Παράνομη επεξεργασία δεδομένων προσωπικού χαρακτήρα από τράπεζα

Γράφει ο Στάθης Δημ. Σταματελόπουλος, Νομικός Συνεργάτης Ε.Ε.Α.


Μία ακόμη απόφαση εκδόθηκε από το Ειρηνοδικείο Αθηνών, μετά από αγωγή που άσκησε σε βάρος τράπεζας οφειλέτης της ( δικηγόρος ), με την οποία  ζητούσε να του επιδικαστεί εύλογη χρηματική ικανοποίηση, λόγω ηθικής βλάβης, που είχε υποστεί, από την παράνομη επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς η τράπεζα είχε χωρίς την προηγούμενη δική του συγκατάθεση και ενημέρωση διαβιβάσει στοιχεία που αφορούσαν σε οφειλή του από καταγγελθείσα δανειακή σύμβαση, σε εισπρακτικές εταιρείες.

Ειδικότερα ο ενάγων ισχυρίζονταν στην αγωγή του ότι, η τράπεζα προέβη σε παράνομη  επεξεργασία των συλλεγέντων από αυτήν – κατά την κατάρτιση μεταξύ τους δανειακής σύμβασης – προσωπικών του δεδομένων, με την διαβίβαση προς εταιρεία διαχείρισης απαιτήσεων των στοιχείων της τηλεφωνικής του σύνδεσης, καθώς και πληροφορίας για το χρέος του, παραλείποντας να τον ενημερώσει, ως όφειλε, αφενός κατ’ άρθρο 11 παρ. 1 του Ν.2472/1997, με τρόπο σαφή για τους σκοπούς της επεξεργασίας, κατά το στάδιο της συλλογής των δεδομένων, κατά το χρόνο κατάρτισης της επίδικης δανειακής σύμβασης, αφετέρου δε, κατά το άρθρο 11 παρ. 3 του ιδίου νόμου, κατά τον χρόνο πριν από τη διαβίβαση τους στις αποδέκτριες εισπρακτικές εταιρείες, για την μέλλουσα ανακοίνωση των προσωπικών του δεδομένων προς αυτήν. Επίσης ανέφερε ότι, οι εισπρακτικές εταιρείες παρανόμως επεξεργάστηκαν τα ως άνω προσωπικά του δεδομένα, τα οποία μη νομίμως συνέλεξαν από την εναγομένη τράπεζα και καταχώρισαν αυτά στα αρχείο της (ηλεκτρονικό υπολογιστή), ακολούθως δε τα χρησιμοποίησαν, καλώντας τον τηλεφωνικά κατά τα έτη 2015 μέχρι 2018, ισχυριζόμενος ότι, οι παραπάνω παράνομες πράξεις και παραλείψεις  της τράπεζας προκάλεσαν στον ίδιο μεγάλη ψυχική αναστάτωση, θυμό και οργή και ζητούσε να υποχρεωθεί η εναγομένη τράπεζα να του καταβάλλει νομμότοκα το ποσό των 5.869, 40 Ευρώ για την χρηματική του ικανοποίηση προς αποκατάσταση της προκληθείσας σε αυτόν εκ της αιτίας αυτής, ηθική του βλάβη.

Το Δικαστήριο έκανε τελικά δεκτή την επίδικη αγωγή, υποχρεώνοντας της εναγόμενη τράπεζα να του καταβάλλει το ποσό των 5.869,40 Ευρώ, με το νόμιμο τόκο από την επομένη της επιδόσεως της αγωγής διαλαμβάνοντας στο σκεπτικό και αιτιολογικό της τα εξής:

Με το Ν. 2472/1997, για την προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα – ο οποίος εκδόθηκε για την προσαρμογή της Ελληνικής νομοθεσίας, σύμφωνα με την Σύμβαση του Συμβουλίου της Ευρώπης του 1981 (που κυρώθηκε με το Ν.2068/1992 και την υπ. αριθμ. 95/46/ΕΚ Οδηγία του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της Ευρωπαϊκής Ένωσης την 24-10-1995 για την προστασία των φυσικών προσώπών έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών -, ορίστηκε στο άρθρο 1 ότι, σκοπός του παρόντος νόμου είναι η θέσπιση μεταξύ άλλων των προϋποθέσεων για την επεξεργασία δεδομένων προσωπικού χαρακτήρα προς προστασία των δικαιωμάτων και των θεμελιωδών ελευθεριών των φυσικών προσώπων και ιδίως της ιδιωτικής τους ζωής.

