Ένας λογαριασμός για όλους τους υπαλλήλους: Πρόστιμο 500.000 ευρώ σε τράπεζα για τη χωρίς κανόνες πρόσβαση στο σύστημα βιντεοεπιτήρησης

Διοικητικό πρόστιμο ύψους 500.000 ευρώ επέβαλε η ισπανική αρχή προστασίας δεδομένων AEPD στην τράπεζα UNICAJA BANCO για την παραβίαση του άρθρου 32 ΓΚΠΔ, σχετικά με τα μέτρα ασφαλείας στο σύστημα βιντεοεπιτήρησης της τράπεζας, ενώ μετά από εθελοντική πληρωμή το τελικό ποσό διαμορφώθηκε στις 400.000 ευρώ και η διαδικασία περατώθηκε, με παράλληλη διατήρηση της υποχρέωσης συμμόρφωσης.

Η υπόθεση ξεκίνησε έπειτα από καταγγελία που περιήλθε σε γνώση της AEPD και αφορούσε τον τρόπο επεξεργασίας, ανάλυσης, διαχείρισης και φύλαξης του βιντεοληπτικού υλικού που συλλεγόταν μέσα από τα συστήματα βιντεοεπιτήρησης της τράπεζας για σκοπούς πρόληψης εγκληματικών ενεργειών. Σύμφωνα με τα στοιχεία του φακέλου, το υπηρεσιακό κέντρο παρακολούθησης του συστήματος CCTV, το οποίο υποστήριζε εξωτερικός συνεργάτης ασφαλείας, παρείχε πρόσβαση στο σύστημα βιντεοεπιτήρησης μέσω ενός και μόνο γενικού λογαριασμού χρήστη και κοινού κωδικού, τον οποίο χρησιμοποιούσαν 11 εργαζόμενοι, χωρίς ατομική ταυτοποίηση των προσβάσεων.

Η AEPD διαπίστωσε ότι, μολονότι στις συμβατικές προβλέψεις μεταξύ της τράπεζας και του παρόχου υπηρεσιών προβλεπόταν η χρήση ατομικών και ονομαστικών λογαριασμών χρηστών, ο καθορισμός διακριτών ρόλων πρόσβασης και η δυνατότητα ιχνηλασιμότητας, στην πράξη το σύστημα λειτουργούσε διαφορετικά. Η ισπανική αρχή έκρινε ότι η χρήση γενικού λογαριασμού καθιστούσε αδύνατη την ακριβή ταυτοποίηση του φυσικού προσώπου που αποκτούσε πρόσβαση σε εικόνες, ενώ τα αρχεία καταγραφής διατηρούνταν μόνο για 90 ημέρες και κατέγραφαν αποκλειστικά τον γενικό χρήστη και τη διεύθυνση IP του σταθμού εργασίας.

Στο πλαίσιο της έρευνας, η AEPD εξέτασε εσωτερική αλληλογραφία που αφορούσε αιτήματα πρόσβασης σε καταγεγραμμένο οπτικό υλικό για τη διερεύνηση περιστατικών φερόμενης απάτης ή πλαστοπροσωπίας, με σκοπό την ταυτοποίηση προσώπων μέσω των εικόνων. Σύμφωνα με την αρχή, το σύστημα βιντεοεπιτήρησης περιλάμβανε επεξεργασία εικόνων πελατών, δυνητικών πελατών, εργαζομένων και προμηθευτών.

Η τράπεζα υποστήριξε ότι είχε θεσπίσει κατάλληλα μέτρα ασφαλείας, ότι οι σχετικές υποχρεώσεις είχαν επιβληθεί συμβατικά στον εκτελούντα την επεξεργασία και ότι η υποχρέωση του άρθρου 32 ΓΚΠΔ είναι υποχρέωση μέσων και όχι αποτελέσματος. Επικαλέστηκε επίσης εσωτερικούς ελέγχους, αξιολογήσεις κινδύνου και μεταγενέστερες παρεμβάσεις ενίσχυσης του συστήματος ασφαλείας.

Η AEPD απέρριψε τα επιχειρήματα αυτά, κρίνοντας ότι ο υπεύθυνος επεξεργασίας φέρει την τελική ευθύνη να διασφαλίζει ότι τα συμφωνημένα μέτρα εφαρμόζονται στην πράξη και όχι μόνο τυπικά. Σύμφωνα με την απόφαση, η ύπαρξη συμβατικών προβλέψεων δεν αρκούσε, καθώς δεν είχε διασφαλιστεί η πραγματική εφαρμογή τους ούτε η επαρκής εποπτεία του εξωτερικού συνεργάτη. Η εποπτική αρχή επισήμανε ότι η ίδια η εσωτερική αξιολόγηση αντικτύπου της τράπεζας είχε αναγνωρίσει την ανάγκη για ελέγχους πρόσβασης, χωρίς όμως αυτοί να έχουν υλοποιηθεί αποτελεσματικά.

Κατά τη διάρκεια της διαδικασίας, εξωτερικός έλεγχος του 2024 εντόπισε ως εύρημα μεσαίου κινδύνου τη χρήση του μοναδικού γενικού λογαριασμού και συνέστησε την αναβάθμιση του συστήματος ώστε να καταγράφεται με ακρίβεια ποιος χρήστης αποκτά πρόσβαση στις καταγραφές. Μεταγενέστερα, η τράπεζα προχώρησε στην υλοποίηση νέου συστήματος με ονομαστική διαχείριση προσβάσεων και διακριτούς ρόλους χρηστών, γεγονός που η αρχή έλαβε υπόψη ως ελαφρυντικό για τον καθορισμό του προστίμου, χωρίς να θεωρήσει ότι αίρει την ήδη τελεσθείσα παράβαση .

Μετά την κοινοποίηση της πρότασης επιβολής προστίμου, η τράπεζα προχώρησε στις 2 Φεβρουαρίου 2026 σε εθελοντική πληρωμή του 80% του ποσού, ήτοι 400.000 ευρώ, κάνοντας χρήση της προβλεπόμενης μείωσης 20% και παραιτούμενη από τη δυνατότητα άσκησης διοικητικής προσφυγής. Η AEPD κήρυξε την περάτωση της διαδικασίας, διατηρώντας ωστόσο την εντολή προς την τράπεζα να αποδείξει εντός τριών μηνών την πλήρη εφαρμογή των αναγκαίων μέτρων συμμόρφωσης με το άρθρο 32 ΓΚΠΔ.