Πρόστιμο στην Τράπεζα Πειραιώς για παράνομη επεξεργασία προσωπικών δεδομένων
Μία σημαντική υπόθεση παραβίασης προσωπικών δεδομένων έφερε στην επιφάνεια η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, επιβάλλοντας πρόστιμο 50.000 ευρώ στην Τράπεζα Πειραιώς (ΑΠΔ 23/2025).
Η υπόθεση αφορά έναν πελάτη της Τράπεζας Πειραιώς, ο οποίος κατήγγειλε ότι τα προσωπικά του δεδομένα διαβιβάστηκαν χωρίς τη συγκατάθεσή του σε εταιρείες διαχείρισης απαιτήσεων, παρά το γεγονός ότι δεν είχε καμία σχέση με το χρέος που αφορούσε το δάνειο του αδελφού του. Ειδικότερα, ο καταγγέλλων υποστήριξε ότι η Τράπεζα, χωρίς τη συναίνεσή του και παρά το ότι ο ίδιος δεν είχε οφειλές προς αυτήν, διαβίβασε τα προσωπικά του δεδομένα σε εταιρείες όπως η Piraeus SNF DAC (Εταιρεία Ειδικού Σκοπού) και η Intrum Hellas. Η διαβίβαση αφορούσε μια απαίτηση που συνδεόταν με επαγγελματικό δάνειο του αδελφού του, χωρίς να υπάρχει η κατάλληλη νομική βάση για την επεξεργασία των δεδομένων του καταγγέλλοντος.
Αρχικά, η Τράπεζα αναγνώρισε ότι υπήρξε σφάλμα στην καταχώριση των δεδομένων του καταγγέλλοντος στο σύστημά της, το οποίο τον παρουσίαζε λανθασμένα ως εγγυητή του εν λόγω δανείου. Η Τράπεζα υποστήριξε ότι το σφάλμα αυτό προήλθε από ανθρώπινο λάθος και όχι από συστημική δυσλειτουργία, ενώ κατηγορηματικά τόνισε ότι δεν υπήρξε διαβίβαση των προσωπικών δεδομένων του καταγγέλλοντος στις τρίτες εταιρείες διαχείρισης.
Ωστόσο, η Αρχή, εξετάζοντας τα στοιχεία του φακέλου, διαπίστωσε ότι η επεξεργασία των δεδομένων πραγματοποιήθηκε χωρίς νομική αιτία, παραβιάζοντας τις αρχές της νομιμότητας και της ακρίβειας, όπως προβλέπεται στον Γενικό Κανονισμό Προστασίας Δεδομένων. Πιο συγκεκριμένα, η επεξεργασία των προσωπικών δεδομένων του καταγγέλλοντος έγινε χωρίς την ύπαρξη σχέσης εγγυητή ή οποιουδήποτε άλλου νομικού στοιχείου που να δικαιολογεί την επεξεργασία, παραβιάζοντας τη βασική αρχή του ΓΚΠΔ για τη νομιμότητα και τη διαφάνεια στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα.
Η Αρχή υπογράμμισε ότι, παρά τις αντιρρήσεις του καταγγέλλοντος και την ενημέρωσή του ότι τα δεδομένα του δεν διαβιβάστηκαν σε τρίτους, η Τράπεζα συνεχώς του έστελνε επιστολές ενημέρωσης για τη διαδικασία διαχείρισης του δανείου, προκαλώντας σύγχυση και ανησυχία για την προστασία των προσωπικών του δεδομένων.
Τέλος, η Τράπεζα, αν και αναγνώρισε το λάθος και προχώρησε σε διορθώσεις και ενημερώσεις, δεν κατάφερε να αποδείξει ότι η επεξεργασία των δεδομένων ήταν σύμφωνη με τις αρχές του ΓΚΠΔ, γεγονός που οδήγησε στην επιβολή του χρηματικού προστίμου από την Αρχή.
