Τρίτη, 15 Μαρτίου 2016

Επεξεργασία προσ. δεδομένων από Τράπεζα στον Τειρεσία, μη ικανοποίηση δικαιώματος πρόσβασης.

Α.Π.Δ.Π.Χ  71 / 2015

Η Αρχή Προστασίας ∆εδομένων Προσωπικού Χαρακτήρα συνεδρίασε μετά από πρόσκληση του Προέδρου της σε σύνθεση Τμήματος στην έδρα της στις 3/6/2015, σε συνέχεια των από 01-04-2015, 18-03-2015 και 27-05-2015 συνεδριάσεων, προκειμένου να εξετάσει την υπόθεση που αναφέρεται στο ιστορικό της παρούσας. Παρέστησαν οι Γ. Μπατζαλέξης, Αναπληρωτής Πρόεδρος, κωλυομένου του Προέδρου της Αρχής Π. Χριστόφορου, και τα αναπληρωματικά μέλη της Αρχής Σ. Βλαχόπουλος ως εισηγητής, Γ. Λαζαράκος και Χ. Ανθόπουλος, σε αντικατάσταση των τακτικών μελών Λ. Κοτσαλή, Α.-Ι. Μεταξά και ∆. Μπριόλα, οι οποίοι, αν και εκλήθησαν νομίμως εγγράφως, δεν παρέστησαν λόγω κωλύματος. Στη συνεδρίαση παρέστη, χωρίς δικαίωμα ψήφου, η Ε. Παπαγεωργοπούλου, υπάλληλος του τμήματος διοικητικών και οικονομικών υποθέσεων, ως γραμματέας. Η βοηθός εισηγητή Θ. Τουτζιαράκη, νομικός ελεγκτής (δικηγόρος), δεν παρέστη στη συνεδρίαση αυτή λόγω κωλύματος.

Η Αρχή έλαβε υπόψη τα παρακάτω:
Με την υπ’ αριθμ. πρωτ. Γ/ΕΙΣ/1403/28-02-2014 προσφυγή του προς την Αρχή, ο Α καταγγέλλει παράνομη επεξεργασία προσωπικών του δεδομένων σχετικά με την πιστοληπτική του ικανότητα από την τράπεζα Eurobank. Ειδικότερα, ο προσφεύγων αναφέρει ότι, κατόπιν άσκησης του δικαιώματος πρόσβασής του προς την εταιρεία ΤΕΙΡΕΣΙΑΣ Α.Ε. στις 04-12-2013, πληροφορήθηκε εγγράφως ότι η τράπεζα Eurobank αναζήτησε προσωπικά του δεδομένα σχετικά με την πιστοληπτική του ικανότητα στα αρχεία της ως άνω εταιρείας στις 18-09-2013 (βλ. την από 10-12-2013 επιστολή της ΤΕΙΡΕΣΙΑΣ Α.Ε. προς τον προσφεύγοντα). Στη συνέχεια, ο προσφεύγων άσκησε προς την τράπεζα Eurobank το δικαίωμα πρόσβασης με την από 07-01-2014 επιστολή του ζητώντας, συγκεκριμένα, να πληροφορηθεί «...τα πλήρη στοιχεία και ιδιότητα του/των συγκεκριμένου/ων υπαλλήλου/ων σας που προέβη/σαν στις ανωτέρω παράνομες αναζητήσεις προσωπικών μου δεδομένων, καθώς κι εκείνου/ων που έδωσε/αν τη σχετική εντολή ή απηύθηνε/αν ερώτημα ή παραίνεση ή αίτημα ή παράκληση, για ποια συγκεκριμένη αιτία, πώς επεξεργάστηκαν και που επικοινωνήθηκαν-γνωστοποιήθηκαν αυτά (αν έλαβε χώρα τέτοια περαιτέρω επεξεργασία κι επικοινωνία εσωτερικά ή εξωτερικά της Τράπεζας)». Η Τράπεζα φέρεται να απάντησε στο αίτημα αυτό με την από 23-01-2014 επιστολή της, όπου αναφέρει ότι η επίμαχη αναζήτηση διενεργήθηκε στο πλαίσιο αναζήτησης κατ’ όνομα, η οποία αφορούσε σε τρίτο πρόσωπο, συνονόματο του προσφεύγοντος. Σύμφωνα πάντα με την ως άνω προσφυγή, η τράπεζα Eurobank α) προέβη στην αναζήτηση των δεδομένων του προσφεύγοντος στα αρχεία της ΤΕΙΡΕΣΙΑΣ Α.Ε. χωρίς νόμιμο λόγο, δεδομένου ότι ο προσφεύγων ούτε διατηρούσε κάποια ενεργή κατά το χρόνο εκείνο συναλλακτική σχέση με τη συγκεκριμένη τράπεζα (πλην ενός σχεδόν μηδενικού και ανενεργού λογαριασμού με ελάχιστες κινήσεις μικρών χρηματικών ποσών, όπως αναφέρει) ούτε είχε απευθύνει οποιοδήποτε ερώτημα ή είχε γενικά οποιαδήποτε συναλλαγή ή εκκρεμότητα με την Τράπεζα, και β) δεν απάντησε ικανοποιητικά στο από 07-01-2014 αίτημά του, με το οποίο ο ίδιος άσκησε το δικαίωμα πρόσβασης (με την έννοια της πληροφόρησης), δεδομένου ότι, με την από 23-01-2014 επιστολή της, η τράπεζα Eurobank δεν του απάντησε σχετικά με όλα όσα ζήτησε. 
