Ζητήματα Προστασίας Προσωπικών Δεδομένων

Ζητήματα προστασίας προσωπικών δεδομένων, που ενδέχεται να υπάρξουν κατά την εκτέλεση ανέπαφων συναλλαγών, με τη χρήση των νέων πιστωτικών, ή χρεωστικών καρτών.

Γράφει ο Στάθης Δημ. Σταματελόπουλος, Νομικός Συνεργάτης Ε.Ε.Α.


ΑΠΔΠΧ ΑΡΙΘΜ. Απόφασης 48/2018

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα ασχολήθηκε με ζητήματα προστασίας προσωπικών δεδομένων, που ενδέχεται να υπάρξουν κατά την εκτέλεση ανέπαφων συναλλαγών, με την χρήση των νέων πιστωτικών, ή χρεωστικών καρτών, κατόπιν υποβολής σχετικού ερωτήματος, που υπέβαλλε σε αυτήν, τόσο η Διεύθυνση Προστασίας Καταναλωτή του Υπουργείου Οικονομίας, όσο και ο Συνήγορος του Καταναλωτή, μετά από σχετικές καταγγελίες πολιτών, στους οποίους οι αντισυμβαλλόμενες τους τράπεζες, σε αντικατάσταση των παλαιών τους καρτών τους χορήγησαν νέα κάρτες ανέπαφων (contacless) συναλλαγών, δηλαδή συναλλαγών, που μπορούν να πραγματοποιηθούν χωρίς την εισαγωγή ΡΙΝ, παρά μόνο με επίδειξη της κάρτας, χωρίς επαφή, ή τοποθέτηση στην αντίστοιχη συσκευή ¨αναγνώστη ¨ (reader), εφόσον η οικονομική συναλλαγή δεν ξεπερνάει το ύψος των 25 Ευρώ. Οι καταγγέλοντες ισχυρίζονταν ότι, δεν είχαν δώσει την συγκατάθεση τους, προκειμένου να τους χορηγηθεί πιστωτική κάρτα με αυτά τα χαρακτηριστικά (ανέπαφων συναλλαγών), καθώς επίσης και ότι, δεν επιθυμούσαν να διαθέτουν τέτοια κάρτα, λόγω κινδύνων ασφάλειας, που πηγάζουν από την χρήση τους .       

Οι ελεγχόμενες τράπεζες ισχυρίστηκαν ότι, η δυνατότητα χρήσης της DebitMasterCard τεχνολογίας ανέπαφων συναλλαγών για αγορές αξίας μικρότερης των 25 Ευρώ είναι ένα υποχρεωτικό χαρακτηριστικό της κάρτας, σύμφωνα με τις οδηγίες του Διεθνούς Οργανισμού MasterCard και ότι, η νέα κάρτα παρέχει όλες τις δικλείδες ασφαλείας, που προβλέπουν οι διεθνείς οργανισμοί, καθώς επίσης και ότι, η αντικατάσταση της παλαιάς κάρτας με την νέα ανέπαφη κάρτα είναι σύμφωνη με τους όρους της σύμβασης, που οι πελάτες τους έχουν υπογράψει, τέλος δε επεσήμαναν ότι, οι καταγγέλοντες πελάτες τους είχαν την δυνατότητα να αιτηθούν την μεταβολή του ημερήσιο ορίου αγορών σε μηδέν (0) Ευρώ .

