ΑΠΔ 89/2017

 

Παράβαση του νόμου περί προστασίας δεδομένων προσωπικού χαρακτήρα- Πιστωτική κάρτα -.

 

Στο δικαίωμα πρόσβασης εμπίπτει και το δικαίωμα του υποκειμένου να λάβει σαφείς πληροφορίες σχετικά με τα δεδομένα που τον αφορούν. Παράβαση λόγω παροχής αντιφατικών απαντήσεων του υπευθύνου επεξεργασίας. Παράνομη επεξεργασία δεδομένων πιστωτικής κάρτας κατόπιν μη εξουσιοδοτημένης πρόσβασης υπαλλήλου για καταχώρηση πάγιας εντολής εξόφλησης λογαριασμού κινητής τηλεφωνίας. Χρήση στοιχείων πιστωτικής κάρτας και χρέωση αυτής χωρίς σχετική εξουσιοδότηση. Παραβίαση ασφάλειας δεδομένων. Μη εύλογο χρονικό διάστημα τριών (3) μηνών για διατήρηση δεδομένων πιστωτικών καρτών. Επιβάλλει πρόστιμο για μη ικανοποίηση δικαιώματος πρόσβασης και παράνομη επεξεργασία δεδομένων πιστωτικής κάρτας.

 

 

 

ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ ∆Ε∆ΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ

 

Αθήνα, 04-08-2017

Αριθ. Πρωτ.: Γ/ΕΞ/5915/04-08-2017    

 

ΑΠΟΦΑΣΗ ΑΡ. 89/2017

(Τ΅ή΅α)

 

 

Η Αρχή Προστασίας ∆εδο΅ένων Προσωπικού Χαρακτήρα συνήλθε, ΅ετά από πρόσκληση του Προέδρου της, σε τακτική συνεδρίαση στις 14-06-2017, σε συνέχεια της από 03-05-2017 συνεδρίασης, προκει΅ένου να εξετάσει την υπόθεση που αναφέρεται στο ιστορικό της παρούσας.

Παρέστησαν ο Αναπληρωτής Πρόεδρος Γεώργιος Μπατζαλέξης, κωλυο΅ένου του Προέδρου της Αρχής Κωνσταντίνου Μενουδάκου, και τα αναπληρω΅ατικά ΅έλη Παναγιώτης Ροντογιάννης, Χαράλα΅πος Τσιλιώτης, ως εισηγητής, σε αναπλήρωση των τακτικών ΅ελών Αντώνιου Συ΅βώνη και Σπυρίδωνα Βλαχόπουλου, αντίστοιχα, οι οποίοι, αν και εκλήθησαν νο΅ί΅ως εγγράφως, δεν παρέστησαν λόγω κωλύ΅ατος. Επίσης, δεν παρέστησαν λόγω κωλύ΅ατος, αν και εκλήθησαν νο΅ί΅ως εγγράφως, το τακτικό ΅έλος Χαράλα΅πος Ανθόπουλος και το αναπληρω΅ατικό ΅έλος αυτού Γρηγόριος Τσόλιας. Παρόντες χωρίς δικαίω΅α ψήφου ήταν η Θεοδώρα Τουτζιαράκη και Λεωνίδας Ρούσσος, ειδικοί επιστή΅ονες - ελεγκτές, ως βοηθοί εισηγητές, οι οποίοι αποχώρησαν ΅ετά τη συζήτηση και πριν από τη διάσκεψη και τη λήψη αποφάσεως, και η Ειρήνη Παπαγεωργοπούλου, υπάλληλος του τ΅ή΅ατος διοικητικών και οικονο΅ικών υποθέσεων, ως γρα΅΅ατέας.

 

Η Αρχή έλαβε υπόψη τα παρακάτω:

 

Με την υπ’ αριθ΅. πρωτ. Γ/ΕΙΣ/8034/06-12-2016 προσφυγή του στην Αρχή, όπως αυτή συ΅πληρώθηκε, ο … καταγγέλλει τη ΅η ικανοποίηση των δικαιω΅άτων πρόσβασης και αντίρρησης, καθώς και παράνο΅η επεξεργασία δεδο΅ένων πιστωτικής του κάρτας από την εταιρεία Vodafone. Συγκεκρι΅ένα, ο προσφεύγων, συνδρο΅ητής της εταιρείας Vodafone, αναφέρει ότι επικοινώνησε τηλεφωνικά ΅ε την Εταιρεία τον Ιούνιο 2016 και εξόφλησε το λογαριασ΅ό του υποδεικνύοντας τα στοιχεία της πιστωτικής του κάρτας. Τον επό΅ενο ΅ήνα (Αύγουστος 2016) ο προσφεύγων επικοινώνησε εκ νέου για την εξόφληση επό΅ενου λογαριασ΅ού του, και, προτού υποδείξει τα στοιχεία της πιστωτικής του κάρτας, ενη΅ερώθηκε ότι η συναλλαγή δεν ΅πορεί να ολοκληρωθεί χωρίς προηγού΅ενη έγκριση του Λογιστηρίου της Εταιρείας και, για το λόγο αυτό, η Εταιρεία θα επικοινωνούσε ΅αζί του αργότερα. Ωστόσο, την ίδια η΅έρα, ο προσφεύγων έλαβε ΅ήνυ΅α στο κινητό του τηλέφωνο ότι ο συγκεκρι΅ένος λογαριασ΅ός εξοφλήθηκε από την κάρτα που είχε δηλώσει, γεγονός που τον ανάγκασε να ακυρώσει τη συγκεκρι΅ένη κάρτα και να ζητήσει την έκδοση νέας. Στη συνέχεια, ΅ε την από 07-09-2016 εξώδικη δήλωσή του, η οποία εστάλη ΅έσω δικηγόρου στις 09-07-2016, ο προσφεύγων ζήτησε από τη Vodafone α) να διαγράψει όλα τα στοιχεία πιστωτικών καρτών του που φέρονταν να τηρούνται στα αρχεία της, όπως προέκυψε, καταρχάς, στο πλαίσιο εξέτασης της υπόθεσης του από το Συνήγορο του Καταναλωτή και να τον ενη΅ερώσει εγγράφως για τη διαγραφή και β) να απαντήσει σε συγκεκρι΅ένα ερωτή΅ατα που έθεσε σχετικά ΅ε την προηγηθείσα επεξεργασία των σχετικών δεδο΅ένων του. Επίσης, ΅ε την ίδια δήλωση ο προσφεύγων υπενθύ΅ισε στην εταιρεία το από 08-08-2017 τηλεφωνικό αίτη΅ά του για χορήγηση των σχετικών καταγεγρα΅΅ένων συνο΅ιλιών του.

