Επιβολή προστίμου στην Τράπεζα Κύπρου για απώλεια ασφαλιστικού συμβολαίου πελάτη

Το γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, επέβαλε στην Τράπεζα Κύπρου τη χρηματική ποινή των €15,000, για απώλεια ασφαλιστικού συμβολαίου πελάτη.

Συγκεκριμένα, σύμφωνα με ανακοίνωση του Γραφείου της Επιτρόπου, υποβλήθηκε καταγγελία εναντίον της Τράπεζας Κύπρου Δημόσιας Εταιρείας Λτδ και της ασφαλιστικής εταιρείας Eurolife Ltd, από άτομο το οποίο είχε ζητήσει αντίγραφο του ασφαλιστικού συμβολαίου του, αλλά παρά τη σχετική έρευνα δεν κατέστη δυνατός ο εντοπισμός του. Σύμφωνα με τους ισχυρισμούς της Τράπεζας ο λογαριασμός του πελάτη είχε μεταφερθεί πριν πολλά χρόνια σε άλλη πόλη και το πρωτότυπο συμβόλαιο είχε αρχειοθετηθεί σε χώρο όπου ο εντοπισμός του ήταν δύσκολος και χρονοβόρος. Η Τράπεζα πρότεινε στον πελάτη να ακυρώσει το συμβόλαιο.

Με βάση τα στοιχεία της έρευνας, διεφάνη ότι η εταιρεία Eurolife Ltd, ως ξεχωριστός υπεύθυνος επεξεργασίας, δεν προέβη σε παράνομη επεξεργασία προσωπικών δεδομένων του παραπονούμενου.

Η Τράπεζα, δεν προέβη σε γνωστοποίηση περιστατικού παραβίασης στην Επίτροπο αναφορικά με την απώλεια του συμβολαίου, όπως απαιτεί το άρθρο 33 του Γενικού Κανονισμού για την Προστασία  Δεδομένων (ΓΚΠΔ), καθότι, όπως δήλωσε στη συνέχεια, δεν υπήρχε η παραμικρή υποψία ότι το έγγραφο βρίσκεται εκτός της Τράπεζας, εφόσον κατά πάσα πιθανότητα είχε μόνο τοποθετηθεί σε λάθος χώρο.

Από τα στοιχεία του φακέλου της υπόθεσης και την παραδοχή της Τράπεζας ότι το επίμαχο ασφαλιστήριο συμβόλαιο, δεν κατέστη δυνατόν να ανευρεθεί, η Επίτροπος έκρινε ότι η Τράπεζα δεν συμμορφώθηκε με τις ακόλουθες υποχρεώσεις της που απορρέουν από τον Κανονισμό:

(α) Η απώλεια του ασφαλιστικού συμβολαίου του παραπονούμενου προκάλεσε κίνδυνο για τα δικαιώματα του, αφού ο παραπονούμενος στερήθηκε του δικαιώματος πρόσβασης στο ασφαλιστήριο συμβόλαιο, με αποτέλεσμα αφενός να μην μπορεί να ελέγξει την ορθότητα και εγκυρότητα των δεδομένων του και αφετέρου να μην μπορεί να επαληθεύσει την νομιμότητα της επεξεργασίας (απώλεια ελέγχου επί των δεδομένων του).

(β) Η Τράπεζα είχε υποχρέωση να προβεί σε γνωστοποίηση του περιστατικού παραβίασης στην Επίτροπο, αναφορικά με την απώλεια του συμβολαίου εντός 72 ωρών από τη στιγμή που το περιστατικό παραβίασης ήρθε σε γνώση της, κάτι το οποίο παρέλειψε να πράξει. Σύμφωνα με τον ΓΚΠΔ, «παραβίαση δεδομένων προσωπικού χαρακτήρα» σημαίνει την παραβίαση της ασφάλειας που οδηγεί, μεταξύ άλλων, σε απώλεια δεδομένων προσωπικού χαρακτήρα που αποθηκεύτηκαν ή υποβλήθηκαν σε επεξεργασία. Επομένως από την στιγμή που ήρθε σε γνώση της ότι το ασφαλιστικό συμβόλαιο απωλέσθη είτε εντός, είτε εκτός της Τράπεζας, αυτή είχε υποχρέωση να προβεί σε γνωστοποίηση περιστατικού παραβίασης στην Επίτροπο εντός 72 ωρών.

Πρόκειται, όπως αναφέρεται, για παράβαση της υποχρέωσης της εκ των άρθρων 5(1)(στ), 5(2), 15, 32 και 33 του Κανονισμού.

Για την επιμέτρηση του διοικητικού προστίμου, λήφθηκαν ιδιαίτερα υπόψιν ως επιβαρυντικοί παράγοντες, η διάρκεια της παράβασης, το γεγονός ότι η Επίτροπος ενημερώθηκε για το περιστατικό παραβίασης κατόπιν της καταγγελίας και όχι απευθείας από την Τράπεζα, το γεγονός ότι πρόκειται για παραβιάσεις των άρθρων 5, 15, 32 και 33 του ΓΚΠΔ οι οποίες κρίνονται ως μεγαλύτερης βαρύτητας.