Πρόστιμο 75.000 ευρώ επέβαλε στην ΤΕΙΡΕΣΙΑΣ Α.Ε. η Αρχή Προστασίας Προσωπικών Δεδομένων διότι με τη λειτουργία του συστήματος «Τειρεσίας Σύστημα Ελέγχου Κινδύνων» (ΤΣΕΚ) διεύρυνε παρανόμως τον σκοπό επεξεργασίας των δεδομένων του αρχείου  της, υπέβαλε τη σχετική γνωστοποίηση στην Αρχή με σημαντική χρονική καθυστέρηση και δεν ενημέρωσε προσηκόντως τα υποκείμενα των δεδομένων για τη μεταβολή αυτή.

Όπως αναφέρει το σκεπτικό της απόφασης, ο ισχυρισμός της ΤΕΙΡΕΣΙΑΣ ΑΕ ότι ο σκοπός λειτουργίας του συστήματος «ΤΣΕΚ» είναι ο αυτός που η εταιρεία επιδιώκει ως διατραπεζική εταιρεία που λειτουργεί χάριν των πιστωτικών και χρηματοδοτικών ιδρυμάτων είναι αβάσιμος, όπως αβάσιμος είναι και ο περαιτέρω ισχυρισμός ότι νομίμως γίνεται διαχωρισμός μεταξύ των διαβιβαζόμενων πληροφοριών πιστοληπτικής ικανότητας στο χρηματοπιστωτικό σύστημα και των μη προβλεπομένων από τον σκοπό διαβιβαζομένων πληροφοριών σε νομικά και φυσικά πρόσωπα.

Επίσης παρέλειψε την ενημέρωσης των υποκειμένων των δεδομένων και η ενημέρωσή τους  ανατέθηκε να από τους αποδέκτες των πληροφοριών!

 

 

 

Η ΑΠΟΦΑΣΗ

 

 

ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ
ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ

Αθήνα, 18-12-2014
Αριθ. Πρωτ. Γ/ΕΞ/1136-2/18-12-2014

Α Π Ο Φ Α Σ Η ΑΡ. 185 / 2014

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα συνήλθε, μετά από πρόσκληση του Προέδρου της, σε τακτική συνεδρίαση στην έδρα της την 02-12- 2014, σε συνέχεια των από 27-11-2014, 04-11-2014 και 14-10-2014 συνεδριάσεων, προκειμένου να εξετάσει την υπόθεση του αναφέρεται στο ιστορικό της παρούσας.

Παρέστησαν ο Πρόεδρος, Π. Χριστόφορος και τα τακτικά μέλη της Αρχής Λ. Κοτσαλής, Α.-Ι. Μεταξάς, Δ. Μπριόλας, Α. Συμβώνης, Κ. Χριστοδούλου, ως εισηγητής, και Π. Τσαντίλας. Στη συνεδρίαση, χωρίς δικαίωμα ψήφου, παρέστησαν επίσης, με εντολή του Προέδρου, οι Κ. Λωσταράκου, Γ. Ρουσόπουλος και Θ. Τουτζιαράκη, ειδικοί επιστήμονες – ελεγκτές, ως βοηθοί εισηγητή, και η Γ. Παλαιολόγου, υπάλληλος του τμήματος διοικητικών και οικονομικών υποθέσεων, ως γραμματέας.

Η Αρχή έλαβε υπόψη τα παρακάτω:

Με το υπ’ αριθμ. πρωτ. ΓΝ/ΕΙΣ/1136/10-06-2014 έγγραφό της, η εταιρεία ΤΕΙΡΕΣΙΑΣ Α.Ε. γνωστοποιεί στην Αρχή τη λειτουργία του συστήματος με την ονομασία «Τειρεσίας Σύστημα Ελέγχου Κινδύνων» (ΤΣΕΚ). Σκοπός του συστήματος αυτού είναι η παροχή πληροφοριών οικονομικής συμπεριφοράς για την διαπίστωση της πιστοληπτικής ικανότητας πάσης φύσεως επιχειρήσεων. Ειδικότερα, σύμφωνα πάντα με την ως άνω αίτηση, η λειτουργία του γνωστοποιηθέντος αρχείου έχει ξεκινήσει από τον Ιούνιο 2013 αναφορικά με δεδομένα αποκλειστικά και μόνο νομικών προσώπων, τα οποία, κατά την άποψη της εταιρείας, δεν συνιστούν δεδομένα προσωπικού χαρακτήρα και, ως εκ τούτου, η διάθεσή τους δεν εμπίπτει στις διατάξεις του ν. 2472/1997. Περαιτέρω, σύμφωνα πάντα με την ως άνω αίτηση, δεδομένου ότι οι μεταξύ νομικών προσώπων συναλλαγές αποτελούν ένα μικρό μέρος του συνόλου της εμπορικής  δραστηριότητας στη χώρα μας, στην οποία μεγάλο τμήμα του συνόλου των επιχειρήσεων είναι ατομικές, η αιτούσα προχώρησε στο επόμενο βήμα και, από την αρχή του τρέχοντος έτους, παρέχει σε επιχειρηματίες φυσικά και νομικά πρόσωπα (αποδέκτες), την κατά τα προαναφερθέντα δυνατότητα πρόσβασης σε δεδομένα οικονομικής συμπεριφοράς φυσικών και νομικών προσώπων.