Στο πλαίσιο εξέτασης της ως άνω υπόθεσης, η Αρχή ζήτησε από την τράπεζα Eurobank να διευκρινίσει τις απόψεις της επ’ αυτής, οι οποίες υποβλήθηκαν εγγράφως (βλ. υπ’ αριθμ. πρωτ. Γ/ΕΞ/1403-1/16-10-2014 έγγραφο της Αρχής προς την τράπεζα Eurobank και υπ’ αριθμ. πρωτ. Γ/ΕΙΣ/698/04-02-2015 απάντηση της τράπεζας Eurobank, κατόπιν των υπ’ αριθμ. πρωτ. Γ/ΕΙΣ/6780/07-11-2014 και Γ/ΕΙΣ/6939/14-11-2014 αιτημάτων για παροχή παράτασης ως προς την προθεσμία απάντησης). Ειδικότερα, η τράπεζα Eurobank απάντησε στην Αρχή ότι προέβη σε αναζήτηση στοιχείων Βαθμολογικής Συμπεριφοράς προκειμένου να προτείνει στον προσφεύγοντα τη χορήγηση πιστωτικής κάρτας με προνομιακούς όρους, λαμβάνοντας υπόψη την καλή συναλλακτική της σχέση με τον ίδιο, και ότι η ΤΕΙΡΕΣΙΑΣ Α.Ε. απάντησε διαβιβάζοντας κωδικοποιημένο αποτέλεσμα βαθμολόγησης (score). Επίσης, η Τράπεζα ισχυρίζεται ότι ο προσφεύγων είχε συγκατατεθεί για την επεξεργασία προσωπικών του δεδομένων κατ’ εντολή της Τράπεζας με σκοπό την προώθηση των τραπεζικών υπηρεσιών και την αναβάθμιση των μεταξύ τους σχέσεων με ειδική ενυπόγραφη δήλωσή του που περιλαμβάνεται στο έντυπο της από 27-01-2006 αίτησης/σύμβαση προσωπικού-καταναλωτικού δανείου και πιστωτικής κάρτας. Περαιτέρω, η Τράπεζα αναφέρει ότι, για λόγους που ανάγονται στην πιστοληπτική πολιτική της, έλαβε τελικά την απόφαση να μην προβεί σε υποβολή πρότασης προς τον προσφεύγοντα για την κατάρτιση σύμβασης χορήγησης πιστωτικής κάρτας. Ακολούθως, ο προσφεύγων και η τράπεζα Eurobank κλήθηκαν νομίμως σε ακρόαση κατά τησυζήτηση της υπόθεσης ενώπιον της Αρχής στις 18-03-2015 με τις υπ’ αριθμ. πρωτ. Γ/ΕΞ/1441/05- 03-2015 και Γ/ΕΞ/1440/05-03-2015 κλήσεις σε ακρόαση, αντίστοιχα, και προσήλθαν. Κατά τη συνεδρίαση, η τράπεζα Eurobank ζήτησε και έλαβε αναβολή για τη συζήτηση της υπόθεσης για μεταγενέστερη ημερομηνία. Κατόπιν τούτου, η υπόθεση συζητήθηκε ενώπιον της Αρχής στις 01-04-2015, όπου οι κληθέντες εξέθεσαν προφορικά τις απόψεις τους, τις οποίες η τράπεζα Eurobank ανέπτυξε κατόπιν διεξοδικώς με σχετικό υπόμνημά της (βλ. το υπ’ αριθμ. πρωτ. Γ/ΕΙΣ/2235/08-04-Σημειώνεται δε ότι τόσο κατά τη συζήτηση ενώπιον της Αρχής όσο και με το τελευταίο υπόμνημά της, η Τράπεζα παραδέχθηκε ότι η από 23-01-2014 έγγραφή απάντησή της προς τον προσφεύγοντα (ότι η επίμαχη αναζήτηση αφορούσε σε τρίτο πρόσωπο συνονόματο του προσφεύγοντος) ήταν, ουσιαστικά, λανθασμένη και ότι το λάθος αυτό οφείλεται στο γεγονός ότι η εν λόγω απάντηση δόθηκε κατόπιν έρευνας που διεξήχθη «υπό πίεση χρόνου», δεδομένου ότι πολιτική της Τράπεζας είναι η σύντομη και έγκαιρη ικανοποίηση των αιτημάτων των πελατών της. Επιπρόσθετα, η Τράπεζα αναφέρει ότι, κατόπιν του υπ’ αριθμ. πρωτ. Γ/ΕΞ/1403-1/16-10-2014 διευκρινιστικού εγγράφου της Αρχής, αποφάσισε να διεξάγει «περαιτέρω και ενδελεχή έρευνα της υπόθεσης», από την οποία διαπιστώθηκε ότι η αναζήτηση στο Σύστημα Βαθμολογικής Συμπεριφοράς της ΤΕΙΡΕΣΙΑΣ Α.