AΠΠΔ ΑΠΟΦ. ΑΡ .21/12.03.07

Παραβίαση του άρθρου 10 του Ν. 2472/1997 από τράπεζα κατά την καταστροφή προσωπικών δεδομένων μετά το πέρας της περιόδου επεξεργασίας



Σχόλια:


12 Μάρ 2007

Taxheaven.gr
ΕΛΛΗΝΙΚΗ ΔΗΜΟΚΡΑΤΙΑ
ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ
Ταχ. Δ/νση:ΚΗΦΙΣΙΑΣ  1-3      
115 23  ΑΘΗΝΑ    
ΤΗΛ.:210-6475600    
FAX:210-6475628
Αθήνα, 12-3-2007
ΑΠ: 1850
 

Α Π Ο Φ Α Σ Η    ΑΡ.   21 /2007


Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, συνήλθε μετά από πρόσκληση του Προέδρου της σε τακτική συνεδρίαση την 26-10-2006 στο κατάστημά της αποτελούμενη από τον Δ. Γουργουράκη, Πρόεδρο, και τους Φ. Δωρή, Λ. Κοτσαλή, Α. Παπανεοφύτου και Ν. Φραγκάκη, τακτικά μέλη και τους  Γ. Πάντζιου και Α. Πράσσο, αναπληρωματικά μέλη σε αντικατάσταση των τακτικών Α. Πομπόρτση και Σ. Σαρηβαλάση αντίστοιχα, οι οποίοι αν και εκλήθησαν νομίμως–εγγράφως, δεν παρέστησαν λόγω κωλύματος.  Στο συμβούλιο, χωρίς δικαίωμα ψήφου, κατά τη συζήτηση του  θέματος παρέστη η εισηγήτρια Ε. Μαρτσούκου, υπάλληλος του τμήματος ελεγκτών, μετά από εντολή του Προέδρου, η οποία μετά τη συζήτηση της υπόθεσης και πριν από τη διάσκεψη και τη λήψη της απόφασης αποχώρησε. Επίσης, παρέστη η Γ. Παλαιολόγου, υπάλληλος του διοικητικού-οικονομικού τμήματος, ως γραμματέας με εντολή του Προέδρου, χωρίς δικαίωμα ψήφου.

Η Αρχή έλαβε υπόψη τα παρακάτω:

Κατόπιν καταγγελίας  ότι 70 περίπου έγγραφα τα οποία παραδόθηκαν στην Αρχή, περιείχαν προσωπικά δεδομένα πελατών – φυσικών προσώπων της τράπεζας χ και βρέθηκαν εκτεθειμένα σε δημόσιους χώρους – κάδους απορριμμάτων εκτός του καταστήματός της στην περιοχή ψ η Αρχή εξέτασε αν με τον τρόπο αυτό παραβιάστηκαν οι κανόνες επεξεργασίας των προσωπικών δεδομένων των πελατών της από τη συγκεκριμένη τράπεζα.
    Ειδικότερα, τα έγγραφα που παραδόθηκαν στην Αρχή περιλαμβάνουν ενδεικτικά:  αντίγραφα φορολογικών δηλώσεων και εκκαθαριστικών σημειωμάτων της Εφορίας, φωτοτυπίες δελτίων αστυνομικών ταυτοτήτων, αιτήσεις δανείων, έγγραφα με οικονομικά προσωπικά δεδομένα πελατών της τράπεζας, υπηρεσιακή εσωτερική ηλεκτρονική αλληλολογραφία της τράπεζας.
    Η παραπάνω τράπεζα, μετά από την έγγραφη υποβολή των απόψεών της, κλήθηκε προς ακρόαση κατά την συζήτηση του θέματος στην Αρχή η οποία μετά από εξέταση όλων των στοιχείων του φακέλλου και κατόπιν διεξοδικής συζήτησης,
ΣΚΕΦΘΗΚΕ ΣΥΜΦΩΝΑ ΜΕ ΤΟ ΝΟΜΟ

