασµό του υπευθύνου. Χωρίς αυτή τη διευκρίνιση, η ως άνω ενηµέρωση του υποκειµένου από τον αποδέκτη αντιβαίνει στην αρχή της διαφάνειας (άρθρο 4 παρ.1) και στο µέτρο αυτό, δεν συνιστά προσήκουσα κατά το άρθρο 11 παρ.1 ενηµέρωση. Τούτο διότι το άρθρο 11 παρ.1 επιτάσσει στον υπεύθυνο να αποσαφηνίζει πλήρως την «ταυτότητά» του στο υποκείµενο όταν το ενηµερώνει.
Αναλυτικότερα, από τα ανωτέρω προκύπτουν τα κάτωθι α) ο αποδέκτης καθίσταται ταυτόχρονα και «εκτελών την επεξεργασία» για λογαριασµό της ΤΕΙΡΕΣΙΑΣ Α.Ε. ως προς την εκπλήρωση της υποχρέωσης ενηµέρωσης, β) το υποκείµενο ενηµερώνεται τελικά για την υπό κρίση επεξεργασία µετά τη συλλογή, αλλά και µετά τη διαβίβαση των δεδοµένων του στον αποδέκτη. Οι διαδικασίες αυτές είναι αντίθετες µε όσα απαιτεί η Απόφαση 26/ 2004 Κεφ. Β΄ παρ. Ι.2 και IV όπου θεσπίζονται αυτοτελείς υποχρεώσεις του υπευθύνου και του αποδέκτη, αντίστοιχα για ατοµική ενηµέρωση του υποκειµένου. Ένδειξη υπέρ της νοµιµότητας µιας τέτοιας πρακτικής θα αποτελούσε εάν εξασφαλιζόταν η ενηµέρωση του υποκειµένου έστω µέσω του αποδέκτη πριν από την απόκτηση των δεδοµένων από τον τελευταίο, δηλαδή προτού να επιληφθεί ο αποδέκτης των συγκεκριµένων διαβιβαζόµενων δεδοµένων πιστοληπτικής ικανότητας. Εάν όµως έχει αυτός επιληφθεί των δεδοµένων, η παράβαση του άρθρου 11 του ν. 2472/1997 έχει συντελεστεί και ο αποδέκτης έχει καταστεί και αυτός υπεύθυνος επεξεργασίας, ο δε αρχικά υπεύθυνος έχει πλέον οριστικά παραλείψει να ενηµερώσει νόµιµα το υποκείµενο. ∆εδοµένου ότι µε την πρακτική αυτή της ΤΕΙΡΕΣΙΑΣ Α.Ε. δεν εκπληρώνεται η υποχρέωση ενηµέρωσης του υποκειµένου πριν από τη διαβίβαση στον αποδέκτη, διαπιστώνεται παράβαση του άρθρoυ 11 του ν. 2472/97 και της Κανονιστικής Απόφασης 26/2004 της Αρχής.
Η Αρχή, λαµβάνοντας υπόψη τη βαρύτητα των παραβάσεων των άρθρων 4, 6 και 11 του ν. 2472/1997 που διαπιστώθηκαν και συνδέονται άρρηκτα µεταξύ τους και της προσβολής που επήλθε από αυτές στα υποκείµενα των δεδοµένων, όπως αυτή εκτέθηκε αναλυτικά ανωτέρω, κρίνει ότι πρέπει να επιβληθεί στην ΤΕΙΡΕΣΙΑΣ Α.Ε., ως υπεύθυνο επεξεργασίας για το σύνολο των παραβάσεων αυτών, η προβλεπόµενη στο άρθρο 21 παρ.1 εδαφ. β΄ του ν. 2472/1997 κύρωση που αναφέρεται στο διατακτικό και η οποία τυγχάνει ανάλογη µε τη βαρύτητα των παραβάσεων και της προσβολής των υποκειµένων των δεδοµένων εξ’ αυτών.
ΓΙΑ ΤΟΥΣ ΛΟΓΟΥΣ ΑΥΤΟΥΣ
Η Αρχή,
1) ∆ιαπιστώνει ότι, µε τη λειτουργία του συστήµατος ΤΣΕΚ, η ΤΕΙΡΕΣΙΑΣ Α.Ε.  διεύρυνε παρανόµως τον σκοπό επεξεργασίας των δεδοµένων του αρχείου [Πρβλ. Γνώµη 3/2013, σελ. 18, όπου αναφέρεται ότι η υποχρέωση για σαφή προσδιορισµό του σκοπού είναι µεν διαφορετική από την υποχρέωση ενηµέρωσης του υποκειµένου και την υποχρέωση γνωστοποίησης στην Αρχή, ωστόσο και οι τρεις αυτές υποχρεώσεις είναι στενά συνδεδεµένες, καθώς κύριος στόχος της καθεµίας είναι η εξυπηρέτηση της διαφάνειας] της, υπέβαλε τη σχετική γνωστοποίηση στην Αρχή µε σηµαντική χρονική καθυστέρηση και δεν ενηµέρωσε προσηκόντως τα υποκείµενα των δεδοµένων για τη µεταβολή αυτή.
2) Επιβάλλει στην ΤΕΙΡΕΣΙΑΣ Α.Ε., ως υπεύθυνο επεξεργασίας, πρόστιµο ύψους εβδοµήντα πέντε χιλιάδων (75.000) Ευρώ για τις ως άνω διαπιστωθείσες παραβάσεις.

Δεν υπάρχουν σχόλια:

Addthis