Ε. έλαβε χώρα πράγματι για τον προσφεύγοντα και όχι για τρίτο πρόσωπο συνονόματό του, στο πλαίσιο ενεργειών προώθησης πιστωτικής κάρτας. Αναφορικά δε με τη νομιμότητα της εν λόγω επεξεργασίας, η Τράπεζα ισχυρίζεται ότι, σύμφωνα με την Απόφαση 51/2011 της Αρχής και τη Γνώμη 1/2010 της Ομάδας Εργασίας του Άρθρου 29, αποκλειστικός υπεύθυνος επεξεργασίας των δεδομένων του Συστήματος Βαθμολογικής Συμπεριφοράς της ΤΕΙΡΕΣΙΑΣ Α.Ε. είναι η ΤΕΙΡΕΣΙΑΣ Α.Ε. και όχι οι τράπεζες, όταν το αποτέλεσμα της βαθμολόγησης στηρίζεται όχι μόνο στα δεδομένα που έχουν παράσχει οι τράπεζες, αλλά στο σύνολο των δεδομένων που τηρεί η ΤΕΙΡΕΣΙΑΣ Α.Ε. για ένα φυσικό πρόσωπο. Συνεπώς, κατά την άποψη της Τράπεζας, η ΤΕΙΡΕΣΙΑΣ Α.Ε. είναι η μόνη υπεύθυνη για τον έλεγχο της συνδρομής των νομίμων προϋποθέσεων για τη διαβίβαση των δεδομένων στην Τράπεζα. Επικουρικώς, η Τράπεζα σημειώνει ότι η επίμαχη επεξεργασία με τη μορφή της άντλησης των δεδομένων του προσφεύγοντος είναι νόμιμη, καθώς υπήρχε προς τούτο αίτηση και συγκατάθεση του προσφεύγοντος. Ειδικότερα, η Τράπεζα ισχυρίζεται ότι ο προσφεύγων διατηρούσε κατά την κρίσιμη περίοδο ενεργές συναλλακτικές σχέσεις με την Τράπεζα πλέον του ενός λογαριασμού που αναφέρει ότι διέθετε, καθώς υφίσταντο οι ακόλουθες ενεργές συμβάσεις:
α) Η από 09-02-2011 σύμβαση ανοίγματος τρεχούμενου καταθετικού λογαριασμού και αίτηση χορήγηση χρεωστικής κάρτας Euroline Debit, διενέργειας συναλλαγών μέσω ηλεκτρονικών δικτύων και Ειδικών Όρων Συνεργασίας, στο πλαίσιο της οποίας (σελ. 2 – όρος 5 και 6α) ο προσφεύγων είχε υπογράψει ότι αποδέχεται τους Γενικούς Όρους Συναλλαγών της Τράπεζας, στο άρθρο Ι του Κεφαλαίου 1 των οποίων προβλέπεται η επεξεργασία προσωπικών δεδομένων, ενώ στη σελ. 3 της ίδιας αίτησης ο προσφεύγων είχε συγκατατεθεί ρητά στη χρήση των προσωπικών του δεδομένων από την τράπεζα με σκοπό, μεταξύ άλλων, την προώθηση τραπεζικών υπηρεσιών.
Η Τράπεζα αναφέρει ότι, κατά την επίμαχη περίοδο, ο εν λόγω τραπεζικός λογαριασμός ήταν καθ’ όλα ενεργός (βλ. την προσκομιζόμενη από 30-03-2015 κίνηση λογαριασμού), ενώ παράλληλα έληγε η χορηγηθείσα χρεωστική κάρτα Euroline Debit και έλαβε χώρα η αντικατάστασή της, κατόπιν της οποίας πραγματοποιήθηκε και η εν λόγω αναζήτηση στην ΤΕΙΡΕΣΙΑΣ Α.Ε. Η Τράπεζα διευκρινίζει ότι προέβη στην αναζήτηση αυτή με σκοπό να προτείνει στον προσφεύγοντα, μετά την αντικατάσταση της χρεωστικής του κάρτας, την έκδοση πιστωτικής κάρτας, δηλαδή η πρόταση τραπεζικού προϊόντος με ευνοϊκότερους όρους. Ωστόσο, μετά το βαθμολογικό αποτέλεσμα που απεστάλη από την ΤΕΙΡΕΣΙΑΣ Α.Ε., η Τράπεζα αποφάσισε να μην προβεί στην εν λόγω προωθητική ενέργεια.
β) Η από 23-01-2012 αίτηση του προσφεύγοντος για τη χορήγηση χρεωστικής κάρτας Prepaid, κατ’ αποδοχή της οποίας εκδόθηκε η προπληρωμένη κάρτα, η οποία χρησιμοποιήθηκε από τον προσφεύγοντα έως τον Οκτώβρη 2013 και έληξε τον ∆εκέμβρη 2013, συνεπώς ήταν ενεργή κατά τον κρίσιμο χρόνο (βλ. την προσκομιζόμενη από 17-10-2013 συνοπτική εικόνα του λογαριασμού της εν λόγω κάρτας). 