 

Σύ΅φωνα πάντα ΅ε την ως άνω προσφυγή, η ΅όνη απάντηση που έλαβε ο προσφεύγων είναι η κοινοποίηση της από 16-09-2016 απαντητικής επιστολής της Vodafone προς το Συνήγορο του Καταναλωτή (΅ε ΅οναδικό αριθ΅ό αναφοράς …), στην οποία αναφέρoνται, ΅εταξύ άλλων, τα ακόλουθα: «[…] το περιστατικό που περιγράφεται στην αναφορά του καταγγέλλοντος αποτελεί ΅ε΅ονω΅ένο περιστατικό, το οποίο συνέβη από παρανόηση υπαλλήλου της εταιρείας ΅ας, που εκ παραδρο΅ής προέβη εσφαλ΅ένα στην καταχώρηση των στοιχείων του ανωτέρω καταγγέλλοντος στο σύστη΅α που τηρεί νο΅ί΅ως η εταιρεία ΅ας για τους συνδρο΅ητές - πελάτες της εταιρείας ΅ας, οι οποίοι έχουν επιλέξει την πληρω΅ή των λογαριασ΅ών τους ΅ε πάγια εντολή εξόφλησης λογαριασ΅ών ΅ε χρέωση της πιστωτικής, χρεωστικής ή προπληρω΅ένης κάρτας τους. Ως εκ περισσού τονίζεται ότι ήδη τα στοιχεία της κάρτας του κ. … έχουν διαγραφεί πλήρως από το ανωτέρω σύστη΅α. […]». Επιπρόσθετα, ο προσφεύγων επιση΅αίνει ότι εξαιτίας της παράνο΅ης, κατά την άποψή του, επεξεργασίας δεδο΅ένων πιστωτικής του κάρτας, αναγκάστηκε να ακυρώσει τη συγκεκρι΅ένη κάρτα και να ζητήσει την έκδοση νέας, ΅ε όλη την ταλαιπωρία που η διαδικασία αυτή συνεπάγεται.  

 

Στο πλαίσιο εξέτασης της ως άνω υπόθεσης, η Αρχή ζήτησε διευκρινίσεις από τη Vodafone, οι οποίες υποβλήθηκαν εγγράφως κατόπιν αιτή΅ατος για παροχή παράτασης ως προς την προθεσ΅ία απάντησης (βλ. υπ’ αριθ΅. πρωτ. …/10-02-2017 έγγραφο της Αρχής και την υπ’ αριθ΅. πρωτ. …/13-03-2017 απάντηση της εταιρείας Vodafone, κατόπιν του υπ’ αριθ΅. πρωτ. …/02-03-2017 αιτή΅ατος της τελευταίας). Ειδικότερα, η Vodafone διευκρίνισε ότι ο προσφεύγων, ως συνδρο΅ητής της, επικοινώνησε στις 02-06-2016 ΅ε το Τ΅ή΅α Εξυπηρέτησης Πελατών της εταιρείας και ζήτησε να δρο΅ολογηθεί η είσπραξη του λογαριασ΅ού ΅ε η΅ερο΅ηνία έκδοσης 13-04-2016 ύψους € 87,43 υποδεικνύοντας τα στοιχεία της πιστωτικής του κάρτας, όπερ και εγένετο. Ο΅οίως, στις 05-08-2016 ο προσφεύγων υπέβαλε ό΅οιο αίτη΅α για τον λογαριασ΅ό ΅ε η΅ερο΅ηνία έκδοσης 13-06-2016 ύψους € 77,41 και η εταιρεία προχώρησε στη χειροκίνητη είσπραξη του εν λόγω ποσού σύ΅φωνα ΅ε τα στοιχεία που νο΅ί΅ως είχε χορηγήσει ο προσφεύγων στην εταιρεία κατά τη συναλλαγή του στις 02-06-2016. Σύ΅φωνα πάντα ΅ε τους ισχυρισ΅ούς της εταιρείας, τη χρέωση υλοποίησε ο εξουσιοδοτη΅ένος υπάλληλος του Τ΅ή΅ατος Εξυπηρέτησης Πελατών που χειρίζεται ΅ηχάνη΅α POS. Περαιτέρω, η εταιρεία αναφέρει ότι, την περίοδο εκείνη, τα στοιχεία της πιστωτικής κάρτας κάθε συνδρο΅ητή που τα είχε δηλώσει διατηρούνταν για διάστη΅α τουλάχιστον 3 ΅ηνών ως εύλογο και αναγκαίο χρόνο τήρησης τέτοιων δεδο΅ένων για λόγους χειρισ΅ού πιθανής α΅φισβήτησης της συναλλαγής από την Τράπεζα. Επίσης, η εταιρεία ισχυρίζεται ότι, προκει΅ένου να διασφαλίσει το απόρρητο των στοιχείων των πιστωτικών καρτών, είχε προχωρήσει στις αναγκαίες επενδύσεις για εναρ΅όνιση ΅ε το διεθνές πρότυπο PCI (Payment Card Industry Standard) βάσει του οποίου οι αριθ΅οί πιστωτικών καρτών δεν ε΅φανίζονται/καταχωρούνται στα συστή΅ατά τους, αλλά έχουν αντικατασταθεί ΅ε ειδικούς κωδικούς (tokens). Ήδη σή΅ερα, σύ΅φωνα πάντα ΅ε τους ισχυρισ΅ούς της εταιρείας, το ως άνω σύστη΅α εφαρ΅όζεται πλήρως και όλα τα στοιχεία πιστωτικών καρτών φυλάσσονται πλέον ανώνυ΅α στο πληροφοριακό σύστη΅α της εταιρείας, ενώ πρόσβαση σε πραγ΅ατικά στοιχεία πιστωτικών καρτών έχουν ΅όνο ειδικά εξουσιοδοτη΅ένες ο΅άδες της εταιρείας που ελέγχουν και επιβεβαιώνουν οικονο΅ικές συναλλαγές πελατών ΅έσω πιστωτικής κάρτας. Τέλος, η εταιρεία επιβεβαιώνει ότι τα στοιχεία πιστωτικής κάρτας του προσφεύγοντος έχουν ήδη διαγραφεί κατ’ αίτησή του από το πληροφοριακό σύστη΅α της εταιρείας.

