Πρόστιμο 15.000 ευρώ κλήθηκε να καταβάλει κυπριακή τράπεζα τον περασμένο Ιούνιο για παραβίαση πολλών διατάξεων του GDPR, που αφορούσαν την επεξεργασία προσωπικών δεδομένων, το δικαίωμα πρόσβασης στα δεδομένα, την ασφάλεια της επεξεργασίας και τη δήλωση της παραβίασης στην αρμόδια αρχή.
Όλα ξεκίνησαν όταν ένας πολίτης κατέθεσε παράπονο εναντίον μίας τράπεζας και μίας ασφαλιστικής εταιρίας, λόγω της αδυναμίας της τράπεζας να του παράσχει ένα αντίγραφο του ασφαλιστηρίου συμβολαίου του, όταν της ζητήθηκε. Σύμφωνα με τους ισχυρισμούς της τράπεζας, η παροχή αντιγράφου του συμβολαίου στον αιτούντα δεν ήταν εφικτή, καθώς το πρωτότυπο είχε αρχειοθετηθεί σε ένα μέρος, όπου θα ήταν δύσκολο και χρονοβόρο να εντοπιστεί. Η τράπεζα δεν ενημέρωσε τον αρμόδιο Επίτροπο για αυτό το περιστατικό, καθώς δεν υπήρχε η παραμικρή υποψία ότι το ασφαλιστήριο μπορεί να βρισκόταν κάπου εκτός τράπεζας.
O Επίτροπος αποφάνθηκε ότι η συμπεριφορά της τράπεζας δεν συμμορφώνεται με τις υποχρεώσεις που προσδιορίζει ο GDPR. Η απώλεια του ασφαλιστηρίου συμβολαίου του πελάτη καθιστά παραβίαση του GDPR, καθώς ο πελάτης στερήθηκε του δικαιώματός του να έχει πρόσβαση στο ασφαλιστήριό του. Έτσι, αφ’ ενός ο πελάτης δεν ήταν σε θέση να ελέγξει την ακρίβεια και την εγκυρότητα των προσωπικών του δεδομένων και αφ’ ετέρου δεν μπορούσε να ελέγξει τη νομιμότητα της επεξεργασίας των δεδομένων του από την τράπεζα (έχασε τον έλεγχο των δεδομένων του).
Επιπλέον, η παράλειψη της τράπεζας να αναφέρει το περιστατικό της απώλειας του ασφαλιστηρίου στον Επίτροπο εντός 72 ωρών καθιστά παραβίαση του άρθρου 33 του GDPR.
Προκειμένου να καθορίσει το ακριβές ποσό του προστίμου, ο Επίτροπος έλαβε υπόψη του αρκετούς παράγοντες, όπως η διάρκεια της παραβίασης και το γεγονός ότι ενημερώθηκε για το περιστατικό παραβίασης αφού κατέθεσε παράπονο ο πελάτης και όχι απ’ ευθείας από την τράπεζα. Επίσης συνυπολόγισε το γεγονός ότι το περιστατικό περιελάμβανε αρκετές παραβιάσεις του GDPR και μάλιστα σημαντικές.
Το συγκεκριμένο περιστατικό είναι ιδιαίτερα διδακτικό για κάθε μικρή ή μεγάλη επιχείρηση που διαχειρίζεται προσωπικά δεδομένα, καθώς υπογραμμίζει την απόλυτη υπευθυνότητα που απαιτείται, αλλά και την αναγκαιότητα να αναφέρεται άμεσα οποιοδήποτε περιστατικό παραβίασης στην αρμόδια αρχή, καθώς ο GDPR είναι ιδιαίτερα αυστηρός στις προθεσμίες.