Εξάλλου στο άρθρο 2 του ως άνω νόμου  ορίζεται μεταξύ άλλων ότι, εκτελών την επεξεργασία ορίζεται όποιος επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό υπεύθυνου επεξεργασίας, όπως φυσικό ή νομικό πρόσωπο, δημόσια υπηρεσία, ή αρχή, η οποιοσδήποτε άλλος οργανισμός, εκτός από το υποκείμενο των δεδομένων, τον υπεύθυνο επεξεργασίας και τα πρόσωπα, που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα, εφόσον ενεργούν υπό την άμεση εποπτεία, ή για λογαριασμό του υπεύθυνου επεξεργασίας, ενώ ως συγκατάθεση του υποκειμένου των δεδομένων ορίζεται κάθε ελεύθερη, ρητή και εδική δήλωση βούλησης, που εκφράζεται με τρόπο σαφή και εν πλήρη επίγνωση και με την οποία το υποκείμενο των δεδομένων, αφού προηγουμένως ενημερωθεί, δέχεται να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν. Η ενημέρωση αυτή περιλαμβάνει πληροφόρηση τουλάχιστον  για το σκοπό της επεξεργασίας, τα δεδομένα, ή τις κατηγορίες των δεδομένων που αφορά η επεξεργασία, τους αποδέκτες, ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα, καθώς και το όνομα, την επωνυμία και την διεύθυνση του υπεύθυνου επεξεργασίας και του τυχόν εκπροσώπου του. Στο άρθρο δε 5 του ως άνω νόμου  ορίζεται ότι, επεξεργασία δεδομένων προσωπικού χαρακτήρα επιτρέπεται μόνο, όταν το υποκείμενο των δεδομένων έχει δώσει την συγκατάθεση του, ενώ κατά το άρθρο 11 παρ. 1 του νόμου ορίζεται ότι, ο υπεύθυνος  επεξεργασίας οφείλει, κατά το στάδιο της συλλογής δεδομένων προσωπικού χαρακτήρα να ενημερώνει με πρόσφορο και σαφή τρόπο το υποκείμενο για τα εξής τουλάχιστον στοιχεία ….α) ……β) για το σκοπό της επεξεργασίας, γ) για τους αποδέκτες των δεδομένων και με την παρ. 2 του ίδιου άρθρου ορίζεται ότι, εάν κατά τη συλλογή των δεδομένων προσωπικού χαρακτήρα  ο υπεύθυνος επεξεργασίας ζητά την συνδρομή του υποκειμένου, οφείλει να το ενημερώνει ρητά, ειδικώς και εγγράφως για τα στοιχεία της παρ. 1, καθώς και για τα δικαιώματα του, σύμφωνα με τα άρθρα 11 έως 13 του νόμου, προσέτι δε και σύμφωνα με την παρ. 3 του ιδίου άρθρου, αν τα δεδομένα ανακοινώνονται σε τρίτους, το υποκείμενο ενημερώνεται για την ανακοίνωση αυτή, πριν από αυτούς. Τέλος και σύμφωνα με το άρθρο 23 παρ. 1 του ιδίου νόμου  ορίζεται ότι, φυσικό ή νομικό πρόσωπο ιδιωτικού δικαίου, που κατά παράβαση του παρόντος νόμου προκαλεί περιουσιακή βλάβη, υποχρεούται σε αποζημίωση. Αν προκάλεσε και ηθική βλάβη υποχρεούται σε χρηματική ικανοποίηση. Η ευθύνη υπάρχει και όταν ο υπόχρεος όφειλε να γνωρίζει την πιθανότητα να επέλθει βλάβη σε άλλον.