Εξάλλου, οι τράπεζες με έγγραφο τους προς την ΑΠΔΠΧ επεσήμαναν ότι, στο chip της κάρτας εκτός από τις τεχνικές πληροφορίες, που αφορούν την επικοινωνία της κάρτας με το τερματικό, τηρούνται ο αριθμός της κάρτας, η ημερομηνία λήξης της, το ονοματεπώνυμο του κατόχου της και το ΡΙΝ σε κρυπτογραφημένη μορφή, καθώς και ότι, τα στοιχεία που αποστέλλονται κατά την διενέργεια της ανέπαφης συναλλαγής είναι μόνο ο αριθμός της κάρτας και η ημερομηνία λήξης αυτής και ότι η τράπεζα δεν μπορεί να παρέμβει στην λειτουργία της ανέπαφης συναλλαγής, αλλά εναπόκειται στον πελάτη της να δηλώσει στον υπάλληλο της επιχείρησης με την οποία συναλλάσσεται ότι, επιθυμεί να διενεργήσει τη συναλλαγή με την χρήση του ΡΙΝ, σημειώνοντας παράλληλα ότι, η χρήση της κάρτας με ανέπαφη συναλλαγή παρέχει επαρκές επίπεδο ασφάλειας, καθώς η κάρτα δεν απομακρύνεται από τα χέρια του κατόχου της και οι τυχόν δόλιες συναλλαγές είναι μηδαμινές και μπορούν να αμφισβητηθούν από τον κάτοχο της κάρτας, με την ίδια διαδικασία, που ακολουθείται και στις συναλλαγές με πιστωτικές, ή χρεωστικές κάρτες με χρήση ΡΙΝ .   

Στην συνέχεια η ΑΠΔΠΧ ζήτησε από τις τράπεζες να τεκμηριώσουν ακριβώς του λόγους, για τους οποίους δεν είναι εφικτή, κατά τους ισχυρισμούς τους, η απενεργοποίηση του χαρακτηριστικού εκείνου της κάρτας, που επιτρέπει την πραγματοποίηση ανέπαφων συναλλαγών, σε περίπτωση που κάποιος πελάτης ζητήσει αυτήν την απενεργοποίηση, προτρέποντας τις τράπεζες να απευθυνθούν προς τούτο και στον αρμόδιο φορέα, δηλαδή την MASTERCARD, ή την VISA και επίσης ζήτησε να κατατεθεί έγγραφη τεκμηρίωση από τις τράπεζες, που να καταδεικνύει ότι, ελήφθησαν υπόψη ζητήματα προστασίας προσωπικών δεδομένων ήδη κατά το στάδιο του σχεδιασμού της κάρτας ( π.χ. μελέτη επιπτώσεων στην προστασία προσωπικών δεδομένων – Data Protection Impact Assessment DPIA)  .

Η ΑΠΔΠΧ στην συνέχεια πραγματοποίησε με τους υπαλλήλους της έλεγχο, μέσω της ελεύθερα διαθέσιμης εφαρμογής λογισμικού Credit Card Reader και διαπίστωσε ότι, τα δεδομένα που αποστέλλει μία ανέπαφη κάρτα ΜasterCard, κατά την ανέπαφη λειτουργία της, είναι πράγματι ο αριθμός της κάρτας και η ημερομηνία λήξης της, αλλά παρατήρησε επιπρόσθετα ότι, αποστέλλονται επίσης μη κρυπτογραφημένα στοιχεία, που αφορούν πρόσφατες κινήσεις της κάρτας, δηλαδή η ημερομηνία της κίνησης και το ύψος του χρηματικού ποσού αυτής .

Έτσι,  η ΑΠΔΠΧ επικοινώνησε στην συνέχεια τόσο με την MasterCard Ελλάδος όσο και με την VISA, οι οποίες ανέφεραν ότι, δεν εκδίδουν αυτές κάρτες πληρωμών, αλλά αντίθετα μόνο οι τράπεζες είναι εκδότες αυτών και αντίστοιχα υπεύθυνοι επεξεργασίας προσωπικών δεδομένων και αυτές καθορίζουν μεταξύ άλλων, τον τύπο της κάρτας πληρωμής, που εκδίδεται για τον κάθε κάτοχο, καθώς και τα τεχνικά χαρακτηριστικά της κάρτας, ενώ διευκρίνισαν στην Αρχή ότι, τηρείται αρχείο καταγραφής συναλλαγών (transaction logs) μόνο αν αυτό υποστηρίζεται από τον εκδότη, δηλαδή την τράπεζα, η οποία και μόνο αποφασίζει, αν αυτό είναι απαραίτητο και αν αυτό θα είναι απρόσιτο ανάγνωσης από τις συσκευές ανάγνωσης ανέπαφων καρτών, τέλος δε διευκρίνισαν ότι, οι τράπεζες, ως εκδότες των καρτών είναι και γνώστες όλων των πληροφοριών, που σχετίζονται με την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της τεχνολογίας ανέπαφων συναλλαγών .    