Επίσης, η Τράπεζα επαναλαμβάνει τον ισχυρισμό που είχε προβάλει με την πρώτη έγγραφη απάντησή της προς την Αρχή (Γ/ΕΙΣ/698/04-02-2015) ότι ο προσφεύγων είχε συγκατατεθεί για την επεξεργασία προσωπικών του δεδομένων κατ’ εντολή της Τράπεζας με σκοπό την προώθηση των τραπεζικών υπηρεσιών και την αναβάθμιση των μεταξύ τους σχέσεων με ειδική ενυπόγραφη δήλωσή του που περιλαμβάνεται στο έντυπο της από 27-01-2006 αίτησης/σύμβαση προσωπικού-καταναλωτικού δανείου και πιστωτικής κάρτας, προκειμένου να επισημάνει ότι στο πλαίσιο όλων των συναλλακτικών σχέσεών του με την Τράπεζα (ενεργών, όπως οι δυο πρώτες, και ανενεργών, όπως η τελευταία), ο προσφεύγων είχε συγκατατεθεί πλειστάκις στην επεξεργασία προσωπικών του δεδομένων εκ μέρους της Τράπεζας. Όλως επικουρικώς, η Τράπεζα ισχυρίζεται ότι, ακόμη και αν κριθεί ότι δεν υφίστατο στην κρινόμενη περίπτωση συγκατάθεση του προσφεύγοντος, η επεξεργασία έλαβε χώρα νομίμως σύμφωνα με το άρθρο 5 παρ. 2 στοιχ. α ́ του ν. 2472/1997, καθώς έλαβε χώρα στο πλαίσιο της ως άνω σύμβασης ανοίγματος τρεχούμενου λογαριασμού και χορήγησης χρεωστικής κάρτας, για την οποία ήταν αναγκαίος ο έλεγχος των προσωπικών στοιχείων του προσφεύγοντος που ελέγχθηκαν κατά την έκδοσή της. Τέλος, αναφορικά με τη μη ικανοποίηση του δικαιώματος πρόσβασης του προσφεύγοντος, η Τράπεζα επαναλαμβάνει τον ισχυρισμό ότι δεν είναι υπεύθυνος επεξεργασίας ως προς το επίμαχο Σύστημα Βαθμολογικής Συμπεριφοράς της ΤΕΙΡΕΣΙΑΣ Α.Ε. και συνεπώς δεν υπέχει υποχρέωση χορήγησης πρόσβασης στον προσφεύγοντα ούτε έγγραφης σχετικής απάντησης σε αυτόν, άλλωστε η ίδια δεν διέθετε πλήρη πρόσβαση στο Σύστημα, ώστε να μπορέσει να χορηγήσει περισσότερες πληροφορίες στο Η Αρχή, μετά από εξέταση όλων των προαναφερόμενων στοιχείων του φακέλου, αφού άκουσε τον εισηγητή, και κατόπιν διεξοδικής συζήτησης, 

ΣΚΕΦΤΗΚΕ ΣΥΜΦΩΝΑ ΜΕ ΤΟΝ ΝΟΜΟ

1. Στο άρθρο 2 στοιχ. α ́ και γ ́ του ν. 2472/1997 ορίζονται οι έννοιες των απλών δεδομένων και του υποκειμένου αυτών αντίστοιχα, ενώ στο στοιχ. δ ́ του ίδιου άρθρου ορίζεται και η έννοια της επεξεργασίας, στην οποία συμπεριλαμβάνονται «η συλλογή, ..., η εξαγωγή, ..., η χρήση, ..., κάθε άλλης μορφής διάθεση... ». Επίσης, στο στοιχ. ζ ́ του ίδιου άρθρου ορίζεται ως «‘υπεύθυνος επεξεργασίας’, οποιοσδήποτε καθορίζει τον σκοπό και τον τρόπο επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, όπως φυσικό ή νομικό πρόσωπο, δημόσια αρχή ή υπηρεσία ή οποιοσδήποτε
άλλος οργανισμός. Όταν ο σκοπός και ο τρόπος της επεξεργασίας καθορίζονται με διατάξεις νόμου ή
κανονιστικές διατάξεις εθνικού ή κοινοτικού δικαίου, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια
βάσει των οποίων γίνεται η επιλογή του καθορίζονται αντίστοιχα από το εθνικό ή το κοινοτικό δίκαιο.», ενώ στο στοιχ. ια ́ του ίδιου άρθρου ορίζεται ως «‘συγκατάθεση’ του υποκειμένου των δεδομένων, κάθε ελεύθερη, ρητή και ειδική δήλωση βουλήσεως, που εκφράζεται με τρόπο σαφή, και
εν πλήρη επιγνώσει, και με την οποία, το υποκείμενο των δεδομένων, αφού προηγουμένως ενημερωθεί, δέχεται να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα
που το αφορούν. Η ενημέρωση αυτή περιλαμβάνει πληροφόρηση τουλάχιστον για τον σκοπό της επεξεργασίας, τα δεδομένα ή τις κατηγορίες δεδομένων που αφορά η επεξεργασία, τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα, καθώς και το όνομα, την επωνυμία και τη διεύθυνση του υπεύθυνου επεξεργασίας και του τυχόν εκπροσώπου του. Η συγκατάθεση μπορεί να ανακληθεί οποτεδήποτε, χωρίς αναδρομικό αποτέλεσμα.». Ακολούθως, στο άρθρο 4 του ν. 2472/1997 ορίζονται οι βασικές αρχές της επεξεργασίας, ενώ στο άρθρο 5 του ίδιου νόμου ορίζονται οι επιμέρους προϋποθέσεις για τη νομιμότητά της. Περαιτέρω, το άρθρο 12 του ν. 2472/1997 καθιερώνει το δικαίωμα πρόσβασης του υποκειμένου στα δεδομένα που το αφορούν με κύριο σκοπό να βεβαιώνεται το υποκείμενο για την ακρίβεια και τον σύννομο χαρακτήρα της επεξεργασίας των δεδομένων του (βλ. αιτιολογική σκέψη 41 της Οδηγίας 95/46/ΕΚ). Ως εκ τούτου, για την ικανοποίηση του δικαιώματος πρόσβασης δεν απαιτείται η επίκληση έννομου συμφέροντος, αφού θεωρείται δεδομένο το έννομο συμφέρον (έστω και ηθικό) του υποκειμένου να λάβει γνώση πληροφοριών που το αφορούν και οι οποίες έχουν καταχωρηθεί σε αρχείο που τηρεί ο υπεύθυνος επεξεργασίας, έτσι ώστε να πραγματώνεται η βασική αρχή του δικαίου για την προστασία των προσωπικών δεδομένων, που συνίσταται στη διαφάνεια της επεξεργασίας ως προϋπόθεση κάθε περαιτέρω ελέγχου της νομιμότητάς της εκ μέρους του υποκειμένου των δεδομένων (βλ. ενδεικτικά Αποφάσεις της Αρχής υπ’ αριθμ. 71/2013, 72/2013, 98/2014 και 149/2014). Από την πλευρά του, ο υπεύθυνος επεξεργασίας, έχει υποχρέωση να απαντήσει εγγράφως, κατά τρόπο εύληπτο και σαφή και μέσα σε προθεσμία δεκαπέντε (15) ημερών (άρθρο 12 παρ. 1, 2 και 4 του ν. 2472/1997).