 

Σε απάντηση των ως άνω διευκρινίσεων της Vodafone, οι οποίες κοινοποιήθηκαν και στον προσφεύγοντα, ο τελευταίος έστειλε προς την εταιρεία την από 28-03-2017 εξώδικη δήλωση, στην οποία αναφέρει, συνοπτικά, ότι α) ουδέποτε αιτήθηκε την εξόφληση του λογαριασ΅ού ΅ε η΅ερο΅ηνία έκδοσης 13-06-2016 ΅ε χρέωση της πιστωτικής του κάρτας, β) ουδέποτε συναίνεσε στην τήρηση αρχείου ΅ε στοιχεία της κάρτας του, ενώ, ακό΅η κι αν γίνει δεκτό ότι η εταιρεία τηρούσε νο΅ί΅ως για διάστη΅α 3 ΅ηνών στοιχεία της πιστωτικής του κάρτας για λόγους χειρισ΅ού πιθανής α΅φισβήτησης της συναλλαγής από την τράπεζα, σε κα΅ιά περίπτωση δεν δικαιολογείται η τήρηση στοιχείων που απαιτούνται για τη χρέωση αυτής (ιδίως ο τριψήφιος αριθ΅ός CVC/CVV), γ) η εταιρεία δεν ικανοποίησε το δικαίω΅α πρόσβασής του στις καταγεγρα΅΅ένες συνο΅ιλίες που είχε ζητήσει ΅ε το από 08-08-2016 τηλεφωνικό αίτη΅ά του, επανέλαβε ΅ε την από 12-08-2016 καταγγελία στο Συνήγορο του Καταναλωτή και υπενθύ΅ισε ΅ε την από 07-09-2016 εξώδικη δήλωσή του.

 

Ακολούθως, ο προσφεύγων και η εταιρεία Vodafone κλήθηκαν νο΅ί΅ως σε ακρόαση κατά τη συζήτηση της υπόθεσης ενώπιον της Αρχής στις 03-05-2017 ΅ε τις υπ’ αριθ΅. πρωτ. Γ/ΕΞ/2997/07-04-2017 και Γ/ΕΞ/2998/07-04-2017 κλήσεις, αντίστοιχα, και προσήλθαν. Ο προσφεύγων παραστάθηκε ΅ετά του πληρεξούσιου δικηγόρου του Νεκτάριου Ι. Πολυχρονίου και η εταιρεία Vodafone εκπροσωπήθηκε από την πληρεξούσια δικηγόρο Αικατερίνη Γιαννακάκου - Ραζέλου και από τον υπεύθυνο του Τ΅ή΅ατος Ασφάλειας Πληροφοριακών Συστη΅άτων της εταιρείας …. Ση΅ειώνεται δε ότι ΅ε την κλήση προς την Αρχή ζητήθηκε από την εταιρεία Vodafone να προσκο΅ίσει έγγραφη τεκ΅ηρίωση (π.χ. έντυπα διαδικασιών, δείγ΅ατα εκτέλεσής τους) σχετικά ΅ε την επεξεργασία δεδο΅ένων πιστωτικής κάρτας τόσο κατά το χρόνο υποβολής της ανωτέρω προσφυγής όσο και ΅ετά τη δηλωθείσα από την εταιρεία εναρ΅όνισή της ΅ε το διεθνές πρότυπο PCI (Payment Card Industry Standard). Κατά τη συνεδρίαση, οι κατά τα άνω παραστάντες απάντησαν σε ερωτήσεις των ΅ελών του Τ΅ή΅ατος και εξέθεσαν τις απόψεις τους, τις οποίες ανέπτυξαν κατόπιν διεξοδικώς ΅ε σχετικά υπο΅νή΅ατά τους, που κατατέθηκαν εντός της προθεσ΅ίας που τους παρασχέθηκε (βλ. το υπ’ αριθ΅. πρωτ. Γ/ΕΙΣ/3790/12-05-2017 υπό΅νη΅α της εταιρείας Vodafone και το υπ’ αριθ΅. πρωτ. Γ/ΕΙΣ/3797/12-05-2017 υπό΅νη΅α του προσφεύγοντος).

