Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα επέβαλλε πρόστιμα συνολικού ύψους 340.000 ευρώ στην Εθνική Τράπεζα της Ελλάδος, για παραβιάσεις της νομοθεσίας περί προστασίας προσωπικών δεδομένων και, συγκεκριμένα, για παραβίαση του δικαιώματος πρόσβασης (απόφαση 1/2025) και για την παράβαση των αρχών της ακρίβειας, της ακεραιότητας και εμπιστευτικότητας των δεδομένων και των αρχών της προστασίας των δεδομένων από τον σχεδιασμό και εξ ορισμού (απόφαση 3/2025)
Απόφαση 1/2025
Πιο αναλυτικά, η Αρχή έχει δέχθηκε σημαντικό αριθμό καταγγελιών κατά της Εθνικής Τράπεζας που αφορούν την παραβίαση του κατά το άρθρο 15 ΓΚΠΔ δικαιώματος πρόσβασης υποκειμένων των δεδομένων, λόγω μη ικανοποίησης ή μεγάλης καθυστέρησης στην ικανοποίηση του δικαιώματος αυτού.
Κατά την εξέταση των καταγγελιών, η Αρχή διαπίστωσε ότι σε όλες τις περιπτώσεις έλαβε χώρα υπέρβαση της προθεσμίας του ΓΚΠΔ για ανταπόκριση στο δικαίωμα πρόσβασης, η οποία αποδίδεται είτε σε εσφαλμένο χειρισμό των υπαλλήλων της Τράπεζας είτε στο καθεστώς τηλεργασίας τους κατά τα έτη 2021-2022. Παρά τους ισχυρισμούς της Τράπεζας ότι «καθ’ όλη τη διάρκεια διερεύνησης των υποθέσεων των καταγγελλόντων, τους ενημέρωνε για την πορεία των αιτημάτων τους», δεν προέκυψε ότι παρείχε συγκεκριμένα τις απαιτούμενες από το άρθρο 12 παρ. 4 ΓΚΠΔ πληροφορίες στους καταγγέλλοντες αλλά διαπιστώθηκε ότι απέστελλε απλώς ένα τυποποιημένο μήνυμα με το οποίο ανέφερε ότι το αίτημα βρίσκεται υπό επεξεργασία.
Περαιτέρω, διαπιστώθηκε ότι οι τηρούμενες εκ μέρους της Τράπεζας διαδικασίες χειρισμού αιτημάτων πρόσβασης ήταν αναποτελεσματικές: Σε 3 από τις εξεταζόμενες περιπτώσεις η Τράπεζα επικαλέστηκε τις ρυθμίσεις τηλεργασίας των εργαζομένων της, εξαιτίας των οποίων δεν ήταν εφικτή η πρόσβασή τους στις υποδομές, στις οποίες τηρούνται τα αρχεία καταγεγραμμένων συνομιλιών, σε κάποιες περιπτώσεις η Τράπεζα ανέφερε ότι τα αιτήματα δεν διαβιβάστηκαν ορθώς και εγκαίρως στα κατάλληλα τμήματά της, καθώς υποβλήθηκαν στο πλαίσιο περιστατικών αμφισβήτησης συναλλαγών, ενώ επικαλέστηκε ως επιχείρημα και τη μεγάλη αύξηση των συναφών αιτημάτων το τελευταίο διάστημα.
Η Αρχή επεσήμανε ότι, παρά τους ισχυρισμούς της Τράπεζας αναφορικά με τον θεωρητικά πολύ σημαντικό ρόλο του ΥΠΔ στην παρακολούθηση της συμμόρφωσης και στην επισήμανση σχετικών ζητημάτων, δεν προέκυψε ότι ο ΥΠΔ έχει προβεί σε συγκεκριμένες προτάσεις ή συμβουλές για τον χειρισμό των εξεταζόμενων υποθέσεων ούτε οποιαδήποτε συμβολή του ΥΠΔ στο πλαίσιο της καταγραφής των διαδικασιών και της επικαιροποίησης των πολιτικών της Τράπεζας.