Από τις διατάξεις που προαναφέρθηκαν προκύπτει ότι, η ρύθμιση του Ν.2472/1997 συμπληρώνει το προϋπάρχον αυτού νομικό πλαίσιο ( άρθρο 2 παρ. 1, 5 παρ. 1, 9 παρ. 1 εδ. 2 και 19 του Συντάγματος, άρθρο 57 ΑΚ κ.λ.π.) συγκεκριμενοποιεί τον ευρύτερο κανόνα προστασίας της προσωπικότητας του άρθρου 57ΑΚ, ώστε να θεωρείται καταρχήν απαγορευμένη κάθε επέμβαση στα προσωπικά δεδομένα άλλου (ευμενής ή δυσμενής) χωρίς την τήρηση ορισμένων διατυπώσεων, που τάσσονται από τις διατάξεις του νόμου. Έτσι ο Ν. 2472/1997 απαγορεύει την επεξεργασία των προσωπικών δεδομένων φυσικού προσώπου, όταν γίνεται, πλην άλλων περιπτώσεων, και χωρίς την προηγούμενη ενημέρωση του υποκειμένου των δεδομένων, δικαίωμα που προστατεύεται αυτοτελώς, αλλά αποτελεί και την προϋπόθεση για την αποτελεσματική άσκηση των δικαιωμάτων πρόσβασης και αντίρρησης του υποκειμένου των δεδομένων . Σύμφωνα δε με τα όσα αναφέρθηκαν ο υπεύθυνος επεξεργασίας οφείλει, μετά την συλλογή των σχετικών δεδομένων και πριν την διαβίβαση τους σε τρίτους, να ενημερώνει για τη συλλογή και διαβίβαση των δεδομένων, μεταξύ άλλων και για τους αποδέκτες των δεδομένων (είτε πρόκειται για αποδέκτες στους οποίους προβλέπεται η μεταβίβαση των δεδομένων, ήδη από το στάδιο της συλλογής, είτε πρόκειται για αποδέκτες, που προστέθηκαν αργότερα) .Η σχετική ενημέρωση πρέπει να γίνεται τα αργότερο πριν την μετάδοση των προσωπικών δεδομένων στους αποδέκτες τρίτους. Τέλος, αν στο υποκείμενο των δεδομένων έχει προκληθεί βλάβη από πράξεις του υπευθύνου επεξεργασίας και του αποδέκτη αυτών (ή των οργάνων τους) κατά παράβαση διατάξεων του Ν.2472/1997 (παράνομα) και όταν αυτοί όφειλαν να γνωρίζουν την πιθανότητα επέλευσης της βλάβης, τότε παρέχεται στον πρώτο, η κατά το άρθρο 932ΑΚ αξίωση χρηματικής ικανοποίησης λόγω ηθικής βλάβης, η οποία ορίζεται κατ’ ελάχιστο στο ποσό των 5.869,40 Ευρώ, εκτός αν ζητήθηκε μικρότερο ποσό, ή η παράβαση που προκάλεσε την ηθική βλάβη οφείλεται σε αμέλεια (ΕφΑθ 3633/2003 ΤΝΠ ΝΟΜΟΣ). Η ευθύνη δε του προκαλούντος ηθική βλάβη στο υποκείμενο των προσωπικών δεδομένων για χρηματική ικανοποίηση του τελευταίου είναι νόθος αντικειμενική και προϋποθέτει : α) συμπεριφορά, που παραβιάζει τις διατάξεις του Ν.2472/1997, β) ηθική βλάβη, γ) αιτιώδης συνάφεια της συμπεριφοράς και της ηθικής βλάβης, και δ) υπαιτιότητα, ήτοι γνώση ή υπαίτια άγνοια, αφενός μεν των περιστατικών που συνιστούν την παράβαση και αφετέρου της πιθανότητας να επέλθει η ηθική βλάβη. Η ύπαρξη υπαιτιότητας τεκμαίρεται και ως εκ τούτου ο προκαλών την ηθική βλάβη, προκειμένου να απαλλαγεί από την ευθύνη του έχει το βάρος να αποδείξει ότι, ανυπαιτίως αγνοούσε τα θεμελιωτικά του πταίσματος του πραγματικά γεγονότα ( ΑΠ 1923/2006, ΕφΑθ 2887/2010 , ΜΕφΑθ 1437/2014 ).

Στην κρινόμενη υπόθεση, κατά την κατάρτιση της δανειακής σύμβασης, υπήρχε  όρος στη σύμβαση σχετικά με την ενημέρωση των υποκειμένων δεδομένων προσωπικού χαρακτήρα, σχετικά με τη συλλογή και επεξεργασία δεδομένων προσωπικού χαρακτήρα από την τράπεζα που όριζε ότι, τα προσωπικά δεδομένα του οφειλέτη που περιλαμβάνονται στην αίτηση για τη χορήγηση του δανείου και άλλα που η τράπεζα έχει τυχόν συλλέξει θα αποτελέσουν αντικείμενο επεξεργασίας από την τράπεζα, ή και από τρίτους κατ’ εντολή και για λογαριασμό της και ειδικότερα και στον ΤΕΙΡΕΣΙΑ ΑΕ.  Ο ενάγων είχε υπογράψει την σχετική δήλωση, χωρίς να θέσει την άρνηση του στο σχετικό τετράγωνο της δήλωσης.