 

Η Αρχή, ΅ετά από εξέταση των στοιχείων του φακέλου της υπόθεσης, αφού άκουσε τον εισηγητή και τους βοηθούς εισηγητές, οι οποίοι παρέστησαν χωρίς δικαίω΅α ψήφου και αποχώρησαν ΅ετά τη συζήτηση της υπόθεσης και πριν από τη διάσκεψη και τη λήψη απόφασης, και κατόπιν διεξοδικής συζήτησης,

 

 

ΣΚΕΦΤΗΚΕ ΣΥΜΦΩΝΑ ΜΕ ΤΟ ΝΟΜΟ

 

 

1. Στο άρθρο 2 στοιχ. α΄ και γ΄ του ν. 2472/1997 ορίζονται οι έννοιες των απλών δεδο΅ένων και του υποκει΅ένου αυτών αντίστοιχα, ενώ στο στοιχ. δ΄ του ίδιου άρθρου ορίζεται και η έννοια της επεξεργασίας, στην οποία συ΅περιλα΅βάνονται «η συλλογή, …, η διατήρηση ή αποθήκευση, …, η χρήση, …, η διαγραφή, η καταστροφή.». Ακολούθως, στο άρθρο 4 του ν. 2472/1997 ορίζονται οι βασικές αρχές της επεξεργασίας, ενώ στο άρθρο 5 του ίδιου νό΅ου ορίζονται οι επι΅έρους προϋποθέσεις για τη νο΅ι΅ότητά της. Επιπρόσθετα, στο άρθρο 10 του ίδιου νό΅ου ορίζονται οι υποχρεώσεις του υπεύθυνου επεξεργασίας και του εκτελούντος την επεξεργασία σχετικά ΅ε το απόρρητο και την ασφάλεια της επεξεργασίας, από όπου προκύπτει ρητά ότι ουσιώδες στοιχείο της νό΅ι΅ης επεξεργασίας είναι η λήψη των κατάλληλων ΅έτρων ασφάλειας και ο έλεγχος αυτών από τον υπεύθυνο επεξεργασίας. Τα ΅έτρα ασφάλειας πρέπει α) να διασφαλίζουν ότι τα δεδο΅ένα χρησι΅οποιούνται ΅όνον για τον εκάστοτε επιδιωκό΅ενο σκοπό και β) να εξασφαλίζουν επίπεδο ασφάλειας ανάλογο προς τους κινδύνους που συνεπάγεται η επεξεργασία και η φύση των δεδο΅ένων που είναι αντικεί΅ενο της επεξεργασίας λα΅βάνοντας υπόψη τις τεχνολογικές εξελίξεις και το κόστος (βλ., ενδεικτικά, Απόφαση 1/2015 της Αρχής). Περαιτέρω, το άρθρο 12 του ν. 2472/1997 καθιερώνει το δικαίω΅α πρόσβασης του υποκει΅ένου στα δεδο΅ένα που το αφορούν ΅ε κύριο σκοπό να βεβαιώνεται το υποκεί΅ενο για την ακρίβεια και τον σύννο΅ο χαρακτήρα της επεξεργασίας των δεδο΅ένων του (βλ. αιτιολογική σκέψη 41 της Οδηγίας 95/46/ΕΚ). Ως εκ τούτου, για την ικανοποίηση του δικαιώ΅ατος πρόσβασης δεν απαιτείται η επίκληση έννο΅ου συ΅φέροντος, αφού θεωρείται δεδο΅ένο το έννο΅ο συ΅φέρον (έστω και ηθικό) του υποκει΅ένου να λάβει γνώση πληροφοριών, οι οποίες το αφορούν και οι οποίες έχουν καταχωρηθεί σε αρχείο που τηρεί ο υπεύθυνος επεξεργασίας, έτσι ώστε να πραγ΅ατώνεται η βασική αρχή του δικαίου για την προστασία των προσωπικών δεδο΅ένων, που συνίσταται στη διαφάνεια της επεξεργασίας ως προϋπόθεση κάθε περαιτέρω ελέγχου της νο΅ι΅ότητάς της εκ ΅έρους του υποκει΅ένου των δεδο΅ένων (βλ., ενδεικτικά, Αποφάσεις της Αρχής υπ’ αριθ΅. 71/2013, 72/2013, 98/2014, 149/2014, 48/2015, 71/2015, 16/2017, 32/2017, 33/2017). Επιπρόσθετα, το άρθρο 13 του ίδιου νό΅ου καθιερώνει το δικαίω΅α αντίρρησης του υποκει΅ένου των δεδο΅ένων ΅ε σκοπό αφενός να προστατευτεί το συ΅φέρον αυτού ως θιγό΅ενου και αφετέρου να εξασφαλιστεί ο έλεγχος της νο΅ι΅ότητας της επεξεργασίας που πραγ΅ατοποιείται (βλ., ενδεικτικά, Απόφαση 37/2015 της Αρχής). Από την πλευρά του, ο υπεύθυνος επεξεργασίας έχει υποχρέωση να απαντήσει εγγράφως, κατά τρόπο εύληπτο και σαφή και ΅έσα σε προθεσ΅ία δεκαπέντε (15) η΅ερών (άρθρο 12 παρ. 1, 2 και 4 και άρθρο 13 παρ. 1 του ν. 2472/1997). Περαιτέρω, σύ΅φωνα ΅ε το άρθρο 4 παρ. 3 του ν. 3471/2006 «Προστασία δεδο΅ένων προσωπικού χαρακτήρα και της ιδιωτικής ζωής στον το΅έα των ηλεκτρονικών επικοινωνιών», όπως ισχύει, «3. Επιτρέπεται η καταγραφή συνδιαλέξεων και των συναφών δεδο΅ένων κίνησης, όταν πραγ΅ατοποιούνται κατά τη διάρκεια νό΅ι΅ης επαγγελ΅ατικής πρακτικής ΅ε σκοπό την παροχή αποδεικτικών στοιχείων ε΅πορικής συναλλαγής ή άλλης επικοινωνίας επαγγελ΅ατικού χαρακτήρα, υπό την προϋπόθεση ότι και τα δύο ΅έρη, ΅ετά από προηγού΅ενη ενη΅έρωση σχετικά ΅ε το σκοπό της καταγραφής, παρέχουν τη συγκατάθεση τους.». Όπως έχει εξάλλου κρίνει η Αρχή, όταν η καταγραφή των συνδιαλέξεων είναι νό΅ι΅η σύ΅φωνα ΅ε το άρθρο 4 παρ. 3 του ν. 3471/2006, τότε δεν απαιτείται προηγού΅ενη συγκατάθεση και των δύο ΅ερών, αλλά προηγού΅ενη ενη΅έρωση του ΅έρους που δεν έχει την πρωτοβουλία της καταγραφής σύ΅φωνα ΅ε το άρθρο 11 του ν. 2472/1997 (πρβλ. Ετήσια Έκθεση 2006 της Αρχής, σελ. 78, καθώς και άρθρο 5 παρ. 2 της Οδηγίας 2002/58/ΕΚ σε συνδυασ΅ό ΅ε την αιτιολογική σκέψη 23 της ίδιας Οδηγίας)1. ∆ιευκρινίζεται δε ότι, σύ΅φωνα ΅ε τη συ΅πληρω΅ατικώς εφαρ΅οζό΅ενη γενική αρχή του άρθρου 4 παρ. 1 του ν. 2472/1997, τα δεδο΅ένα θα πρέπει να τηρούνται για όσο χρόνο απαιτείται για την επίτευξη του ως άνω σκοπού.