Κατόπιν αυτών και αφού συνεκτίμησε τις σχετικές πληροφορίες η ΑΠΔΠΧ έκρινε ότι, σύμφωνα με την κείμενη νομοθεσία (ήδη τις διατάξεις του GDPR) τα δεδομένα χρεωστικών, ή πιστωτικών καρτών, όπως ο αριθμός τους και η ημερομηνία λήξης τους αποτελούν δεδομένα προσωπικού χαρακτήρα, οι δε εκδότες αυτών, δηλαδή οι τράπεζες και τα εν γένει πιστωτικά ιδρύματα, αποτελούν τον υπεύθυνο επεξεργασίας αυτών των στοιχείων, αφού παρέχουν στους πελάτες τους  ένα τραπεζικό προϊόν (πιστωτική κάρτα για ανέπαφες συναλλαγές), μέσω του οποίου επεξεργάζονται προσωπικά δεδομένα αυτών – στο πλαίσιο πραγματοποίησης  χρεώσεων του τραπεζικού λογαριασμού του κάθε πελάτη βάσει των συναλλαγών που πραγματοποιεί με χρήση κάρτας – και για το οποίο προϊόν η κάθε τράπεζα έχει επιλέξει τον σκοπό και τον τρόπο της επεξεργασίας .

Εξάλλου, όπως έκρινε η ΑΠΔΠΧ η επεξεργασία των δεδομένων προσωπικού χαρακτήρα επιτρέπεται μόνο, όταν το υποκείμε4νο έχει δώσει την συγκατάθεση του, η οποία νοείται, ως η ελεύθερη, ρητή και ειδική δήλωση βούλησης, που εκφράζεται με τρόπο σαφή και εν πλήρη επιγνώσει και με την οποία το υποκείμενο των δεδομένων, αφού προηγουμένως ενημερωθεί, δέχεται να αποτελέσουν αντικείμενο της επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα .Κατ’ εξαίρεση δε, επιτρέπεται η επεξεργασία προσωπικών δεδομένων και χωρίς την συγκατάθεση του υποκειμένου τους, εφόσον συντρέχει κάποια από τις περιπτώσεις που προβλέπονται στο νόμο, μεταξύ δε αυτών είναι και η περίπτωση, που η επεξεργασία είναι αναγκαία για την εκτέλεση σύμβασης, στην οποία το συμβαλλόμενο μέρος είναι υποκείμενο των δεδομένων .   

Παράλληλα, η Αρχή έκρινε ότι, στην περίπτωση των πιστωτικών καρτών και  λαμβάνοντας υπόψη τους κινδύνους που συνεπάγεται η επεξεργασία δεδομένων πιστωτικών καρτών, ιδίως σε περίπτωση τυχαίας, ή παράνομης πρόσβασης, ή διάδοσης ο υπεύθυνος επεξεργασίας θα πρέπει να λάβει μέτρα που εξασφαλίζουν υψηλό επίπεδο ασφάλειας, μεταξύ των οποίων, σύμφωνα με το άρθρο 32 του Κανονισμού (GDPR) και το μέτρο  της ψευδωνυμοποίησης και της κρυπτογράφησης των δεδομένων προσωπικού χαρακτήρα . 