Κατά το διάστημα των τελευταίων ετών ο ενάγων αντιμετώπισε δυσκολία στην αποπληρωμή του δανείου του, η τράπεζα κατήγγειλε τη σύμβαση και εξέδωσε διαταγή πληρωμής σε βάρος του. Στην συνέχεια, ο ενάγων έστειλε εξώδικη επιστολή στην τράπεζα, διαμαρτυρόμενός μεταξύ άλλων και για την αποστολή προσωπικών του δεδομένων, χωρίς την προηγούμενη έγκριση του προς εισπρακτικές εταιρείες,, ζητώντας να τον ενημερώσουν και να του χορηγήσουν αντίγραφα όλων των  αναθέσεων και των ανακλητικών τους πράξεων προς τρίτα πρόσωπα, με τις οποίες η τράπεζα τα είχε καταστήσει γνώστες  των προσωπικών του δεδομένων . Η τράπεζα απάντησε με επιστολή στην οποία ανέφερε την διαβίβαση των προσωπικών δεδομένων σε εισπρακτικές εταιρίες, όμως η ενημέρωση που έγινε από την τράπεζα στον ενάγοντα δεν ήταν η οριζόμενη στο άρθρο 11 του Ν.2472/1997, σε συνδυασμό και με το άρθρο 2 παρ. ια, εδ. α και β από οικονομικό οργανισμό του μεγέθους της τράπεζας  και του πλήθους των εταιρειών που έχον εξάρτηση από αυτήν.

Ο ενάγων δε, δεν γνώριζε ότι τα προσωπικά του δεδομένα θα διαβιβαστούν στις ως άνω εισπρακτικές εταιρείες ( εταιρείες ενημέρωσης οφειλετών), ούτε στους λοιπούς αποδέκτες κατά το όνομα, διεύθυνση και λοιπά στοιχεία εξατομίκευσης αυτών και των τυχόν εκπροσώπων, που θα έπρεπε να γνωρίζει . Ούτε  όμως τηρήθηκε και η διάταξη του άρθρου 10 του νόμου, που ορίζει για το απόρρητο και την ασφάλεια της επεξεργασίας, που πρέπει να αποδεικνύεται ότι τηρήθηκε, αλλά δεν αποδεικνύεται από την εναγομένη τράπεζα. Ούτε υπήρξε και η ειδική και ρητή συναίνεση του ενάγοντος προς αυτά.

Κατά τον τρόπο αυτό που ακολούθησε η εναγομένη διευρύνεται ο κύκλος του υπεύθυνου επεξεργασίας, όπως και του εκτελούντος αυτήν και των αποδεκτών, που δεν είναι σύμφωνο με το πνεύμα και τους ορισμούς του νόμου και την οικονομική εκμετάλλευση των δεδομένων του υποκειμένου που πρέπει να είναι συγκεκριμένη την κάθε φορά και περιορισμένη στους σκοπούς και το χρόνο διάρκειας τη σύμβασης. Οι οχλήσεις των εισπρακτικών εταιρειών ξεκίνησαν το 2015 και διήρκεσαν πολλούς μήνες και ήταν πάντα πιεστικές, φορτικές και κάποιες φορές αγενείς, γίνονταν δε οι τηλεφωνικές κλήσεις και σε ακατάλληλες ώρες στην οικία του ενάγοντος οφειλέτη . Οι προαναφερόμενες παράνομες και υπαίτιες (από πρόθεση) πράξεις και παραλείψεις της εναγομένης τράπεζας δια των προστηθέντων οργάνων της προσέβαλαν την προσωπικότητα του ενάγοντος και προκάλεσαν σε αυτόν σημαντική ηθική βλάβη, ενώ τα όργανα της εναγομένης, κατά την επεξεργασία (διαβίβαση, λήψη, καταχώριση και χρήση) των προσωπικών δεδομένων    αυτής, χωρίς την προηγούμενη ενημέρωση του, όφειλαν να γνωρίζουν την πιθανότητα επέλευσης της προαναφερόμενης ηθικής βλάβης.

Ενόψει δε του είδους, του θιγομένου αγαθού, του μεγέθους της προσβολής, των συνθηκών τέλεσης αυτής, του βαθμού της υπαιτιότητας των οργάνων της εναγομένης και της κοινωνικής και οικονομικής κατάστασης των διαδίκων μερών, το Δικαστήριο έκρινε ότι, η καταβλητέα εύλογη χρηματική  ικανοποίηση  πρέπει να οριστεί στο ποσό των 5.869,40 Ευρώ και καταδίκασε την εναγομένη τράπεζα στην καταβολή του σχετικού ποσού.