Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα εξέτασε καταγγελία κατά της Alpha Bank για μη ικανοποίηση δικαιώματος πρόσβασης πελάτη της, ο οποίος άσκησε δικαίωμα πρόσβασης στο καταγεγραμμένο υλικό από το σύστημα βιντεοεπιτήρησης (CCTV) του καταστήματος (ΑΠΔΠΧ 36/2023).
Σύμφωνα με το ιστορικό της υπόθεσης, έπειτα από περιστατικό εξαπάτησης των εκπροσώπων μίας εταιρείας, οι οποίοι υπήρξαν θύματα ηλεκτρονικής απάτης, μέσω της οποίας μεταφέρθηκαν χρήματα από τον τραπεζικό λογαριασμό, ο καταγγέλλων – νόμιμος εκπρόσωπος της εταιρείας – μετέβη στο κατάστημα της καταγγελλόμενης Τράπεζας, όπου και ενημέρωσε την προϊσταμένη για το ζήτημα.
Ακολούθως, με εξώδικη διαμαρτυρία του προς την καταγγελλόμενη Τράπεζα, ο καταγγέλλων, μεταξύ άλλων, άσκησε δικαίωμα πρόσβασης σε όλα τα αρχεία καταγραφής (log files) που τηρούσε η Τράπεζα σε σχέση με τη διάδραση της ομόρρυθμης εταιρείας τους με την ηλεκτρονική πλατφόρμα (web banking) και στο αντίγραφο του οπτικού υλικού από το σύστημα βιντεοεπιτήρησης (CCTV) του καταστήματος, στο οποίο είχε καταγραφεί η ανωτέρω επίσκεψη του καταγγέλλοντος, σύμφωνα με το άρθρο 15 ΓΚΠΔ, ως φυσικό πρόσωπο – υποκείμενο των δεδομένων.
Όπως προκύπτει από την ως άνω αρχική καταγγελία, με μήνυμά της, η Τράπεζα ενημέρωσε τον καταγγέλλοντα ότι «λυπάται για την καθυστέρηση» και ότι η υπόθεσή του παραμένει υπό επεξεργασία, χωρίς όμως να τον ενημερώσει για την παράταση της προθεσμίας του άρθρου 12 παρ. 3 ΓΚΠΔ κατά ένα μήνα και για τους λόγους της καθυστέρησης.
Στη συνέχεια, όπως ανέφερε ο καταγγέλλων στην Αρχή με συμπληρωματική καταγγελία του, σε απάντηση του ανωτέρω αιτήματός του, έλαβε απάντηση της καταγγελλόμενης Τράπεζας, με την οποία η καταγγελλόμενη, αφού του χορήγησε τα ζητηθέντα αρχεία καταγραφής (log files), τον ενημέρωσε ότι το αίτημά του για παραλαβή αντιγράφου του βιντεοληπτικού υλικού δεν μπορεί να ικανοποιηθεί, διότι δεν τηρείτο πλέον στο αρχείο της λόγω παρέλευσης του χρόνου τήρησης.
Όπως αναφέρεται στην απόφαση, στην προκειμένη περίπτωση, δεδομένων των ανωτέρω εκτιθέμενων πραγματικών περιστατικών, διαπιστώνεται ότι η καταγγελλόμενη Τράπεζα παρότι έλαβε στις … αίτημα του καταγγέλλοντος ως υποκειμένου για πρόσβαση στο καταγεγραμμένο στις … οπτικό υλικό από το σύστημα CCTV του Καταστήματος πριν την πάροδο 45 ημερών από την καταγραφή, δηλαδή σε χρόνο κατά τον οποίο το υλικό ακόμα τηρείτο σύμφωνα με την πολιτική της Τράπεζας, στη συνέχεια προχώρησε στην καταστροφή του υλικού αυτού την … και απάντησε στον καταγγέλλοντα στις … (13 ημέρες μετά τη λήξη της 30ήμερης προθεσμίας του άρθρου 12 παρ. 3 ΓΚΠΔ) ότι το ζητηθέν υλικό είχε καταστραφεί βάσει της εν λόγω πολιτικής, ενώ ικανοποίησε το αίτημά του αναφορικά με τις καταγεγραμμένες προσβάσεις στο web banking (log files).