Συγκεκριμένα, κατά την αιτούσα, τα δεδομένα στα οποία παρέχεται πρόσβαση είναι εκείνα που προβλέπονται στην Απόφαση 26/2004 της Αρχής πλέον αυτών που αφορούν στο ν. 3869/2010 «Ρύθμιση των οφειλών υπερχρεωμένων φυσικών προσώπων και άλλες διατάξεις», υποκείμενα δε αυτών των δεδομένων είναι μόνο τα επί πιστώσει συναλλασσόμενα με τους ανωτέρω αποδέκτες νομικά και φυσικά πρόσωπα. Πρόσβαση στα ως άνω δεδομένα μπορούν πλέον να έχουν, κατά δήλωση της αιτούσας, εκτός των νομικών προσώπων, και φυσικά πρόσωπα ή ενώσεις προσώπων του Αστικού Κώδικα που ασκούν εμπορική, βιομηχανική, βιοτεχνική, γεωργική ή άλλη επιχείρηση στην Ελληνική Επικράτεια ή σε άλλη χώρα του Ευρωπαϊκού Οικονομικού Χώρου και την Ελβετία, προκειμένου να αντλούν δεδομένα για τα φυσικά ή νομικά πρόσωπα, με τα οποία συναλλάσσονται με πίστωση και, συνεπώς, αναλαμβάνουν σχετικό πιστωτικό κίνδυνο, ώστε αφενός καθίσταται απαραίτητος ο έλεγχος της φερεγγυότητας των αντισυμβαλλομένων τους και αφετέρου είναι προφανές το έννομο συμφέρον πρόσβασης στην συγκεκριμένη υπηρεσία. Σημειωτέον ότι οι παρεχόμενες πληροφορίες αντλούνται από το αρχείο της ΤΕΙΡΕΣΙΑΣ, το οποίο λειτουργεί νομίμως σύμφωνα με την Απόφαση 24/2004 της Αρχής για την προστασία των τραπεζών και των θυγατρικών τους εταιρειών από αφερέγγυους πελάτες.

Στο πλαίσιο εξέτασης της ως άνω υπόθεσης, η εταιρεία ΤΕΙΡΕΣΙΑΣ Α.Ε. κλήθηκε νομίμως σε ακρόαση κατά τη συζήτηση της υπόθεσης ενώπιον της Αρχής στις 14-10- 2014 με την υπ' αριθμ. πρωτ. ΓΝ/ΕΞ/1768/29-09-2014 κλήση και παρέστη. Κατά τη συνεδρίαση, η κληθείσα εξέθεσε προφορικά τις απόψεις της, τις οποίες ανέπτυξε κατόπιν διεξοδικώς με σχετικό υπόμνημά της (βλ. υπόμνημα υπ’ αριθμ. πρωτ. ΓΝ/ΕΙΣ/6547/30-10-2014).

Η Αρχή, μετά από εξέταση όλων των στοιχείων του φακέλου και αναφορά στα διαμειφθέντα των συνεδριάσεων των 27-11-2014, 04-11-2014 και 14-10-2014, αφού άκουσε τον εισηγητή και τους βοηθούς εισηγητές, οι οποίοι στη συνέχεια αποχώρησαν, και κατόπιν διεξοδικής συζήτησης,

