500.000 ευρώ πρόστιμο σε τράπεζα για την απώλεια φακέλου πελάτη

Πρόστιμο ύψους 500.000 ευρώ επέβαλε η ισπανική Αρχή Προστασίας Δεδομένων AEPD στην ING Bank, Υποκατάστημα Ισπανίας, για παράβαση του άρθρου 32 ΓΚΠΔ, που αφορά την ασφάλεια της επεξεργασίας δεδομένων.

Η υπόθεση αφορά την απώλεια φυσικού φακέλου που περιείχε έγγραφα με προσωπικά δεδομένα, τα οποία είχαν αποσταλεί στην ING στο πλαίσιο διαδικασίας εγγραφής νέου συνδικαιούχου σε τραπεζικό λογαριασμό. Η καταγγελία υποβλήθηκε τον Ιούνιο του 2023, αρχικά ενώπιον της Τράπεζας της Ισπανίας και στη συνέχεια διαβιβάστηκε στην AEPD.

Σύμφωνα με το ιστορικό της υπόθεσης, ο καταγγέλλων επιχείρησε να ολοκληρώσει ψηφιακά τη διαδικασία εγγραφής του ως συνδικαιούχου σε λογαριασμό της συντρόφου του. Κατόπιν τεχνικών δυσχερειών, η ING τον καθοδήγησε να ακολουθήσει εναλλακτική διαδικασία φυσικής υποβολής εγγράφων. Ο καταγγέλλων συμπλήρωσε έντυπο της τράπεζας και ακολούθως το παρέδωσε σε εταιρεία ταχυμεταφοράς που είχε οριστεί από την ING, συνοδευόμενο από πλήρες φωτοαντίγραφο του δελτίου ταυτότητάς του και από έγγραφα που περιείχαν προσωπικά δεδομένα τόσο του ίδιου όσο και της συντρόφου του. Στα δεδομένα αυτά περιλαμβάνονταν ονοματεπώνυμα, αριθμοί και πλήρη αντίγραφα δελτίων ταυτότητας, ημερομηνία και τόπος γέννησης, εθνικότητα, στοιχεία επικοινωνίας, διεύθυνση κατοικίας, επαγγελματικά στοιχεία, υπογραφές και αριθμοί τραπεζικών λογαριασμών.

Ο φάκελος συλλέχθηκε στην οικία του καταγγέλλοντος από εταιρεία courier, η οποία ενεργούσε ως υπεργολάβος και συνεργάτης της εταιρείας courier με την οποία η τράπεζα είχε συνάψει σύμβαση παροχής υπηρεσιών. Στη συνέχεια, και σύμφωνα με τα αρχεία παρακολούθησης της πορείας του, ο φάκελος παραδόθηκε στην εγκαταστάσεις άλλης εταιρείας – υπεργολάβου, όπου και χάθηκε, χωρίς να είναι δυνατός ο εντοπισμός του.

Λίγες ημέρες αργότερα, στις αρχές Φεβρουαρίου 2023, ο καταγγέλλων επικοινώνησε επανειλημμένα με την τράπεζα, ζητώντας ενημέρωση σχετικά με την παραλαβή των εγγράφων. Στις 18 Φεβρουαρίου 2023, η ING ενημέρωσε τον καταγγέλλοντα ότι η αποστολή δεν είχε εντοπιστεί και του ζήτησε να υποβάλει εκ νέου τα απαιτούμενα έγγραφα.

Η AEPD, εξετάζοντας το περιστατικό υπό το πρίσμα του άρθρου 32 ΓΚΠΔ, εστίασε ειδικά στο ζήτημα της ασφάλειας των φυσικών φακέλων που περιέχουν δεδομένα προσωπικού χαρακτήρα και στον τρόπο με τον οποίο ο υπεύθυνος επεξεργασίας είχε οργανώσει τα τεχνικά και οργανωτικά μέτρα για τη συλλογή, τη μεταφορά, την παρακολούθηση και τον έλεγχο αυτών των φακέλων. Η ισπανική αρχή υπενθύμισε ότι η υποχρέωση ασφάλειας της επεξεργασίας καταλαμβάνει το σύνολο του κύκλου ζωής των δεδομένων και αφορά τόσο τα ψηφιακά συστήματα όσο και τις φυσικές διαδικασίες που συνδέονται με την επεξεργασία.