 

2. Εν προκει΅ένω, αναφορικά ΅ε την ικανοποίηση του δικαιώ΅ατος πρόσβασης του προσφεύγοντος, πρέπει να γίνει η ακόλουθη διάκριση:

 

 

2.1. ∆ικαίω΅α πρόσβασης ΅ε την έννοια της πληροφόρησης. Τα στοιχεία που είναι απαραίτητα για την πληρω΅ή των λογαριασ΅ών του προσφεύγοντος, ως συνδρο΅ητή, στην εταιρεία Vodafone, ως παρόχου τηλεπικοινωνιακών υπηρεσιών, αποτελούν καταρχήν απλά προσωπικά δεδο΅ένα του υποκει΅ένου τους (άρθρο 2 στοιχ. α' και γ' του ν. 2472/1997), η επεξεργασία των οποίων επιτρέπεται κατόπιν σχετικής συγκατάθεσης (άρθρο 5 παρ. 1 του ν. 2472/1997). Ο προσφεύγων, ως υποκεί΅ενο των δεδο΅ένων, έχει δικαίω΅α να λάβει σαφείς πληροφορίες σχετικά ΅ε τα δεδο΅ένα που τον αφορούν, καθώς και σχετικά ΅ε οποιοδήποτε άλλο στοιχείο που αφορά στην περαιτέρω επεξεργασία των δεδο΅ένων του, όπως π.χ. οι σκοποί της επεξεργασίας, οι αποδέκτες ή κατηγορίες αποδεκτών, η εξέλιξη της επεξεργασίας για το χρονικό διάστη΅α από την προηγού΅ενη ενη΅έρωσή του κ.α. (άρθρο 12 παρ. 1 και 2 του ν. 2472/1997). Στο πλαίσιο αυτό, ο ισχυρισ΅ός της εταιρείας Vodafone ότι ΅ε την από 16-09-2016 απάντησή της προς το Συνήγορο του Καταναλωτή ικανοποίησε πλήρως το δικαίω΅α πρόσβασης του προσφεύγοντος δεν ΅πορεί να γίνει δεκτός, καθώς, από τις διευκρινίσεις της εταιρείας προς την Αρχή, προκύπτει σαφώς το αντίθετο. Τούτο, διότι όχι ΅όνο οι απαντήσεις προς την Αρχή είναι λεπτο΅ερέστερες, αλλά προκύπτει από αυτές ΅ια αντίφαση σε σχέση ΅ε τους ισχυρισ΅ούς ενώπιον του Συνηγόρου του Καταναλωτή, ΅ε συνέπεια, ουσιαστικά, η πρώτη απάντηση που έλαβε ο προσφεύγων να είναι και λανθασ΅ένη. Ειδικότερα, ενώπιον της Αρχής, η εταιρεία ισχυρίζεται ότι διενήργησε την καταγγελλό΅ενη επεξεργασία, ήτοι τη χρήση δεδο΅ένων πιστωτικής κάρτας του προσφεύγοντος, επειδή ο προσφεύγων υπέβαλε αίτη΅α πληρω΅ής, όπως και στο παρελθόν, για χειροκίνητη είσπραξη, ενώ, ενώπιον του Συνηγόρου του Καταναλωτή, η εταιρεία ισχυρίστηκε ότι εκ παραδρο΅ής προέβη στην καταχώριση των στοιχείων του προσφεύγοντος στο σύστη΅α των συνδρο΅ητών που έχουν επιλέξει την πληρω΅ή ΅ε πάγια εντολή εξόφλησης λογαριασ΅ών ΅ε χρέωση πιστωτικής, χρεωστικής ή προπληρω΅ένης κάρτας. Περαιτέρω, η εταιρεία Vodafone απάντησε ύστερα από πάροδο ΅εγάλου χρονικού διαστή΅ατος (έξι ΅ήνες), λα΅βανο΅ένου υπόψη ότι η από 07-09-2016 εξώδικη δήλωση του προσφεύγοντος εστάλη στις 09-09-2016, ενώ η εταιρεία απάντησε στις 13-03-2017 κατόπιν παρέ΅βασης της Αρχής, όπως προαναφέρθηκε (βλ. υπ’ αριθ΅. πρωτ. Γ/ΕΞ/1055/10-02-2017 έγγραφο της Αρχής προς την εταιρεία και υπ’ αριθ΅. πρωτ. Γ/ΕΙΣ/2000/13-03-2017 απάντηση της τελευταίας, κατόπιν του υπ’ αριθ΅. πρωτ. Γ/ΕΙΣ/1712/02-03-2017 αιτή΅ατός της για παροχή παράτασης ως προς την προθεσ΅ία απάντησης). Συνεπώς, η εταιρεία Vodafone δεν ικανοποίησε το δικαίω΅α πρόσβασης του υποκει΅ένου κατά τους όρους του άρθρου 12 του ν. 2472/1997, καθώς απάντησε στον προσφεύγοντα ΅ε τρόπο ΅η ικανοποιητικό (ιδίως λόγω  των προαναφερό΅ενων ελλείψεων και αντιφάσεων) και ΅ε ση΅αντική χρονική καθυστέρηση (έξι ΅ήνες) ΅όνον κατόπιν παρέ΅βασης της Αρχής. 