2. Σύμφωνα με το άρθρο 40 παρ. 2 του ν. 3259/2004 για τα αρχεία δεδομένων οικονομικής συμπεριφοράς, όπως τροποποιήθηκε βάσει του άρθρου 70 του ν. 3746/2009 και του άρθρου 4 του ν. 3816/2010: «2. Επιτρέπεται στα πιστωτικά και χρηματοδοτικά ιδρύματα η διαβίβαση προς καταχώριση δεδομένων επί των εκάστοτε ανεξόφλητων υπολοίπων δανείων ή και πιστώσεων, περιλαμβανομένων και των υφιστάμενων, που χορηγούν σε φυσικά ή νομικά πρόσωπα ή ενώσεις προσώπων, σε αρχείο δεδομένων οικονομικής συμπεριφοράς που λειτουργεί νόμιμα, χάριν αυτών, χωρίς την προϋπόθεση του άρθρου 5 παρ. 1 του ν. 2472/1997 (ΦΕΚ 50 Α`). Η πρόσβαση των πιστωτικών και χρηματοδοτικών ιδρυμάτων στα ως άνω δεδομένα επιτρέπεται μόνο κατά τους όρους και προϋποθέσεις του ν. 2472/1997, όπως εκάστοτε ισχύει και εφαρμόζεται. [...]». Συνεπώς, η πρόσβαση των τραπεζών στα δεδομένα του Συστήματος Συγκέντρωσης Χορηγήσεων (εφεξής «ΣΣΧ» - λευκή λίστα) της ΤΕΙΡΕΣΙΑΣ Α.Ε. επιτρέπεται μόνο με τη συγκατάθεση του υποκειμένου των δεδομένων σύμφωνα με το άρθρο 5 παρ. 1 σε συνδυασμό με τη διάταξη του άρθρου 40 του ν. 3259/2004 παρ. 2 εδ. β ́, όπως ισχύει. 
3. Με την Απόφαση 51/2011 της Αρχής (∆ιενέργεια ∆ιοικητικού Ελέγχου στην ΤΕΙΡΕΣΙΑΣ Α.Ε.) κρίθηκαν για το Σύστημα Βαθμολόγησης Συμπεριφοράς της ΤΕΙΡΕΣΙΑΣ Α.Ε. (βλ. στοιχ. ε ́ του διατακτικού) τα ακόλουθα: «ε) Η Τειρεσίας Α.Ε. αποτελεί υπεύθυνο επεξεργασίας για το σύστημα Βαθμολογικής Συμπεριφοράς. Μόνο εάν το αποτέλεσμα της βαθμολόγησης στηρίζεται αποκλειστικά
σε δεδομένα που παρέχει ο εκάστοτε μεμονωμένος πελάτης/τράπεζα, μπορεί η ΤΕΙΡΕΣΙΑΣ να θεωρηθεί εκτελούσα την επεξεργασία. Στοιχεία βαθμολόγησης επιτρέπεται να διαβιβάζονται μόνο στην τράπεζα που έχει την αίτηση του ενδιαφερόμενου και τη σχετική συγκατάθεση. Στο έντυπο συγκατάθεσης πρέπει να υπάρχει ειδική ενημέρωση για το σύστημα βαθμολογικής συμπεριφοράς και λήψη ειδικής συγκατάθεσης για αυτό. Σε κάθε περίπτωση, τα αποτελέσματα της βαθμολόγησης δεν πρέπει να τηρούνται στο σύστημα μετά τη λειτουργία της δανειοδότησης ή να ανακοινώνονται σε άλλους συμμετέχοντες στο σύστημα χωρίς ξεχωριστή συγκατάθεση. Πρέπει να υπάρχει διαφάνεια για την επεξεργασία και να ενισχυθούν τα δικαιώματα των υποκειμένων. Βάσει του άρθρου 14 ν. 2472/97, το πρόσωπο έχει το δικαίωμα να λάβει αιτιολογημένη εξήγηση για την απόφαση που το επηρεάζει και λήφθηκε με χρήση του συστήματος βαθμολογικής συμπεριφοράς. Το υποκείμενο των δεδομένων έχει το δικαίωμα, εάν απορρίφθηκε η αίτηση δανειοδότησης κατά την οποία λήφθηκε υπόψη η βαθμολόγηση, να ζητήσει να συνυπολογιστεί η προσωπική του γνώμη στη λήψη δεύτερης μη αυτοματοποιημένης απόφασης». 