ΣΚΕΦΤΗΚΕ ΣΥΜΦΩΝΑ ΜΕ ΤΟΝ ΝΟΜΟ

1. Νομιμότητα μεταβολής σκοπού επεξεργασίας

Σύμφωνα με το άρθρο 4 παρ. 1 στοιχ. α΄ του ν. 2472/1997, «τα δεδομένα πρέπει να συλλέγονται κατά τρόπο θεμιτό και νόμιμο για καθορισμένους, σαφείς και νόμιμους σκοπούς και να υφίστανται θεμιτή και νόμιμη επεξεργασία ενόψει των σκοπών αυτών». Από τη διάταξη αυτή προκύπτει ότι οι σκοποί πρέπει να έχουν προσδιοριστεί και καταστεί σαφείς στα υποκείμενα των δεδομένων πριν ή τουλάχιστον κατά τη συλλογή των δεδομένων (βλ. προοίμιο 28 της Οδηγίας 95/46/ΕΚ), ώστε να είναι δυνατή η εκτίμηση της συμβατότητάς τους με το νόμο. Οι τρόποι εξειδίκευσης του σκοπού μπορεί να είναι πολλοί (δημόσιες ανακοινώσεις του υπευθύνου, νομοθεσία, αποφάσεις της Αρχής κλπ), αλλά πρέπει να έχουν προηγηθεί της συλλογής των δεδομένων από τα υποκείμενα. Κρίσιμα στοιχεία αποτελούν η ακρίβεια και η σαφήνεια των παρεχόμενων πληροφοριών και κυρίως τα πραγματικά περιστατικά της κάθε περίπτωσης που υπερισχύουν από κάθε τυχόν ισχυρισμό του υπευθύνου.

Εν προκειμένω, σημειώνεται, καταρχάς, ότι η αιτούσα ιδρύθηκε αρχικά ως εταιρία μη κερδοσκοπικού χαρακτήρα επιδιώκουσα οικονομικό σκοπό με την επωνυμία «ΤΡΑΠΕΖΙΚΑ ΣΥΣΤΗΜΑΤΑ ΠΛΗΡΟΦΟΡΙΩΝ» και τον διακριτικό τίτλο «ΤΕΙΡΕΣΙΑΣ», στους σκοπούς της οποίας συγκαταλεγόταν «η διαχείριση των παραγόμενων από τα πληροφοριακά συστήματα πληροφοριών, με τη διάθεση τους σε τράπεζες και τρίτους» (βλ. άρθρα 1 και 2β του καταστατικού της εταιρείας που περιλαμβάνεται στην από 14-12-1992 εταιρική σύμβαση)˙ όμως η προσθήκη της διάθεσης σε τρίτους παραλείφθηκε έκτοτε από τα επόμενα καταστατικά της ανώνυμης πλέον εταιρείας. Από το Σεπτέμβριο του 1997 έως και σήμερα η αιτούσα λειτουργεί ως ανώνυμη εταιρεία (βλ. ΦΕΚ ΑΕ-EΠΕ 6322/03.09.1997), μέτοχοι της οποίας μπορεί να είναι μόνον πιστωτικά ιδρύματα κατά την έννοια του ν. 3601/2007 «Ανάληψη και άσκηση δραστηριοτήτων από τα πιστωτικά ιδρύματα, επάρκεια ιδίων κεφαλαίων των πιστωτικών ιδρυμάτων και των επιχειρήσεων παροχής επενδυτικών υπηρεσιών και λοιπές διατάξεις», όπως ισχύει, και θυγατρικές εταιρείες πιστωτικών ιδρυμάτων με σκοπό τη χρηματοδοτική μίσθωση, την πρακτόρευση επιχειρηματικών απαιτήσεων τρίτων ή την διαχείριση για λογαριασμό μητρικών πιστωτικών ιδρυμάτων προϊόντων καταναλωτικής πίστης και μέσων πληρωμών (βλ. άρθρα 1 και 7 του από 21-09-2012 τροποποιημένου καταστατικού της εταιρείας, το οποίο υποβλήθηκε στην Αρχή με το υπ’ αριθμ. πρωτ. Αρχής ΓΝ/ΕΙΣ/1738/25-09- 2014 έγγραφο).