 

2.2. ∆ικαίω΅α πρόσβασης σε καταγεγρα΅΅ένες συνο΅ιλίες. Οι καταγεγρα΅΅ένες συνο΅ιλίες του προσφεύγοντος ΅ε τους υπαλλήλους της εταιρείας Vodafone αποτελούν καταρχήν απλά προσωπικά δεδο΅ένα του υποκει΅ένου τους (άρθρο 2 στοιχ. α' και γ' του ν. 2472/1997 σε συνδυασ΅ό ΅ε άρθρο 2 παρ. 3 του ν. 3471/2006). Η καταγραφή των ως άνω δεδο΅ένων από την εταιρεία συνιστά αυτο΅ατοποιη΅ένη επεξεργασία (άρθρο 2 στοιχ. δ΄ σε συνδυασ΅ό ΅ε άρθρο 3 παρ. 1 του ν. 2472/1997, όπου για το χαρακτηρισ΅ό ΅ιας επεξεργασίας ως αυτο΅ατοποιη΅ένης αρκεί αυτή να είναι και εν ΅έρει αυτο΅ατοποιη΅ένη). Η επεξεργασία αυτή επιτρέπεται, καθώς πραγ΅ατοποιείται στο πλαίσιο νό΅ι΅ης επαγγελ΅ατικής πρακτικής ΅ε σκοπό την παροχή αποδεικτικών στοιχείων επικοινωνίας επαγγελ΅ατικού χαρακτήρα (άρθρο 4 παρ. 3 του ν. 3471/2006 σε συνδυασ΅ό ΅ε άρθρο 11 του ν. 2472/1997), ενώ κατά την κλήση στο τηλεφωνικό κέντρο της εταιρείας Vodafone ακούγεται ΅αγνητοφωνη΅ένο ΅ήνυ΅α ότι η κλήση θα ηχογραφηθεί «για λόγους ασφάλειας». Ωστόσο, η Αρχή έχει ήδη κρίνει ότι η σχετική ενη΅έρωση του καλούντος για την καταγραφή των συνο΅ιλιών του είναι αναληθής, αφού η καταγραφή πραγ΅ατοποιείται σε επό΅ενο στάδιο ΅ε ειδική ενη΅έρωση και εφόσον είναι απαραίτητο για την συναλλαγή που πραγ΅ατοποιείται τηλεφωνικά (βλ. Απόφαση 71/2017 της Αρχής, ιδίως σκέψη 7). Για το λόγο αυτό, η Αρχή έχει απευθύνει σύσταση στην εταιρεία να προσαρ΅όσει το σχετικό ΅ήνυ΅α ενη΅έρωσης προσηκόντως. Περαιτέρω, ο προσφεύγων, ως υποκεί΅ενο των δεδο΅ένων, έχει δικαίω΅α πρόσβασης στα δεδο΅ένα που τον αφορούν και περιέχονται στο σύνολο των καταγεγρα΅΅ένων αυτών συνο΅ιλιών (άρθρο 12 του ν. 2472/1997), ενώ η εταιρεία, από την πλευρά της, ως υπεύθυνος επεξεργασίας, απάντησε, καταρχάς, ως όφειλε, έστω και εν ΅έρει, στο από 08-08-2017 τηλεφωνικό αίτη΅α του προσφεύγοντος να λάβει την από 05-08-2016 συνο΅ιλία, ΅ε την ά΅εση αποστολή σε αυτόν της ειδικής αίτησης που έπρεπε να συ΅πληρώσει και τηλεφωνική περιγραφή της σχετικής διαδικασίας που εφαρ΅όζει για την ικανοποίηση του δικαιώ΅ατος (άρθρο 12 παρ. και 2 και 4 του ν. 2472/1997). Ωστόσο, ο προσφεύγων ισχυρίζεται ότι δεν ακολούθησε την καθιερω΅ένη διαδικασία, διότι η αίτηση που του έστειλε η Vodafone έπρεπε να φέρει το γνήσιο της υπογραφής του αιτούντα και να σταλεί ταχυδρο΅ικώς, περιείχε δε και πλήθος περιττών πληροφοριών που ζητούνται ως απαραίτητες. Κατά τον προσφεύγοντα, αποτέλεσ΅α της πολυπλοκότητας της διαδικασίας (που δεν προβλέπεται στο νό΅ο) ήταν να ΅αταιωθεί εν τοις πράγ΅ασι η ικανοποίηση του δικαιώ΅ατος πρόσβασης, άλλωστε ο ίδιος θεωρεί ότι σαφώς είχε ασκήσει το δικαίω΅α και εγγράφως ΅ε την από 12-08-2016 καταγγελία στο Συνήγορο του Καταναλωτή, ΅ε την από 07-09-2016 εξώδικη δήλωσή του και ΅ε την από 28-03-2017 εξώδικη δήλωσή του, ζητώντας τόσο την ανωτέρω όσο και κάθε άλλη συναφή συνο΅ιλία. Από την πλευρά της, η εταιρεία επιση΅αίνει ότι το δικαίω΅α πρόσβασης του προσφεύγοντος στις εν λόγω καταγεγρα΅΅ένες συνο΅ιλίες ασκήθηκε εγγράφως για πρώτη φορά ΅ε την από 28-03-2017 εξώδικη δήλωση (που της κοινοποιήθηκε στις 05-04-2017) και ότι η εύλογη, κατά την άποψή της, καθυστέρηση (ένας ΅ήνας, αφού η εταιρεία απάντησε ΅ε την από 05-05-2017 επιστολή και το σχετικό CD παρελήφθη 08-05-2017), οφείλεται στο γεγονός ότι ο προσφεύγων επέλεξε να ασκήσει το δικαίω΅α πρόσβασης ΅έσω εξώδικης δήλωσης και όχι ακολουθώντας την καθιερω΅ένη διαδικασία της εταιρείας (συ΅πλήρωση αίτησης). Στο πλαίσιο αυτό, κρίνεται ότι δεν συντρέχει λόγος επιβολής κύρωσης, καθώς τελικώς το σχετικό δικαίω΅α ικανοποιήθηκε πλήρως ΅ε την αποστολή της από 05-05-2017 επιστολής και ΅ε την από 08-05-2017 χορήγηση CD στον προσφεύγοντα ΅ε το σύνολο των καταγεγρα΅΅ένων συνο΅ιλιών του για τους ΅ήνες Ιούλιο - Αύγουστο 2016. Ωστόσο, λα΅βάνοντας υπόψη τους ανωτέρω ισχυρισ΅ούς και των δυο ΅ερών, πρέπει να γίνει υπό΅νηση στην εταιρεία της σύστασης που της έχει ήδη απευθυνθεί για προσαρ΅ογή των συστη΅άτων της ΅ε τρόπο ώστε να καταστεί εφικτή η δυνατότητα άσκησης δικαιώ΅ατος πρόσβασης του υποκει΅ένου σε καταγεγρα΅΅ένες συνο΅ιλίες που αφορούν την πελατειακή του σχέση ΅ε αναφορά ΅όνο στα στοιχεία ταυτοποίησης του υποκει΅ένου και στους τηλεφωνικούς αριθ΅ούς που αφορούν οι συ΅βάσεις (βλ. Απόφαση 71/2017, ιδίως σκέψη 9).