Η δε έγγραφη επιβεβαίωση προς τον καταγγέλλοντα, με την ίδια επιστολή, ότι είχε πραγματοποιηθεί επίσκεψη στο κατάστημα στις … περί ώρα …, δεν συνιστά ικανοποίηση του κατά το άρθρο 15 παρ. 3 δικαιώματος πρόσβασης σε αντίγραφο των δεδομένων, λαμβάνοντας υπόψη και το ότι ο εικαζόμενος σκοπός του υποκειμένου για τον οποίο ασκείται το δικαίωμα δεν πρέπει να ενδιαφέρει τον υπεύθυνο επεξεργασίας1, ο οποίος οφείλει να το ικανοποιεί χωρίς να εξετάζει τα κίνητρα του υποκειμένου και δεν απαλλάσσεται από την υποχρέωση αυτή ανταποκρινόμενος κατ’ επιλογήν του «στο ουσιαστικό σκέλος του αιτήματος» του υποκειμένου.
Ως εκ τούτου η καταγγελλόμενη τράπεζα παραβίασε τη διάταξη του άρθρου 15 παρ. 1 και παρ. 3 ΓΚΠΔ σε συνδυασμό με το άρθρο 12 παρ. 3 ΓΚΠΔ.
Περαιτέρω, παρατηρείται ότι η διαγραφή ή καταστροφή (την …) του οπτικού υλικού CCTV που περιλάμβανε την καταγραφή της επίσκεψης του καταγγέλλοντος στις … μετά την άσκηση δικαιώματος πρόσβασης υποκειμένου ως πράξη επεξεργασίας δεδομένων έλαβε χώρα από την καταγγελλόμενη τράπεζα χωρίς να στηρίζεται σε κάποια από τις αναφερόμενες στο άρθρο 6 ΓΚΠΔ νομικές βάσεις επεξεργασίας, είχε δε ως αποτέλεσμα να καθίσταται αδύνατη η ικανοποίηση του ασκηθέντος δικαιώματος πρόσβασης.
Ειδικότερα, εφόσον ασκηθεί δικαίωμα πρόσβασης από υποκείμενο των δεδομένων οποιαδήποτε στιγμή εντός του χρόνου τήρησης του οπτικού υλικού (45 ημερών), ο οποίος είναι γνωστός στα υποκείμενα των δεδομένων βάσει της σχετικής ενημέρωσης, η Τράπεζα, ως υπεύθυνος επεξεργασίας, αποκτά την υποχρέωση διατήρησης του σχετικού αποσπάσματος του οπτικού υλικού για τον απαιτούμενο χρόνο, ώστε να είναι σε θέση να ικανοποιήσει το ασκηθέν δικαίωμα πρόσβασης κατ’ άρθρο 15 ΓΚΠΔ.
Κατά συνέπεια, μετά τη λήψη αιτήματος πρόσβασης σε προσωπικά δεδομένα, ο υπεύθυνος επεξεργασίας οφείλει να προβαίνει άμεσα στις αναγκαίες ενέργειες προς αποτροπή του κινδύνου επικείμενης προγραμματισμένης διαγραφής των δεδομένων αυτών, και τούτο ανεξαρτήτως της υποχρέωσής του να ενημερώσειτο υποκείμενο για τις ενέργειές του «χωρίς καθυστέρηση και σε κάθε περίπτωση εντός μηνός» από την άσκηση του δικαιώματος πρόσβασης βάσει του άρθρου 12 παρ. 3 ΓΚΠΔ.
Η δε διαγραφή των δεδομένων μετά την άσκηση δικαιώματος πρόσβασης σε αυτά, παραβιάζει την αρχή της νομιμότητας της επεξεργασίας (άρθρο 5 παρ. 1 α’ ΓΚΠΔ).
Η Αρχή διαπίστωσε παράβαση των άρθρων 12 παρ. 3 και 15 παρ. 1 και 3 ΓΚΠΔ από τη μη ικανοποίηση του δικαιώματος πρόσβασης και παράβαση της αρχής της νομιμότητας της επεξεργασίας (άρθρο 5 παρ. 1 α) ΓΚΠΔ) από τη διαγραφή των δεδομένων χωρίς νομική βάση και επιβλήθηκε στην Τράπεζα πρόστιμο ύψους 10.000 €.