Το γεγονός δε ότι παρά την ύπαρξη των παραπάνω καταγγελιών και τη διαπίστωση ότι σε όλες αυτές τις περιπτώσεις δεν τηρήθηκαν οι προθεσμίες του ΓΚΠΔ, η Τράπεζα κινητοποιήθηκε για την καταγραφή των σχετικών διαδικασιών της μόνο μετά τα δύο έγγραφα της Αρχής που της εφιστούσαν την προσοχή στο ζήτημα και την καλούσαν να αποδείξει τη συμμόρφωσή της με τα άρθρα 12 παρ. 2 και 24 παρ. 1 και 2 του ΓΚΠΔ, καταδεικνύει ότι από τη θέση σε εφαρμογή του ΓΚΠΔ και μέχρι την ημερομηνία εξέτασης της υπόθεσης κατά τη συνεδρίαση της Αρχής, η Τράπεζα δεν είχε συμμορφωθεί με αυτά, κατά τρόπο ανεπίτρεπτο δεδομένου του όγκου και της φύσης των προσωπικών δεδομένων που επεξεργάζεται, των πολλαπλών αιτημάτων πρόσβασης που αναμένεται να δέχεται λόγω του πεδίου δραστηριότητάς της και των πιθανών κινδύνων από την καθυστέρηση στην ικανοποίηση του δικαιώματος πρόσβασης, που είναι πολύ πιθανό να έχουν ως αποτέλεσμα οικονομικές συνέπειες για τα υποκείμενα (αδυναμία απόδειξης στο πλαίσιο αμφισβήτησης απατηλών συναλλαγών, αδυναμία διερεύνησης της απάτης κλπ.).
Ακόμα, η Τράπεζα δεν φαίνεται να έχει εντοπίσει συγκεκριμένες αιτίες της αδυναμίας συμμόρφωσής της. Με το υπόμνημα που κατέθεσε ενώπιον της Αρχής αναφέρθηκε αορίστως σε μελλοντική επανεξέταση των διαδικασιών της. Ωστόσο, όπως τόνισε η Αρχή, το γεγονός ότι ως υπεύθυνος επεξεργασίας, η Τράπεζα άρχισε να δέχεται ασυνήθιστα μεγάλο αριθμό αιτημάτων πρόσβασης, αποτελεί παράγοντα που όφειλε να έχει ληφθεί υπόψη κατά τον σχεδιασμό και την επικαιροποίηση των σχετικών διαδικασιών εκ μέρους της ήδη από το χρονικό σημείο κατά το οποίο διαπιστώθηκε η αύξηση αυτή, φροντίζοντας να ανταποκριθεί στη νέα αυτή συνθήκη, λαμβανομένου υπόψη και του καθεστώτος εργασίας των υπαλλήλων της. Συγκεκριμένα, στο πλαίσιο της διαρκούς συμμόρφωσης με τον ΓΚΠΔ, η Τράπεζα όφειλε να έχει ήδη προβεί στην αξιολόγηση των αδυναμιών της, αρχικά όταν παρατηρήθηκε η («εκθετική», όπως αναφέρει) αύξηση των αιτημάτων πρόσβασης ως συνέπεια της έξαρσης της ηλεκτρονικής απάτης, ακολούθως όταν εντάθηκαν οι διαμαρτυρίες των πελατών της και σε κάθε περίπτωση όταν η Αρχή προέβη σε αυτεπάγγελτο έλεγχο των διαδικασιών της από το έτος 2023. Αντιθέτως, από τα πραγματικά περιστατικά προκύπτει ότι οι Πολιτικές της Τράπεζας αποτελούν θεωρητικά κείμενα τα οποία δεν εφαρμόζονται στην πράξη, παρά τις διαβεβαιώσεις της για το αντίθετο.
Ακολούθως, η Αρχή επέβαλλε στην Εθνική Τράπεζα της Ελλάδος (α) διοικητικό πρόστιμο ύψους 20.000 ευρώ, για τη διαπιστωθείσα παράβαση του κατά το άρθρο 15 παρ. 1 και 3 ΓΚΠΔ δικαιώματος πρόσβασης, (β) επίπληξη, για τις διαπιστωθείσες παραβάσεις του άρθρου 12 παρ. 3 και 4 ΓΚΠΔ σε συνδυασμό με το άρθρο 15 ΓΚΠΔ, και (γ) διοικητικό πρόστιμο ύψους 200.000 ευρώ, για τη διαπιστωθείσα παράβαση των άρθρων 12 παρ. 2 και 25 παρ. 1 ΓΚΠΔ.
Απόφαση 3/2025
Η Αρχή εξέτασε καταγγελίες κατά της Εθνικής Τράπεζας για εσφαλμένη σύνδεση τραπεζικού λογαριασμού της πρώτης καταγγέλλουσας με τον αριθμό κινητού τηλεφώνου του δεύτερου καταγγέλλοντος στην εφαρμογή i-bank Pay, η οποία είχε ως αποτέλεσμα να πραγματοποιηθούν μεταφορές χρημάτων μέσω IRIS στον λογαριασμό της πρώτης αντί του δεύτερου.