 

3. Αναφορικά ΅ε την ικανοποίηση του δικαιώ΅ατος αντίρρησης, ήτοι του αιτή΅ατος του προσφεύγοντος για διαγραφή όλων των στοιχείων πιστωτικών του καρτών, κρίνεται ότι αυτό ικανοποιήθηκε σύ΅φωνα ΅ε τους όρους του άρθρου 13 του ν. 2472/1997 ΅ε την από 16-09-2016 απαντητική επιστολή της Vodafone προς το Συνήγορο του Καταναλωτή (βεβαίωση για διαγραφή στοιχείων εντός 15νθη΅έρου) που κοινοποιήθηκε και στον προσφεύγοντα, καθώς και ΅ε τις σχετικές διευκρινίσεις που παρασχέθηκαν ενώπιον της Αρχής.

 

4. Αναφορικά ΅ε το καταγγελλό΅ενο περιστατικό παραβίασης της ασφάλειας των δεδο΅ένων, ήτοι τη χρήση από την εταιρεία Vodafone των στοιχείων πιστωτικής κάρτας του προσφεύγοντος για πληρω΅ή λογαριασ΅ού του χωρίς προηγού΅ενη συγκατάθεση, δεδο΅ένης και της παραδοχής της εταιρείας ότι πρόκειται για ΅ε΅ονω΅ένο περιστατικό, επιση΅αίνεται, καταρχάς, ότι η τεκ΅ηρίωση που προσκό΅ισε η εταιρεία Vodafone σχετικά ΅ε την επεξεργασία δεδο΅ένων πιστωτικής κάρτας τόσο κατά το χρόνο υποβολής της ανωτέρω προσφυγής όσο και ΅ετά τη δηλωθείσα από την εταιρεία εναρ΅όνισή της ΅ε το διεθνές πρότυπο PCI (Payment Card Industry Standard) δεν είναι επαρκής. Ειδικότερα, όπως προκύπτει και από τις αντίστοιχες απαντήσεις της εταιρείας, διαπιστώνεται ότι α) η εταιρεία Vodafone δεν απέδειξε τους ισχυρισ΅ούς της σχετικά ΅ε τις προσβάσεις εξουσιοδοτη΅ένων υπαλλήλων της στα στοιχεία πιστωτικών καρτών, καθώς και σχετικά ΅ε τα αρχεία καταγραφής και τα αντίγραφα ασφαλείας, και β) πριν την εισαγωγή του PCI, τα στοιχεία πιστωτικών καρτών ήταν διαθέσι΅α σε όλους τους εξουσιοδοτη΅ένους υπαλλήλους. Με βάση τα ευρή΅ατα αυτά, ελλοχεύουν για την ασφάλεια των δεδο΅ένων συγκεκρι΅ένοι κίνδυνοι, ήτοι 1) ΅η εξουσιοδοτη΅ένη πρόσβαση στα δεδο΅ένα πιστωτικών καρτών και 2) χρήση των στοιχείων πιστωτικής κάρτας για ΅η εξουσιοδοτη΅ένες χρεώσεις, δηλαδή εν αγνοία και χωρίς τη συγκατάθεση του κατόχου της κάρτας. Οι κίνδυνοι αυτοί εξελίχθηκαν, εν προκει΅ένω, σε περιστατικό παράνο΅ης επεξεργασίας δεδο΅ένων πιστωτικής κάρτας χωρίς συγκατάθεση του υποκει΅ένου τους, ήτοι σε παράνο΅η πρόσβαση υπαλλήλου της εταιρείας σε στοιχεία πιστωτικής κάρτας που είχαν δοθεί κατά τη διάρκεια προηγού΅ενης συναλλαγής του και παρανό΅ως είχαν τηρηθεί από την εταιρεία, καθώς και σε περαιτέρω χρήση αυτών σε επό΅ενη συναλλαγή. Ση΅ειωτέον δε ότι το χρονικό διάστη΅α των τριών (3) ΅ηνών, το οποίο επικαλείται η εταιρεία ως εύλογο και αναγκαίο χρόνο τήρησης στοιχείων πιστωτικών καρτών συνδρο΅ητών, είναι δυσανάλογο σε σχέση ΅ε την εκπλήρωση του επικαλού΅ενου σκοπού του χειρισ΅ού πιθανής α΅φισβήτησης της συναλλαγής από την αντίστοιχη τράπεζα, καθώς, σύ΅φωνα ιδίως ΅ε τα συναλλακτικά ήθη και τα διδάγ΅ατα της κοινής πείρας, τέτοιου είδους α΅φισβητήσεις από τις τράπεζες λα΅βάνουν χώρα το αργότερο σε λίγες ΅όνον η΅έρες (αν όχι την ίδια η΅έρα) από τη διενέργεια της συναλλαγής. Συνεπώς, από τα στοιχεία του φακέλου της υπόθεσης, αποδείχθηκε ότι, κατά την περίοδο που έλαβε χώρα η εν λόγω επεξεργασία (Ιούνιος - Αύγουστος 2016), η εταιρεία Vodafone α) παρανό΅ως τηρούσε στο αρχείο της στοιχεία πιστωτικών καρτών συνδρο΅ητών που προέβαιναν σε ΅ε΅ονω΅ένες πληρω΅ές λογαριασ΅ών (δηλαδή δεν είχαν δώσει πάγια εντολή για πληρω΅ές λογαριασ΅ών ΅έσω πιστωτικής κάρτας) χωρίς συγκατάθεσή τους και για χρονικό διάστη΅α τριών (3) ΅ηνών και β) παρανό΅ως επεξεργάστηκε τα δεδο΅ένα πιστωτικής κάρτας του προσφεύγοντος που της είχαν χορηγηθεί ΅εν νο΅ί΅ως σε προηγού΅ενη πληρω΅ή λογαριασ΅ού από τον ίδιο, πλην ό΅ως αποθηκεύτηκαν χωρίς τη συγκατάθεσή του ή άλλο νό΅ι΅ο λόγο και χρησι΅οποιήθηκαν περαιτέρω για πληρω΅ή επό΅ενου λογαριασ΅ού του ιδίου χωρίς τη συγκατάθεσή του (βλ. άρθρο 10 σε συνδυασ΅ό ΅ε άρθρα 4 και 5 του ν. 2472/1997).

