«Καμπάνα» 80.000 ευρώ σε τράπεζες για παράνομη επεξεργασία δεδομένων

Μέσω χρεωστικών και πιστωτικών καρτών.
Peter Dazeley via Getty Images

Από 20.000 ευρώ πρόστιμο εισέπραξαν τέσσερις τράπεζες με αφορμή την διατήρηση και προβολή των στοιχείων για τις τελευταίες 10 συναλλαγές, που είχαν πραγματοποιήσει πελάτες τους μέσω χρεωστικών και πιστωτικών καρτών.

Κατόπιν σχετικών καταγγελιών κατά τραπεζών, η Αρχή Προστασίας Προσωπικού Χαρακτήρα εξέτασε το ζήτημα της επεξεργασίας προσωπικών δεδομένων μέσω ανέπαφων συναλλαγών με χρεωστικές/πιστωτικές κάρτες.

Οι εν λόγω καταγγελίες αφορούσαν την υποχρεωτική αντικατάσταση χρεωστικών/πιστωτικών καρτών με νέες, οι οποίες είχαν ως προεπιλογή τη δυνατότητα ανέπαφων (contactless) συναλλαγών.

Όπως διαπίστωσε η Αρχή «σε ορισμένες περιπτώσεις πιστωτικών/χρεωστικών καρτών τηρείται στο chip της κάρτας ιστορικό πρόσφατων συναλλαγών που πραγματοποιήθηκαν με χρήση αυτής, το οποίο μπορεί επίσης να αναγνωσθεί ευχερώς ανέπαφα. Συγκεκριμένα, οι εν λόγω πληροφορίες σχετικές με το ιστορικό συναλλαγών συνίστανται στην ημερομηνία της συναλλαγής και στο ύψος του χρηματικού ποσού αυτής».

Επισημαίνεται ότι «σε κάρτα που έχει χορηγηθεί σε πελάτη είναι ενεργοποιημένη η δυνατότητα τήρησης ιστορικού συναλλαγών στο chip αυτής χωρίς να έχει δώσει την ειδική προς τούτο συγκατάθεσή του, θα πρέπει ο πελάτης να ενημερωθεί σχετικώς με κάθε πρόσφορο τρόπο (π.χ. μέσω μηνύματος ηλεκτρονικού ταχυδρομείου, μέσω μηνύματος κατά τη σύνδεσή του σε προσωποποιημένες ηλεκτρονικές υπηρεσίες του υπεύθυνου επεξεργασίας, μέσω ταχυδρομικής επιστολής κτλ.) ως προς την επεξεργασία αυτή, παρέχοντάς του τη δυνατότητα διακοπής της επεξεργασίας αυτής».

Περαιτέρω, προστίθεται ότι «σε κάθε νέα έκδοση/χορήγησης το εν λόγω χαρακτηριστικό θα πρέπει να είναι εξ αρχής απενεργοποιημένο, και να ενεργοποιείται μόνο αν υπάρχει ειδική προς τούτο συγκατάθεση του πελάτη, εφόσον έχει προηγουμένως σχετικώς ενημερωθεί για την επεξεργασία αυτή».

Δεν συμμορφώθηκαν στις οδηγίες

Για παράβαση μη συμμόρφωσης με τις οδηγίες της κάνει λόγο η ανεξάρτητη Αρχή. «Η παράβαση αφορά μεγάλο αριθμό υποκειμένων των δεδομένων – συγκεκριμένα, όλους τους πελάτες της Τράπεζας … οι οποίοι διέθεταν χρεωστική η πιστωτική κάρτα Mastercard παλαιάς έκδοσης».

Όπως επισημαίνεται, «η δραστηριότητα είχε μεγάλο εύρος, καθώς αφορά κάθε ”κίνηση” χρεωστικής/πιστωτικής κάρτας Mastercard (που έχει εκδώσει η Τράπεζα) σε φυσικό κατάστημα, ανεξαρτήτως γεωγραφικής τοποθεσίας αυτού ή είδους συναλλαγής, εφόσον πρόκειται για κάρτα παλαιάς έκδοσης που δεν έχει αντικατασταθεί»

Και προστίθεται: «Η επεξεργασία αφορά δεδομένα οικονομικής φύσης, για τα οποία υπάρχει ο κίνδυνος, σύμφωνα με τα αναφερόμενα στο σκεπτικό της παρούσας, να περιέλθουν εις γνώσιν τρίτων».

Τονίζεται δε πως «η παράβαση είχε εσκεμμένο χαρακτήρα, αφού ήδη η Αρχή είχε ενημερώσει την Τράπεζα για την υπ’ αριθμ. 48/2018 Απόφαση και η Τράπεζα έλαβε στρατηγική απόφαση να μην συμμορφωθεί με τα διαλαμβανόμενα σε αυτή (όπως ζήτησε η Αρχή) αλλά, αντ’ αυτού, να αρχίσει σταδιακά τη διακοπή της εν λόγω επεξεργασίας».

Πηγή: dikastiko.gr

Δημοφιλή