Στο πλαίσιο αυτό, η απόφαση ανέλυσε το περιεχόμενο της σύμβασης μεταξύ της τράπεζας και του εκτελούντος την επεξεργασία, καθώς και τα παραρτήματά της που αφορούσαν τα μέτρα ασφάλειας. Διαπιστώθηκε ότι τα προβλεπόμενα μέτρα εστίαζαν κυρίως στην ασφάλεια των εγκαταστάσεων, στη φυσική προστασία των δεμάτων και σε γενικές οργανωτικές υποχρεώσεις, χωρίς να περιλαμβάνουν ειδικές ρυθμίσεις που να διασφαλίζουν την πλήρη ιχνηλασιμότητα των αποστολών εγγράφων από το σημείο συλλογής έως το σημείο τελικής παραλαβής από την τράπεζα.

Ιδιαίτερη μνεία έγινε στο γεγονός ότι, μολονότι η σύμβαση με τον εκτελούντα την επεξεργασία προέβλεπε υποχρέωση ενημέρωσης της τράπεζας σε περίπτωση περιστατικών, η τράπεζα δεν είχε θεσπίσει μηχανισμούς ανεξάρτητης επαλήθευσης της συμμόρφωσης των εργολάβων της, ούτε διαδικασίες που να της επιτρέπουν να διαπιστώσει αυτοτελώς την ύπαρξη ή μη περιστατικού απώλειας. Από τον έλεγχο προέκυψε ότι η ING στηρίχθηκε αποκλειστικά στις πληροφορίες που παρείχαν οι συνεργαζόμενες εταιρείες, χωρίς πρόσθετα μέσα ελέγχου.

Αντίστοιχα προβληματική υπήρξε και η αντίδραση της τράπεζας στο ερώτημα που δέχθηκε από τον καταγγέλλοντα σχετικά με την τύχη του φακέλου του. Παρά τη γνωστοποίηση της καθυστέρησης, δεν ενεργοποιήθηκε άμεσα διαδικασία εντοπισμού της αποστολής, ούτε υπήρξε αρχική επικοινωνία με την εταιρεία που είχε πραγματοποιήσει τη φυσική συλλογή του φακέλου.

Στο πλαίσιο της ανάλυσης του άρθρου 32 ΓΚΠΔ, η AEPD αναφέρθηκε στη διάκριση μεταξύ παραβίασης εμπιστευτικότητας, ακεραιότητας και διαθεσιμότητας των δεδομένων προσωπικού χαρακτήρα. Η απώλεια του φακέλου χαρακτηρίζεται ως παραβίαση που αφορά τη διαθεσιμότητα των δεδομένων, ανεξαρτήτως του αν αποδείχθηκε πρόσβαση τρίτων στο περιεχόμενό του.

Απέναντι στις διαπιστώσεις αυτές, η τράπεζα επικαλέστηκε την ύπαρξη συμφωνητικού επεξεργασίας δεδομένων, την εκπόνηση εκτίμησης αντικτύπου και το γεγονός ότι η απώλεια οφειλόταν σε ανθρώπινο σφάλμα τρίτου παρόχου. Η AEPD, ωστόσο, επικέντρωσε την ανάλυσή της στο ερώτημα κατά πόσον τα υφιστάμενα μέτρα ασφάλειας ήταν κατάλληλα σε σχέση με τον συγκεκριμένο κίνδυνο που συνεπάγεται η φυσική μεταφορά φακέλων που περιέχουν προσωπικά δεδομένα.

Στο πλαίσιο αυτό, η απόφαση αναφέρθηκε εκτενώς στις υποχρεώσεις του υπευθύνου επεξεργασίας ως προς την επιλογή, την καθοδήγηση και τον έλεγχο των εκτελούντων την επεξεργασία, καθώς και στην ανάγκη τα μέτρα ασφάλειας να εφαρμόζονται καθ’ όλη τη διάρκεια της επεξεργασίας. Η έλλειψη ειδικών μέτρων ιχνηλασιμότητας των φακέλων και η απουσία συστήματος έγκαιρης ανίχνευσης περιστατικών απώλειας αποτέλεσαν κεντρικά στοιχεία της κρίσης της Αρχής επί του ζητήματος της ασφάλειας.

Με βάση τα ανωτέρω, η AEPD πρότεινε την επιβολή διοικητικού προστίμου ύψους 500.000 ευρώ για παράβαση του άρθρου 32 ΓΚΠΔ. Δεδομένου ότι η σύμβαση με τον εκτελούντα την επεξεργασία είχε ήδη λήξει, η επιβολή διορθωτικών μέτρων δεν κρίθηκε αναγκαία. Η τράπεζα προέβη σε εθελοντική καταβολή του ποσού των 400.000 ευρώ, κατ’ εφαρμογή της προβλεπόμενης δυνατότητας μείωσης, γεγονός που οδήγησε στην ολοκλήρωση της διοικητικής διαδικασίας.