Η Αρχή, με τις κανονιστικές αποφάσεις 24/2004 και 25/2004, όρισε τις προϋποθέσεις τήρησης αρχείου από την ΤΕΙΡΕΣΙΑΣ Α.Ε. Σκοπός τήρησης και λειτουργίας του εν λόγω αρχείου είναι «η ελαχιστοποίηση των κινδύνων από τη σύναψη πιστωτικών συμβάσεων με αφερέγγυους πελάτες και εν γένει από τη δημιουργία επισφαλών απαιτήσεων και τελικά η προστασία της εμπορικής πίστης και η εξυγίανση των οικονομικών συναλλαγών», ενώ η σχετική επεξεργασία επιτρέπεται ως επεξεργασία απολύτως αναγκαία για την ικανοποίηση του υπέρτερου έννομου συμφέροντος του υπεύθυνου επεξεργασίας και των νομίμων αποδεκτών των δεδομένων, δηλαδή, κατά κύριο λόγο, των μοναδικών μετόχων του τραπεζικών ιδρυμάτων, σύμφωνα με το άρθρο 5 παρ. 2 στοιχ. ε΄ του ν. 2472/1997 (βλ. παρ. 1 της απόφασης 24/2004). Επισημαίνεται δε ότι, σύμφωνα με την παρ. 4 της απόφασης 24/2004, «Αποδέκτες των δεδομένων, σύμφωνα με τον σκοπό της επεξεργασίας, δικαιολογείται να είναι μόνο οι τράπεζες, τα χρηματοπιστωτικά ιδρύματα και οι εταιρείες διαχείρισης πιστωτικών καρτών, καθώς και φορείς του δημόσιου τομέα, όχι τρίτοι μετέχοντες στις οικονομικές συναλλαγές και ακόμη λιγότερο μη μετέχοντες. Επισημαίνεται δε στην αυτή απόφαση ότι ήδη η «Τειρεσίας Α.Ε.» γνωστοποίησε στην Αρχή, ότι το Δ.Σ. της αποφάσισε να περιορίσει μόνο στους παραπάνω νομιμοποιούμενους, κατά τον σκοπό της επεξεργασίας, αποδέκτες τη διακίνηση των δεδομένων. Είναι αυτονόητο ότι μόνον οι παραπάνω αποδέκτες προσωπικών δεδομένων έχουν το δικαίωμα χρησιμοποίησης τους. Η περαιτέρω επεξεργασία τους (διαβίβαση σε τρίτους κ.λ.π.) από αυτούς είναι απολύτως απαγορευτική.». Επιπρόσθετα, σύμφωνα με την παρ. 2 της απόφασης 24/2004, «Από τα δεδομένα που υποβάλλονται σε επεξεργασία πρέπει να απαλειφθούν εκείνα που αφορούν αγορές και πωλήσεις ακινήτων, ως μη συμβιβαζόμενα προς την αρχή της αναλογικότητας, κατά την οποία τα δεδομένα «δεν πρέπει να είναι περισσότερα από όσα κάθε φορά απαιτείται εν όψει του σκοπού της επεξεργασίας» (άρθρο 4 παρ. 1 εδ. β του νόμου). Η διατήρηση τέτοιων στοιχείων προκαταβολικά, για απροσδιόριστο αριθμό προσώπων που δεν τα συνδέει (και ίσως δεν θα τα συνδέσει ποτέ) καμιά σχέση με τις τράπεζες υπερακοντίζει τους σκοπούς του αρχείου. Η επέμβαση στην ιδιωτική σφαίρα όλων αυτών των προσώπων είναι εντονότερη επιβάρυνση των συμφερόντων τους από ό,τι η επιβάρυνση μιας τράπεζας να φροντίζει σε κάθε συγκεκριμένη περίπτωση, πριν π.χ. συνάψει μια πιστωτική σύμβαση με ένα πελάτη της, να ζητεί ενημέρωση για την ακίνητη περιουσία του, αν αποδίδει σημασία σ’ αυτό και πέρα από τις ασφάλειες που του ζητεί.[…]». Ο σκοπός αυτός αναγνωρίστηκε και μεταγενέστερα σε διατάξεις νόμων2 ως σκοπός των εν λόγω αρχείων δεδομένων οικονομικής συμπεριφοράς της ΤΕΙΡΕΣΙΑΣ Α.Ε. που λειτουργούν χάριν των πιστωτικών και χρηματοδοτικών ιδρυμάτων. Από όλα τα παραπάνω, προκύπτει με σαφήνεια ότι ο σκοπός τήρησης και λειτουργίας του αρχείου της ΤΕΙΡΕΣΙΑΣ Α.Ε. είναι προσδιορισμένος και περιορισμένος, καθώς αναφέρεται αποκλειστικά στην προστασία του τραπεζικού συστήματος από αφερέγγυους πελάτες.