Σύμφωνα με το άρθρο 10 του Ν. 2472/1997, ο υπεύθυνος επεξεργασίας οφείλει να λαμβάνει τα κατάλληλα οργανωτικά και τεχνικά μέτρα για την ασφάλεια των δεδομένων και την προστασία τους από τυχαία ή αθέμιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση και κάθε άλλη μορφή αθέμιτης επεξεργασίας. Τα παραπάνω ισχύουν καθόλη τη διάρκεια της επεξεργασίας και μέχρι το τέλος της, το οποίο ολοκληρώνεται με την καταστροφή των προσωπικών δεδομένων, σύμφωνα με το άρθρο 4 παρ. 1 δ) του Ν. 2472/1997.
    Κατά συνέπεια, το άρθρο 10 του Ν. 2472/1997 αναφέρεται και στην ασφαλή καταστροφή των προσωπικών δεδομένων μετά το πέρας της περιόδου που απαιτείται για την πραγματοποίηση του σκοπού της επεξεργασίας, ώστε αυτά να μην αποτελέσουν αντικείμενο αθέμιτης επεξεργασίας, όπως διάδοσής τους σε τρίτους. Ως εκ τούτου, μετά το πέρας της περιόδου που απαιτείται για την πραγματοποίηση του σκοπού της επεξεργασίας, ο υπεύθυνος επεξεργασίας οφείλει να καταστρέψει τα δεδομένα με ασφαλή τρόπο.
    Η τράπεζα χ στην περίπτωση που εξετάζεται, αν και αναφέρει την ύπαρξη εσωτερικών οδηγιών για την καταστροφή των δεδομένων, παραβίασε το άρθρο 10 του Ν. 2472/1997, καθώς έγγραφα με προσωπικά δεδομένα πελατών της – φυσικών προσώπων εγκαταλείφθηκαν χωρίς πρότερη ασφαλή καταστροφή τους μετά το πέρας της περιόδου που απαιτείται για την πραγματοποίηση του σκοπού της επεξεργασίας.
    Για τον καθορισμό της βαρύτητας της ανωτέρω παράβασης, λαμβάνεται υπόψη ότι δεν έχει αναφερθεί στο παρελθόν άλλη όμοια παραβίαση από τη συγκεκριμένη τράπεζα, καθώς και ότι ο συνολικός αριθμός  των προσκομιθέντων στοιχείων παρότι δεν είναι μικρός αφορά ένα συγκεκριμένο κατάστημα της εταιρίας.
    Επίσης συνεκτιμάται το γεγονός ότι η τράπεζα αποδέχθηκε την παράβαση και την απέδωσε σε αμέλεια του συνεργείου καθαρισμού και ενός νεοδιορισθέντος στο κατάστημα ψ υπαλλήλου καθώς και ότι για το λόγο αυτό επέδωσε έγγραφη επίπληξη στον αρμόδιο για την ασφαλή καταστροφή των προσωπικών δεδομένων διευθυντή του καταστήματος. Παράλληλα η υπεύθυνη εργασιών δικτύου της ........... εξέδωσε ανακοίνωση στο δίκτυο της τράπεζας όπου εφιστούσε την προσοχή του προσωπικού στην τήρηση των διαδικασιών ασφαλούς καταστροφής εγγράφων και ζητούσε από τους διευθυντές των καταστημάτων να προβούν σε ειδική ενημέρωση του προσωπικού και των συνεργείων καθαρισμού για τα θέματα αυτά.
    Με βάση όσα αναπτύχθηκαν παραπάνω, η κρινόμενη παραβίαση μπορεί  χαρακτηριστεί ως μεμονωμένο συμβάν το οποίο πιθανολογείται ότι δεν θα επαναληφθεί στο μέλλον.
ΓΙΑ ΤΟΥΣ ΛOΓΟΥΣ ΑΥΤOYΣ
Η Αρχή απευθύνει αυστηρή προειδοποίηση προς την  τράπεζα χ για την εφαρμογή της Οδηγίας της 1/2005 σχετικά με την ασφαλή καταστροφή των προσωπικών δεδομένων μετά το πέρας της περιόδου που απαιτείται για την πραγματοποίηση του σκοπού της επεξεργασίας.

         Ο Πρόεδρος                                   Η Γραμματέας

Δημήτριος Γουργουράκης                 Γεωργία Παλαιολόγου  


Taxheaven.gr