Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα εξέτασε καταγγελία πελάτη της Τράπεζας *************** για παράνομη χορήγηση στοιχείων κινήσεων και υπολοίπου δύο τραπεζικών λογαριασμών στους οποίους ήταν συνδικαιούχος με αποθανούσα συγγενή του, σε κληρονόμο της τελευταίας, τα οποία στη συνέχεια χρησιμοποιήθηκαν στο πλαίσιο αγωγής εναντίον του καταγγέλλοντος.
Η Τράπεζα δεν πρόσεξε ότι επρόκειτο για κοινούς λογαριασμούς και δεν ζήτησε γνωμάτευση της Νομικής Υπηρεσίας της Τράπεζας, με αποτέλεσμα να χορηγήσει τα εν λόγω στοιχεία στην αντίδικο του καταγγέλλοντος.
Ωστόσο, η Τράπεζα δεν προχώρησε σε γνωστοποίηση του περιστατικού στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και στο υποκείμενο των δεδομένων, εκτιμώντας ότι δεν είχε τη σχετική υποχρέωση διότι είχε λάβει επαρκή τεχνικά και οργανωτικά μέτρα.
Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα διαπίστωσε παράβαση της αρχής της νομιμότητας της επεξεργασίας και της εμπιστευτικότητας των δεδομένων (άρθ. 5 παρ. 1 α) και στ) ΓΚΠΔ) και παράβαση των υποχρεώσεων της Τράπεζας για γνωστοποίηση του περιστατικού στην Αρχή και στο υποκείμενο (άρθρα 33 και 34 ΓΚΠΔ) για τις οποίες επιβλήθηκε πρόστιμο ύψους 30.000 ευρώ.
(Απόφαση: 4/30-3-2023)