Πιο αναλυτικά, η καταγγέλλουσα, η οποία διατηρούσε λογαριασμό στην Εθνική Τράπεζα, πραγματοποίησε εγγραφή στην εφαρμογή i-bank Pay, συνδέοντας τον τραπεζικό λογαριασμό της με τον αριθμό του κινητού της τηλεφώνου (Χ), προκειμένου να δέχεται πληρωμές από τρίτους με χρήση του αριθμού αυτού. Ακολούθως, η καταγγέλλουσα, πιθανόν εκ παραδρομής, επιχείρησε να αλλάξει τον δηλωθέντα αριθμό τηλεφώνου στην εφαρμογή, συμπληρώνοντας τον αριθμό του δεύτερου καταγγέλλοντος (Ψ), χωρίς όμως αυτή η αλλαγή να ολοκληρωθεί με τη διαδικασία επιβεβαίωσης μέσω αποστολής κωδικού μιας χρήσης (one time password – OTP). Έτσι, η εγγραφή του νέου αριθμού έμεινε σε κατάσταση εκκρεμότητας (pending) ενώ ο πραγματικός αριθμός της καταγγέλλουσας (Χ) παρέμεινε ενεργός στην εφαρμογή και συνδεδεμένος με τον τραπεζικό λογαριασμό της. Ωστόσο, κατά την ενσωμάτωση της εφαρμογής i-bank Pay στην υπηρεσία IRIS Online Payments του διατραπεζικού συστήματος ΔΙΑΣ, στην οποία προχώρησε η Εθνική Τράπεζα το έτος 2020, ο δεύτερος αριθμός (Ψ), ο οποίος βρισκόταν σε κατάσταση εκκρεμότητας, ενεργοποιήθηκε και συνδέθηκε με τον τραπεζικό λογαριασμό της καταγγέλλουσας.
Όπως επεσήμανε η Αρχή, το ζήτημα οφείλεται σε εσφαλμένη παραμετροποίηση από πλευράς της τράπεζας κατά την αναβάθμιση της εφαρμογής mobile banking, την οποία η Τράπεζα αποδίδει σε μεμονωμένη ανθρώπινη αστοχία. Παρότι, όπως διαπιστώθηκε, ο δεύτερος καταγγέλλων διέθετε λογαριασμό στην Εθνική Τράπεζα, στην καρτέλα πελάτη του περιλαμβανόταν μόνο αριθμός σταθερού τηλεφώνου, ενώ ο αριθμός του κινητού του τηλεφώνου δεν ήταν καταχωρημένος στα συστήματα της Τράπεζας. Ο καταγγέλλων χρησιμοποιούσε το σύστημα πληρωμών IRIS Online Payments μέσω λογαριασμού που διέθετε σε άλλη τράπεζα, ο οποίος και είναι συνδεδεμένος με τον αριθμό κινητού τηλεφώνου του (Ψ). Η εσφαλμένη ενεργοποίηση του αριθμού αυτού στο προφίλ της πρώτης καταγγέλλουσας και η σύνδεσή του με τον δικό της τραπεζικό λογαριασμό είχε ως αποτέλεσμα, σε προσπάθεια τρίτου να μεταφέρει στον δεύτερο καταγγέλλοντα το ποσό των 90€ μέσω της εφαρμογής i-bank Pay , η μεταφορά να γίνει προς τον λογαριασμό της πρώτης καταγγέλλουσας.
Η Αρχή διαπίστωσε ότι, παρά την άμεση ενημέρωση της Τράπεζας από τους καταγγέλλοντες για το ζήτημα και την άσκηση δικαιώματος πρόσβασης εκ μέρους τους, η Τράπεζα αρκέστηκε στη σύσταση προς τον δεύτερο καταγγέλλοντα να απεγκαταστήσει και να εγκαταστήσει ξανά την εφαρμογή, ενώ προχώρησε σε διερεύνηση της υπόθεσης μόνο αφού της κοινοποιήθηκαν οι καταγγελίες που είχαν υποβληθεί στην Αρχή. Ωστόσο, η αρχική αυτή διερεύνηση δεν κατέδειξε την ουσία του ζητήματος και οδήγησε στην παροχή εσφαλμένης πληροφόρησης προς τους καταγγέλλοντες. Μετά από αρκετούς μήνες και με αφορμή τον επιτόπιο έλεγχο της Αρχής στην Τράπεζα, η τελευταία προχώρησε σε περαιτέρω διερεύνηση του ζητήματος, η οποία είχε ως αποτέλεσμα τη διαπίστωση του προβλήματος, και σε αναστολή της εφαρμογής i-bank Pay, υποβολή γνωστοποίησης περιστατικού παραβίασης στην Αρχή, εκ νέου ενημέρωση των καταγγελλόντων και ενδελεχή έλεγχο αντίστοιχων ζητημάτων επί του συνόλου των χρηστών της εφαρμογής (76.000), από τον οποίο προέκυψε ότι η εκ παραδρομής ενεργοποίηση τηλεφώνου είχε πραγματοποιηθεί σε άλλους 24 πελάτες της, ενώ είχαν πραγματοποιηθεί 38 εσφαλμένες συναλλαγές συνολικού ύψους 2.149,66 ευρώ.