Στις κρινόμενες περιπτώσεις οι δύο τράπεζες αντικατέστησαν τις χρεωστικές κάρτες των καταγγελόντων πελατών τους με νέες, οι οποίες  διαφέρουν από τις προηγούμενες στο ότι, διαθέτουν τεχνολογία για ανέπαφες συναλλαγές. Η αντικατάσταση αυτή ήταν υποχρεωτική, δηλαδή δεν δόθηκε η δυνατότητα στους καταγγέλοντες πελάτες να αποκτήσουν νέα κάρτα όμοιας τεχνολογίας με αυτήν της παλαιάς τους κάρτας, δηλαδή χωρίς τη δυνατότητα ανέπαφων συναλλαγών ενώ και στις δύο περιπτώσεις υπήρξε ενημέρωση από την τράπεζα προς τον πελάτη της, για το ότι πρόκειται για κάρτα με τεχνολογία, που υποστηρίζει ανέπαφες συναλλαγές  – χωρίς όμως αναλυτική ενημέρωση για τα επιμέρους χαρακτηριστικά της εν λόγω επεξεργασίας, όπως το ποια δεδομένα μεταδίδονται ανέπαφα, ή ποια δεδομένα τηρούνται στο chip  της κάρτας . Ως προς την ασφάλεια της επεξεργασίας η χρήση της νέας κάρτας εγείρει νέους κινδύνους, που δεν υπήρχαν κατά την χρήση της παλαιάς κάρτας, ωστόσο πρέπει να γίνει δεκτό ότι, δεν πρόκειται καταρχάς για κίνδυνο μεγαλύτερης έντασης από τον γενικότερο κίνδυνο απώλειας, ή κλοπής οποιασδήποτε άλλης κάρτας, αλλά πρέπει να συνυπολογιστεί ότι, η κακόβουλη χρήση της ως ανέπαφης κάρτας για αγορές αξίας μέχρι 25 Ευρώ, είναι πιο εύκολο να πραγματοποιηθεί σε σχέση με την κακόβουλη χρήση της, για αγορές στο μέσω διαδικτύου.

Ο ανωτέρω κίνδυνος δεν μπορεί να θεωρηθεί ως εξαιρετικά χαμηλής πιθανότητας επέλευσης και αυτό γιατί, παρά τοπ γεγονός ότι, για να καταγράψει κανείς τα ραδιοκύματα που εκπέμπει η κάρτα θα πρέπει να βρεθεί σε πολύ κοντινή απόσταση, εν τούτοις η καταγραφή αυτή μπορεί να γίνει με κατάλληλο εξοπλισμό, που δεν είναι δαπανηρός, ή με επίσης χαμηλού κόστους λογισμικό, που μπορεί εύκολα να τοποθετηθεί σε έξυπνες συσκευές, όπως αυτές που χρησιμοποίησαν και οι υπάλληλοι της Αρχής για την έρευνα τους. Έτσι έχοντας κάποιος κακόβουλος γνώση του αριθμού της κάρτας και της ημερομηνίας λήξης αυτής μπορεί να επιχειρήσει να πραγματοποιήσει αγορά προϊόντος, μέσω διαδικτύου, με χρέωση/πίστωση στον τραπεζικό λογαριασμό με τον οποίο είναι συνδεδεμένη η κάρτα, η αγορά δε αυτή ενδέχεται να ολοκληρωθεί επιτυχώς, εφόσον το σχετικό ηλεκτρονικό κατάστημα δεν εφαρμόζει τα δέοντα μέτρα ασφάλειας .Επισημαίνεται δε ότι και στην σχετική μελέτη αντικτύπου, που εκπόνησε η MASTERCARD, και την οποία υπέβαλε στην Αρχή, ο κίνδυνος αυτός χαρακτηρίζεται ως υπαρκτός και ως μέτρα για την αντιμετώπιση του προτείνονται μεταξύ άλλων, να παρέχεται η δυνατότητα απενεργοποίησης της δυνατότητα ανέπαφων συναλλαγών, αν το επιλέξει ο εκδότης (τραπεζικό ίδρυμα), ή να υπάρχει η δυνατότητα τοποθέτησης της κάρτας σε ειδική θήκη ( data protection sleeve ), η οποία δεν επιτρέπει σε καμία συσκευή αναγνώστη να ¨διαβάσει ¨ανέπαφα δεδομένα της κάρτας, μέτρα τα οποία δεν είχαν επιλέξει οι ως άνω τράπεζες στις κρινόμενες περιπτώσεις .     