4. Κατ’ ακολουθία τούτων επί του ισχυρισμού της Τράπεζας ότι προέβη σε αναζήτηση στοιχείων Βαθμολογικής Συμπεριφοράς και ότι η ΤΕΙΡΕΣΙΑΣ Α.Ε. απάντησε διαβιβάζοντας κωδικοποιημένο αποτέλεσμα βαθμολόγησης (score), καθώς και ότι, πράγματι, η Τειρεσίας Α.Ε. αποτελεί υπεύθυνο επεξεργασίας για το σύστημα Βαθμολογικής Συμπεριφοράς, θα πρέπει να γίνει διάκριση μεταξύ  της ευθύνης της ΤΕΙΡΕΣΙΑΣ Α.Ε. και της Τράπεζας για την επεξεργασία των εν λόγω δεδομένων του προσφεύγοντος. Ειδικότερα επισημαίνεται ότι, παρά τους περί αντιθέτου ισχυρισμούς της Τράπεζας, ο κάθε υπεύθυνος επεξεργασίας επιδιώκει ως προς τη χρήση του Συστήματος Βαθμολογικής Συμπεριφοράς αυτοτελή σκοπό, καθώς η ΤΕΙΡΕΣΙΑΣ Α.Ε. επιδιώκει την παροχή της συγκεκριμένης υπηρεσίας προς τις τράπεζες έναντι ξεχωριστού οικονομικού ανταλλάγματος από εκείνο που λαμβάνει για την αυτοτελή εκ μέρους τους χρήση των αρχείων ΣΣΧ και ΣΑΥ/ΣΥΠ, ενώ οι τράπεζες επιδιώκουν τον καθορισμό της πιστοληπτικής τους πολιτικής με βάση το βαθμολογικό αποτέλεσμα που λαμβάνουν ως επιπρόσθετη πληροφορία σε σχέση με τα στοιχεία που αντλούν αυτοτελώς από τα αρχεία ΣΣΧ και ΣΑΥ/ΣΥΠ (βλ. άρθρα 2 στοιχ. ζ ́, 4 και 5 του ν. 2472/1997 και σκέψεις 2 και 3 της παρούσας). Για το λόγο αυτό, ο κάθε υπεύθυνος επεξεργασίας υπέχει ξεχωριστή ευθύνη για τη νομιμότητα της εν λόγω επεξεργασίας. 
Στη συγκεκριμένη περίπτωση, η Τράπεζα όφειλε να λάβει έγκυρη συγκατάθεση για τη συλλογή δεδομένων από το Σύστημα Βαθμολογικής Συμπεριφοράς της ΤΕΙΡΕΣΙΑΣ, η οποία πρέπει να είναι ξεχωριστή από τη συγκατάθεση που δίνει το υποκείμενο των δεδομένων για τους σκοπούς εκτέλεσης της σύμβασης χορήγησης πίστωσης δανείων και λοιπών τραπεζικών προϊόντων Όπως προβλέπεται στις ανωτέρω (υπό 2) διατάξεις, η πρόσβαση στο αρχείο ΣΣΧ της ΤΕΙΡΕΣΙΑΣ, μέσω του οποίου μπορεί να ζητηθεί από την τράπεζα η υπηρεσία scoring από το Σύστημα Βαθμολογικής Συμπεριφοράς της ΤΕΙΡΕΣΙΑΣ, προϋποθέτει ειδική συγκατάθεση του υποκειμένου. Στο έντυπο με τον χαρακτηρισμό «αίτηση/σύμβαση» που προσκόμισε η τράπεζα δεν περιλαμβάνεται αναφορά σχετικά με την πρόσβαση της τράπεζας στο αρχείο ΣΣΧ ή στο Σύστημα Βαθμολογικής Συμπεριφοράς της ΤΕΙΡΕΣΙΑΣ, στο οικείο δε τμήμα του κειμένου που αναφέρεται στην ενημέρωση σχετικά με την επεξεργασία των δεδομένων για τον σκοπό προώθησης τραπεζικών υπηρεσιών και τη λήψη της σχετικής συγκατάθεσης του προσφεύγοντος, πέραν του ότι δεν υπάρχει η υπογραφή του προσφεύγοντος, πάσχει και η ενημέρωση και η συγκατάθεση, διότι αφενός η ενημέρωση δεν αναφέρει την επεξεργασία του scoring, αφετέρου η μη δήλωση αντίρρησης (opt-out) καταφανώς δεν πληροί την έννοια της συγκατάθεσης, κατά τη διάταξη του άρθρου 2 στοιχ. ια’ τουν.2472/97, το περιεχόμενο της οποίας παρατίθεται ανωτέρω στην παράγραφο 1. Συνεπώς, δεδομένου ότι η Τράπεζα, όπως ισχυρίζεται, ζήτησε και έλαβε από την ΤΕΙΡΕΣΙΑΣ Α.