Κατά την κρίση της Αρχής, τα ανωτέρω πραγματικά περιστατικά στοιχειοθετούν:
i. Παραβίαση των βασικών αρχών της ακρίβειας, ακεραιότητας και εμπιστευτικότητας των δεδομένων (άρθρου 5, παρ. 1 εδ. δ΄ και στ’ ΓΚΠΔ) σε συνδυασμό με ελλείψεις κατάλληλων μέτρων ασφάλειας (άρθρο 32 του ΓΚΠΔ), όπως μη επαρκής διαδικασία διαχείρισης αλλαγών και ελλιπής έλεγχος λειτουργικότητας και ποιότητας του λογισμικού, με αποτέλεσμα να μην εντοπιστούν τα σφάλματα πριν αυτό μπει σε παραγωγική λειτουργία και συνεπώς, όπως προεκτέθηκε, την συστημική εσφαλμένη σύνδεση κινητών τηλεφώνων των υποκειμένων των δεδομένων με τραπεζικούς λογαριασμούς τρίτων, την τήρηση ανακριβών προσωπικών δεδομένων και τελικά την αποκάλυψη σε τρίτους πληροφοριών που αφορούν τραπεζικές συναλλαγές των υποκειμένων των δεδομένων.
ii. Παραβίαση του άρθρου 25 του ΓΚΠΔ για την προστασία των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού, αφού, όπως προέκυψε, η ανωτέρω παραβίαση προέκυψε λόγω εσφαλμένου σχεδιασμού (παραμετροποίησης) της διαδικασίας ενσωμάτωσης της εφαρμογής i-bank Pay στην υπηρεσία IRIS Online Payments του διατραπεζικού συστήματος ΔΙΑΣ, στην οποία προχώρησε η Εθνική Τράπεζα το έτος 2020, με αποτέλεσμα να μην απαιτείται η επιβεβαίωση των εκκρεμών αριθμών με κωδικό μιας χρήσης (ΟΤΡ) προκειμένου να ενεργοποιηθούν και να συνδεθούν με τους τραπεζικούς λογαριασμούς όσων χρηστών είχαν τέτοιους αριθμούς σε εκκρεμότητα.
iii. Παραβίαση των άρθρων 33 και 34 ΓΚΠΔ στο πλαίσιο χειρισμού του περιστατικού παραβίασης, δεδομένου ότι από τη στιγμή που η καταγγελλόμενη Τράπεζα έλαβε γνώση του ζητήματος από τους καταγγέλλοντες δεν προχώρησε σε ενέργειες προς διερεύνηση του περιστατικού, τις οποίες όφειλε και μπορούσε να κάνει, όπως διαπιστώθηκε όταν η Αρχή την ενημέρωσε για τη διενέργεια διοικητικού ελέγχου.
iv. Παραβίαση του κατ’ άρθρο 15 ΓΚΠΔ δικαιώματος πρόσβασης των καταγγελλόντων, καθώς η Τράπεζα δεν χειρίστηκε τα από 29/3/2022 αιτήματα των καταγγελλόντων ως αιτήματα πρόσβασης κατά το άρθρο 15 ΓΚΠΔ, αλλά αρκέστηκε στην παροχή ενημέρωσης για το περιστατικό μόνο προς τον Α, η οποία μάλιστα αρχικά ήταν εσφαλμένη, όπως προαναφέρθηκε. Η ορθή ενημέρωση των καταγγελλόντων σε σχέση με το εν λόγω περιστατικό έλαβε χώρα στις 7/11/2023 και μόνο μετά τη διενέργεια διοικητικού ελέγχου εκ μέρους της Αρχής.
Κατόπιν των ανωτέρω, η Αρχή επέβαλλε στην Εθνική Τράπεζα (α) διοικητικό πρόστιμο ύψους 100.000 ευρώ, για τις διαπιστωθείσες παραβάσεις των άρθρων 5 παρ. 1 εδ. δ’ και στ’ σε συνδ. με το άρθρο 32 ΓΚΠΔ, και των άρθρων 25, 33 και 34 ΓΚΠΔ, και (β) διοικητικό πρόστιμο ύψους 20.000 ευρώ, για τη διαπιστωθείσα παράβαση του κατά το άρθρο 15 ΓΚΠΔ δικαιώματος πρόσβασης των καταγγελλόντων.