Τέλος, όπως διαπίστωσε η Αρχή στην περίπτωση των καρτών της MASTERCARD, υπάρχει η δυνατότητα αποθήκευσης στην κάρτα του πρόσφατου ιστορικού συναλλαγών, καθώς επίσης και η δυνατότητα  ανέπαφης ανάγνωσης αυτών. Τα συγκεκριμένα δεδομένα σαφώς δεν είναι απολύτως απαραίτητα για την βασική λειτουργικότητα, για την οποία προορίζεται  μία χρεωστική κάρτα και ως εκ τούτου, δεν θα πρέπει εξ ορισμού να τηρούνται – πολλώ δε μάλλον, χωρίς την ρητή προς τούτο ενημέρωση, όπως φαίνεται να συνέβη στην κρινόμενη περίπτωση. Σημειώνεται επίσης ότι, η τήρηση αυτών των δεδομένων δεν είναι υποχρεωτική βάσει των προδιαγραφών, που έχει θέσει η MASTERCARD, – εγείρει ζητήματα προστασίας προσωπικών δεδομένων, αφού από τις κινήσεις της κάρτας μπορεί να δημιουργηθεί προφίλ του κατόχου της, ως προς τις καταναλωτικές του συνήθειες . 

Συνεπώς, ενόψει των κινδύνων, των πιθανοτήτων εμφάνισης τους και της σοβαρότητας τους για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, η συγκεκριμένη επεξεργασία, δηλαδή η τήρηση ιστορικού συναλλαγών στην κάρτα, δεν εμπίπτει σε καμία από τις προβλεπόμενες και στον νόμο και στον Κανονισμό, εξαιρέσεις και συνεπώς η μοναδική νομική βάση για την πραγματοποίηση αυτής της επεξεργασίας, μέσω των εν λόγω καρτών, είναι η συγκατάθεση των υποκειμένων των, δεδομένων (πελατών της κάθε τράπεζας, που είναι κάτοχοι των καρτών ) .

Επίσης, η Αρχή έκρινε ότι, ως προς τον κίνδυνο κακόβουλης ανέπαφης ανάγνωσης των δεδομένων (αριθμός κάρτας, ημερομηνία λήξης της), πρέπει ως μέσο αντιμετώπισης του, να παρέχουν οι τράπεζες, είτε την δυνατότητα απενεργοποίησης της ανέπαφης λειτουργίας, ή εναλλακτικά τη χορήγηση νέας κάρτας, χωρίς ανέπαφη λειτουργία, εφόσον ο πελάτης δεν επιθυμεί να έχει κάρτα με δυνατότητα ανέπαφων συναλλαγών .

Με βάση όλα τα παραπάνω, η ΑΠΔΠΧ κατέληξε στα εξής συμπεράσματα :

Α) Εφόσον ο πελάτης δηλώσει ότι, δεν επιθυμεί να έχει κάρτα με δυνατότητα ανέπαφων συναλλαγών, να παρέχεται η δυνατότητα απενεργοποίησης της ανέπαφης λειτουργίας της κάρτας, είτε η χορήγηση νέας, μη ανέπαφης κάρτας .

Β) Εφόσον σε κάρτα, που έχει χορηγηθεί σε πελάτη είναι ενεργοποιημένη η δυνατότητα τήρησης ιστορικού συναλλαγών στο chip  αυτής, χωρίς να έχει δώσει την ειδική προς τούτο συγκατάθεση του, θα πρέπει ο πελάτης να ενημερωθεί σχετικά, με κάθε πρόσφορο τρόπο ( π.χ. μέσω μηνύματος ηλεκτρονικού ταχυδρομείου, μέσω μηνύματος κατά την σύνδεση του σε προσωποποιημένες ηλεκτρονικές υπηρεσίες του υπεύθυνου επεξεργασίας, μέσω επιστολής κ.λ.π.), ως προς την επεξεργασία αυτή, παρέχοντας του τη δυνατότητα διακοπής της επεξεργασίας αυτής. Περαιτέρω, σε κάθε νέα έκδοση και χορήγηση κάρτας, το εν λόγω χαρακτηριστικό θα πρέπει να είναι εξ αρχής απενεργοποιημένο και να ενεργοποιείται μόνο, αν υπάρχει ειδική προς τούτο συγκατάθεση του πελάτη, εφόσον έχει προηγουμένως ενημερωθεί σχετικά, για την επεξεργασία αυτή .         

Κατόπιν αυτών, η ΑΠΔΠΧ απηύθυνε συστάσεις στις δύο τράπεζες, να προβούν ως υπεύθυνοι επεξεργασίας, στις κατάλληλες ενέργειες, σύμφωνα με τα όσα αναφέρονται στην παρούσα απόφαση της .