Ε. στοιχεία Βαθμολογικής Συμπεριφοράς του προσφεύγοντος, όφειλε να έχει λάβει τη ρητή, ειδική και ελεύθερη προς τούτο συγκατάθεση του υποκειμένου, ενημερώνοντάς τον για τον συγκεκριμένο σκοπό της χορήγησης πιστωτικής κάρτας με προνομιακούς όρους μέσω δημιουργίας score από την ΤΕΙΡΕΣΙΑΣ (βλ. ανωτέρω διατάξεις άρθρων 4 και 5 παρ. 1 σε συνδυασμό με την ως άνω του άρθρου 2 στοιχ. ια ́ του ν. 2472/1997 και Απόφαση 51/2011 της Αρχής). Τέτοια όμως συγκατάθεση ούτε ισχυρίζεται ούτε αποδεικνύει η τράπεζα ότι έλαβε από τον προσφεύγοντα. Συνεπώς ο ισχυρισμός αυτός, ανεξαρτήτως του ότι δεν προβάλλεται νομίμως, αφού, όπως λέχθηκε, δεν επικαλείται η Τράπεζα ότι υπήρχε ειδική συγκατάθεση του προσφεύγοντα για τη διενέργεια της συγκεκριμένης επεξεργασίας (scoring) από την ΤΕΙΡΕΣΙΑΣ, ελέγχεται αβάσιμος, ενόψει του ότι από κανένα αποδεικτικό στοιχείο προέκυψε η διενέργεια της επεξεργασίας αυτής για τον επικαλούμενο συγκεκριμένο λόγο, η οποία, ούτως ή άλλως, ελλείψει της ειδικής προς τούτο συγκατάθεσης του προσφεύγοντος, δεν ήταν επιτρεπτή. Συνεπώς δεν αποδείχθηκε ότι η πρόσβαση της τράπεζας στο αρχείο ΣΣΧ της ΤΕΙΡΕΣΙΑΣ και η έρευνα των στοιχείων πιστοληπτικής ικανότητας του προσφεύγοντος διενεργήθηκαν νομίμως.
5. Ο προσφεύγων, ως υποκείμενο των δεδομένων (άρθρο 2 στοιχ. α ́ και γ ́ του ν. 2472/1997), έχει, μεταξύ άλλων, δικαίωμα πρόσβασης σχετικά με τα δεδομένα που τον αφορούν και τα οποία συλλέγονται από την Τράπεζα, καθώς και σε οποιοδήποτε άλλο στοιχείο που αφορά στην περαιτέρω επεξεργασία των δεδομένων του, όπως π.χ. οι σκοποί της επεξεργασίας, οι αποδέκτες ή κατηγορίες αποδεκτών, η εξέλιξη της επεξεργασίας για το χρονικό διάστημα από την προηγούμενη ενημέρωσή του κ.ά. (άρθρο 12 του ν. 2472/1997). Η από 23-01-2014 απάντηση της Τράπεζας στο από 07-01-2014 αίτημά του προσφεύγοντος, στην οποία η Τράπεζα αναφέρει ότι η επίμαχη αναζήτηση διενεργήθηκε στο πλαίσιο αναζήτησης κατ’ όνομα, η οποία αφορούσε σε τρίτο πρόσωπο, συνονόματο του προσφεύγοντος, αποδείχθηκε αναληθής, καθώς έρχεται σε αντίθεση με τη μεταγενέστερη απάντηση της Τράπεζας προς την Αρχή, όπου η Τράπεζα αναφέρει ότι προέβη σε αναζήτηση στοιχείων Βαθμολογικής Συμπεριφοράς προκειμένου να προτείνει στον προσφεύγοντα τη χορήγηση πιστωτικής κάρτας με προνομιακούς όρους. Άλλωστε η ίδια η Τράπεζα παραδέχθηκε ότι η πρώτη της απάντηση προς τον προσφεύγοντα, αν και εμπρόθεσμη, ήταν λανθασμένη λόγω «πίεσης χρόνου», και ότι μόνο μετά την παρέμβαση της Αρχής διεξήγαγε «περαιτέρω και ενδελεχή έρευνα της υπόθεσης» για να εντοπίσει τον πραγματικό σκοπό της εν λόγω επεξεργασίας. Συνεπώς, με την απάντηση αυτή δεν ικανοποιήθηκε το δικαίωμα πρόσβασης του προσφεύγοντος. 