 

 

Η Αρχή, λα΅βάνοντας υπόψη τη βαρύτητα των παραβάσεων των άρθρων 10 και 12 του ν. 2472/1997 που αποδείχθηκαν και της προσβολής που επήλθε από αυτή στο υποκεί΅ενο των δεδο΅ένων, όπως αυτή εκτέθηκε αναλυτικά ανωτέρω, κρίνει ότι πρέπει να επιβληθούν στην εταιρεία Vodafone, ως υπεύθυνο επεξεργασίας, οι προβλεπό΅ενες στο άρθρο 21 παρ. 1 εδαφ. β΄ του ν. 2472/1997 κυρώσεις που αναφέρονται στο διατακτικό και οι οποίες τυγχάνουν ανάλογες ΅ε τη βαρύτητα εκάστης παράβασης και της προσβολής του προσφεύγοντος εξ’ αυτών, καθώς και ότι πρέπει να της επιση΅ανθεί επιπλέον η υποχρέωση να συ΅΅ορφωθεί ΅ε τις συστάσεις που της έχει ήδη απευθύνει ΅ε την Απόφαση 71/2017 σχετικά ΅ε την ικανοποίηση των δικαιω΅άτων ενη΅έρωσης και πρόσβασης των υποκει΅ένων των δεδο΅ένων σε καταγεγρα΅΅ένες συνο΅ιλίες.

 

 

ΓΙΑ ΤΟΥΣ ΛΟΓΟΥΣ ΑΥΤΟΥΣ

 

 

Η Αρχή

 

1. Επιβάλει στην εταιρεία Vodafone πρόστι΅ο ύψους πέντε (5.000) χιλιάδων Ευρώ για τη ΅η ικανοποίηση του δικαιώ΅ατος πρόσβασης του προσφεύγοντος σύ΅φωνα ΅ε όσα εκτίθενται ανωτέρω στη σκέψη ΅ε αριθ΅ό 2.1.

 

2. Επιβάλει στην εταιρεία Vodafone πρόστι΅ο ύψους δέκα (10.000) χιλιάδων Ευρώ για παράνο΅η επεξεργασία δεδο΅ένων πιστωτικής κάρτας του προσφεύγοντος σύ΅φωνα ΅ε όσα εκτίθενται ανωτέρω στη σκέψη ΅ε αριθ΅ό 4.

 

3. Επιση΅αίνει στην εταιρεία την υποχρέωσή της να συ΅΅ορφωθεί ΅ε τις συστάσεις που της έχει ήδη απευθύνει η Αρχή ΅ε την Απόφαση 71/2017 σχετικά ΅ε την ικανοποίηση των δικαιω΅άτων ενη΅έρωσης και πρόσβασης των υποκει΅ένων των δεδο΅ένων σε καταγεγρα΅΅ένες συνο΅ιλίες σύ΅φωνα ΅ε όσα εκτίθενται ανωτέρω στη σκέψη ΅ε αριθ΅ό 2.2.

 

 

 

 

Ο Αναπληρωτής Πρόεδρος

 

Γεώργιος Μπατζαλέξης

 

Η Γρα΅΅ατέας

 

Ειρήνη Παπαγεωργοπούλου

 

 

 

ΑΠΟ∆ΕΚΤΕΣ

 

1. VODAFONE - ΠΑΝΑΦΟΝ ΑΕΕΤ

Τζαβέλλα 1-3

152 31 Χαλάνδρι

 

2. …

 

3. Νεκτάριος Πολυχρονίου

Πληρεξούσιος δικηγόρος του …

Ο΅ήρου 54

10672 Αθήνα

necpol@polychronioulaw.gr