Καταιγισμό καταγγελιών από πολίτες έλαβε η Αρχή Προστασίας Προσωπικών Δεδομένων κατά της Εθνικής Τράπεζας που διοικεί ο Παύλος Μυλωνάς εξαιτίας παραβίασης του δικαιώματος πρόσβασης σε προσωπικά δεδομένα, τα οποία έκρινε πως ευσταθούσαν και για το λόγο αυτό επέβαλε πρόστιμο 200.000 ευρώ.
Ειδικότερα, η Αρχή εξέτασε ομαδοποιημένα επτά υποθέσεις και, αυτεπαγγέλτως, τις τηρούμενες από την Τράπεζα διαδικασίες για την εμπρόθεσμη και ορθή ανταπόκρισή της, ως υπευθύνου επεξεργασίας, στο δικαίωμα πρόσβασης υποκειμένων των δεδομένων.
Σε όλες τις εξεταζόμενες υποθέσεις διαπιστώθηκε υπέρβαση της προθεσμίας για ανταπόκριση στο δικαίωμα πρόσβασης, η οποία αποδίδεται είτε σε εσφαλμένο χειρισμό των υπαλλήλων της Τράπεζας είτε στο καθεστώς τηλεργασίας τους κατά τα έτη 2021-2022, και επιβλήθηκαν κατάλληλες διοικητικές κυρώσεις κατά περίπτωση.
Επιπλέον, η Αρχή διαπίστωσε έλλειψη κατάλληλων διαδικασιών της Τράπεζας για ορθή και έγκαιρη διαχείριση των αιτημάτων πρόσβασης, ιδίως μετά την αύξησή τους λόγω των αυξανόμενων περιστατικών απάτης, απουσία οποιασδήποτε συμβολής του υπεύθυνου προσωπικών δεδομένων στην παρακολούθηση της συμμόρφωσης και στην επικαιροποίηση των διαδικασιών της Τράπεζας, κατά τρόπο – όπως αναφέρεται – «ανεπίτρεπτο δεδομένου του όγκου και της φύσης των προσωπικών δεδομένων που επεξεργάζεται, των πολλαπλών αιτημάτων πρόσβασης που αναμένεται να δέχεται λόγω του πεδίου δραστηριότητάς της και των πιθανών κινδύνων από την καθυστέρηση στην ικανοποίηση του δικαιώματος πρόσβασης».
Βαριά καμπάνα στην Εθνική Τράπεζα: Σε όλες τις περιπτώσεις δεν τηρήθηκαν οι προθεσμίες
Στην απόφαση της Αρχής επισημαίνεται χαρακτηριστικά πως «το γεγονός δε ότι παρά την ύπαρξη των παραπάνω καταγγελιών και τη διαπίστωση ότι σε όλες αυτές τις περιπτώσεις δεν τηρήθηκαν οι προθεσμίες του ΓΚΠΔ, η Τράπεζα κινητοποιήθηκε για την καταγραφή των σχετικών διαδικασιών της μόνο μετά τα δύο έγγραφα της Αρχής που της εφιστούσαν την προσοχή στο ζήτημα και την καλούσαν να αποδείξει τη συμμόρφωσή της με τα άρθρα 12 παρ. 2 και 24 παρ. 1 και 2 του ΓΚΠΔ, καταδεικνύει ότι από τη θέση σε εφαρμογή του ΓΚΠΔ και μέχρι την ημερομηνία εξέτασης της υπόθεσης κατά τη συνεδρίαση της Αρχής, η Τράπεζα δεν είχε συμμορφωθεί με αυτά, κατά τρόπο ανεπίτρεπτο δεδομένου του όγκου και της φύσης των προσωπικών δεδομένων που επεξεργάζεται, των πολλαπλών αιτημάτων πρόσβασης που αναμένεται να δέχεται λόγω του πεδίου δραστηριότητάς της και των πιθανών κινδύνων από την καθυστέρηση στην ικανοποίηση του δικαιώματος πρόσβασης, που είναι πολύ πιθανό να έχουν ως αποτέλεσμα οικονομικές συνέπειες για τα υποκείμενα (αδυναμία απόδειξης στο πλαίσιο αμφισβήτησης απατηλών συναλλαγών, αδυναμία διερεύνησης της απάτης κλπ.).
Προσθέτει επίσης ότι «η Τράπεζα δεν φαίνεται να έχει εντοπίσει συγκεκριμένες αιτίες της αδυναμίας συμμόρφωσής της, αλλά με το από 12/4/2024 υπόμνημά της αναφέρεται αορίστως σε μελλοντική επανεξέταση των διαδικασιών της: για παράδειγμα, αναφέρει ότι έχει ενισχύσει με προσωπικό τις Μονάδες που είναι αρμόδιες για την υποδοχή και τον χειρισμό σχετικών αιτημάτων, χωρίς να έχει προσδιορίσει πού οφείλεται ο εσφαλμένος χειρισμός στις ανωτέρω περιπτώσεις, αν λ.χ. αιτία ήταν η έλλειψη επαρκούς προσωπικού ή η απουσία κατανόησης του υπάρχοντος προσωπικού ή κάποια άλλη αιτία. Επιπλέον, αναφέρει ότι «υπό το πρίσμα επισκόπησης των εν λόγω υποθέσεων προτίθεται να επανεξετάσει τις εσωτερικές της διαδικασίες σχετικά με τη διαχείριση αιτημάτων πρόσβασης, λαμβάνοντας υπόψη τις εξελίξεις σε ευρωπαϊκό επίπεδο 35 (όπως τις Κατευθυντήριες Γραμμές 1/2022 του ΕΣΠΔ) και θα δρομολογηθεί εκ νέου στοχευμένη ενημέρωση στις αρμόδιες Μονάδες της». Ωστόσο, το γεγονός ότι ως υπεύθυνος επεξεργασίας, η Τράπεζα άρχισε να δέχεται ασυνήθιστα μεγάλο αριθμό αιτημάτων πρόσβασης, αποτελεί παράγοντα που όφειλε να έχει ληφθεί υπόψη κατά τον σχεδιασμό και την επικαιροποίηση των σχετικών διαδικασιών εκ μέρους της ήδη από το χρονικό σημείο κατά το οποίο διαπιστώθηκε η αύξηση αυτή, φροντίζοντας να ανταποκριθεί στη νέα αυτή συνθήκη, λαμβανομένου υπόψη και του καθεστώτος εργασίας των υπαλλήλων της».
Και όπως καταλήγει «η Τράπεζα όφειλε να έχει ήδη προβεί στην αξιολόγηση των αδυναμιών της, αρχικά όταν παρατηρήθηκε η («εκθετική», όπως αναφέρει) αύξηση των αιτημάτων πρόσβασης ως συνέπεια της έξαρσης της ηλεκτρονικής απάτης, ακολούθως όταν εντάθηκαν οι διαμαρτυρίες των πελατών της και σε κάθε περίπτωση όταν η Αρχή προέβη σε αυτεπάγγελτο έλεγχο των διαδικασιών της από το έτος 2023. Αντιθέτως, από τα πραγματικά περιστατικά προκύπτει ότι οι Πολιτικές της Τράπεζας αποτελούν θεωρητικά κείμενα τα οποία δεν εφαρμόζονται στην πράξη, παρά τις διαβεβαιώσεις της για το αντίθετο».
ΔΕΙΤΕ ΑΝΑΛΥΤΙΚΑ ΤΗΝ ΑΠΟΦΑΣΗ ΤΗΣ ΑΡΧΗΣ (ΕΔΩ)