Συγκεκριμένα, παρατηρείται ότι η Τράπεζα δεν ήταν σε θέση να απαντήσει στην Αρχή εντός ευλόγου χρόνου (βλ. υπ’ αριθμ. πρωτ. Γ/ΕΞ/1403-1/16-10-2014 διευκρινιστικό έγγραφο της Αρχής και τα δυο υπ’ αριθμ. πρωτ. Γ/ΕΙΣ/6780/07-11-2014 και Γ/ΕΙΣ/6939/14-11-2014 αιτήματα αναβολής που ζήτησε και έλαβε η Τράπεζα ως προς την προθεσμία απάντησης). Πρέπει να σημειωθεί ότι ακόμα και η πρώτη απάντηση που δόθηκε στην Αρχή (Γ/ΕΙΣ/698/04-02-2015) ήταν επίσης ανακριβής, αφού αναφερόταν σε μη έγκυρη συγκατάθεση για την εν λόγω επεξεργασία που είχε ληφθεί με την από 27-01-2006 αίτηση/σύμβαση προσωπικού-καταναλωτικού δανείου και πιστωτικής κάρτας, δηλαδή σε συμβατική σχέση που είχε λήξει κατά τον κρίσιμο χρόνο της αναζήτησης, ενώ κατά τη συζήτηση στο Τμήμα της Αρχής και στο υπόμνημα που υπέβαλε στην τεθείσα προθεσμία η Τράπεζα ισχυρίστηκε τελικώς ότι πραγματοποίησε την αναζήτηση αυτή με σκοπό να προτείνει στον προσφεύγοντα την έκδοση πιστωτικής κάρτας με ευνοϊκότερους όρους, μετά την αντικατάσταση της χρεωστικής του κάρτας δυνάμει άλλης μεταξύ τους σύμβασης. Συνεπώς, η Τράπεζα χρειάστηκε ουσιαστικά περίπου έξι μήνες μετά την πρώτη παρέμβαση της Αρχής προκειμένου να απαντήσει με πληρότητα και ακρίβεια σχετικά με τον σκοπό και την εξέλιξη της εν λόγω επεξεργασίας (βλ. υπ’ αριθμ. πρωτ. Γ/ΕΞ/1403-1/16-10-2014 διευκρινιστικό έγγραφο της Αρχής και το υπ’ αριθμ. πρωτ. Γ/ΕΙΣ/2235/08-04-2015 υπόμνημα της Τράπεζας), γεγονός που καταδεικνύει μη προσήκουσα ικανοποίηση του δικαιώματος πρόσβασης του υποκειμένου των δεδομένων (άρθρα 4, 5 και 12 του ν. 2472/1997). Τούτο δε διότι η Τράπεζα όφειλε εντός της κατά το νόμο προθεσμίας που αναφέρθηκε να απαντήσει συγκεκριμένα στον προσφεύγοντα ότι αναζήτησε τα στοιχεία πιστοληπτικής ικανότητας στο Σύστημα της ΤΕΙΡΕΣΙΑΣ Α.Ε. και τον σκοπό της αναζήτησης αυτής ώστε, στη συνέχεια, ο προσφεύγων να είναι σε θέση να ερευνήσει τη νομιμότητα της επεξεργασίας των προσωπικών του δεδομένων πιστοληπτικής ικανότητας που περιέχονται στα αρχεία αυτά της ΤΕΙΡΕΣΙΑΣ
Σύμφωνα με τα παραπάνω, η Αρχή διαπιστώνει ότι η Eurobank, ως υπεύθυνος επεξεργασίας, διενήργησε όχι νομίμως επεξεργασία (συλλογή και χρήση) δεδομένων πιστοληπτικής ικανότητας του προσφεύγοντος Α από τα αρχεία της ΤΕΙΡΕΣΙΑΣ, περαιτέρω δε, δεν ικανοποίησε το δικαίωμα πρόσβασης αυτού. Λαμβάνοντας υπόψη τη βαρύτητα της παραβάσεων των άρθρων 4, 5 και 12 του ν. 2472/1997 που αποδείχθηκαν και της προσβολής που επήλθε από αυτές στο υποκείμενο, όπως αυτή εκτέθηκε αναλυτικά ανωτέρω, κρίνει ότι πρέπει να επιβληθούν στη Eurobank, ως υπεύθυνο επεξεργασίας, για καθεμία από τις παραβάσεις αυτές ξεχωριστά, οι προβλεπόμενες στο άρθρο 21 παρ. 1 εδαφ. α ́ και β ́ του ν. 2472/1997 κυρώσεις που αναφέρονται στο διατακτικό και οι οποίες τυγχάνουν ανάλογες με τη βαρύτητα των παραβάσεων και της προσβολής του προσφεύγοντος εξ’ αυτών, καθώς και ότι πρέπει να απευθυνθούν επιπλέον σύμφωνα με το άρθρο 19 παρ. 1 στοιχ. γ ́ του ν. 2472/ 1997 οι συστάσεις που επίσης αναφέρονται στο διατακτικό.

ΓΙΑ ΤΟΥΣ ΛΟΓΟΥΣ ΑΥΤΟΥΣ

Η Αρχή, σύμφωνα με όσα εκτίθενται στο σκεπτικό της παρούσας Επιβάλλει στη Eurobank, ως υπεύθυνο επεξεργασίας:
1. Πρόστιμο ύψους πέντε χιλιάδων (5.000) Ευρώ για παράνομη επεξεργασία δεδομένων πιστοληπτικής ικανότητας του προσφεύγοντος από τα αρχεία της ΤΕΙΡΕΣΙΑΣ. 
2. Πρόστιμο ύψους πέντε χιλιάδων (5.000) Ευρώ για μη ικανοποίηση του δικαιώματος πρόσβασης του προσφεύγοντος.
3. Την κύρωση της προειδοποίησης να μεριμνήσει ώστε στο έντυπο της αίτησης/σύμβασης να υπάρχει ειδική ενημέρωση για το Σύστημα ΣΣΧ και το Σύστημα Βαθμολογικής συμπεριφοράς και ότι, σε περίπτωση πρόσβασης στα εν λόγω συστήματα, απαιτείται η λήψη ειδικής συγκατάθεσης προς τούτο και να ενημερώσει σχετικά την Αρχή εντός δυο (2) μηνών από τη λήψη της παρούσας.

Δεν υπάρχουν σχόλια:

Addthis