Εξάλλου, η ΤΕΙΡΕΣΙΑΣ ΑΕ που, σημειωτέον, λειτουργεί και ως κόμβος των τραπεζικών ιδρυμάτων με την Γενική Γραμματεία Πληροφοριακών Συστημάτων για τη διαβίβαση βεβαίωσης φορολογικής ενημερότητας, αλλά και του συστήματος μητρώου τραπεζικών λογαριασμών3, γνωστοποιεί κατά διαστήματα στην Αρχή, με επίκληση του συμφέροντος προστασίας της τραπεζικής πίστης, τον εμπλουτισμό των αρχείων της με νέα αρχεία και δεδομένα (π.χ. αρχείο εκχωρημένων απαιτήσεων από συμβάσεις και πιστοποιήσεις εκτέλεσης δημοσίων έργων, αιτήσεις και αποφάσεις δικαστικής ρύθμισης χρεών κλπ.). Στο ίδιο πνεύμα κινούνται και οι ενημερώσεις της εταιρείας προς τα υποκείμενα των δεδομένων, καθώς και τους αποδέκτες των δεδομένων, δηλαδή ότι η εταιρεία λειτουργεί ως διατραπεζικό σύστημα για την εξυπηρέτηση των συμφερόντων των νομικών προσώπων που παρέχουν πίστη και ελέγχονται από την ΤτΕ ή από άλλες κεντρικές τράπεζες των κρατών μελών της ΕΕ κατά τους όρους της Οδηγίας 2006/48/ΕΚ «σχετικά με την ανάληψη και την άσκηση δραστηριότητας πιστωτικών ιδρυμάτων» και του ν. 3601/2007, καθώς και του συμφέροντος λειτουργίας ορισμένων φορέων του δημοσίου, των οποίων είναι προφανές το έννομο συμφέρον.

Επιπλέον, η κοινή γνώση και οι εύλογες προσδοκίες των υποκειμένων, βασιζόμενες σε νομικές καταστάσεις και πραγματικά περιστατικά (βλ. απόφαση 234/11.12.2006 της ΕΤΠΘ της ΤτΕ για την αναγγελία δεδομένων ακάλυπτων επιταγών και συναλλαγματικών από τις τράπεζες στο διατραπεζικό αρχείο ΣΑΥ της ΤΕΙΡΕΣΙΑΣ), οδηγούν στο συμπέρασμα ότι η μεταγενέστερη διάθεση και εμπορία των εν λόγω για το συμφέρον του χρηματοπιστωτικού συστήματος συλλεγέντων δεδομένων δεν ήταν ούτε είναι αναμενόμενη από τα υποκείμενα τους κατά το στάδιο της συλλογής τους και μεταγενέστερα. Τούτο δε για τον λόγο ότι αναγνωρίζεται επί μεγάλο διάστημα από τον νομοθέτη και την Αρχή, αλλά και εκλαμβάνεται από τα υποκείμενα και γενικότερα την κοινωνία, ότι η εταιρεία προβαίνει σε επεξεργασία δεδομένων για επιδίωξη συγκεκριμένου εννόμου συμφέροντος των τραπεζών που έγκειται στη διασφάλιση του γενικότερου δημόσιου συμφέροντος της τραπεζικής πίστης (βλ. ενδεικτικά, ενημερώσεις τύπου για τήρηση αρχείου 15/12/2001,
15/12/2002, 13/11/2005, 19/11/2006, όπου αναφέρεται ρητά η εταιρεία στην αποκλειστική παροχή στα χρηματοπιστωτικά ιδρύματα πληροφόρησης για την εκτίμηση της φερεγγυότητας και πιστοληπτικής ικανότητας των πελατών τους). Όπου δε η εταιρεία έπρεπε να προβεί σε επεξεργασίες πέρα από τις νόμιμες υποχρεώσεις της για να υποβοηθήσει δημόσιες αρχές ή ιδιωτικούς φορείς στην προσπάθεια
καταπολέμησης παράνομων δραστηριοτήτων, υπήρξε ειδική ρύθμιση από το νομοθέτη και την Αρχή.

Από τα ανωτέρω συνάγεται σαφώς ότι ο σκοπός δημιουργίας των ανωτέρω αρχείων της ΤΕΙΡΕΣΙΑΣ είναι σαφής, περιορισμένος και προσδιορισμένος από τη μετέπειτα νομοθεσία, από τις αποφάσεις της Αρχής, αλλά και από τις δημόσιες ανακοινώσεις της εταιρείας. Σκοπός όμως του ΤΣΕΚ, όπως αναφέρεται και στο υπ’ αριθμ. πρωτ. ΓΝ/ΕΙΣ/6547/30-10-2014 υπόμνημα, είναι η παροχή ορθών και επίκαιρων πληροφοριών οικονομικής συμπεριφοράς των υποκειμένων για την εξασφάλιση γενικά της εμπορικής πίστης, της αξιοπιστίας και ασφάλειας των συναλλαγών και τελικά της άσκησης του δικαιώματος οικονομικής ελευθερίας των επιχειρηματιών. Συνεπώς ο σκοπός αυτός διαφέρει του αναφερόμενου στην απόφαση 24/2004 της Αρχής και προσομοιάζει απολύτως, αν δεν ταυτίζεται, προς τον σκοπό των εταιρειών διαπίστωσης πιστοληπτικής ικανότητας της απόφασης 26/2004 της Αρχής (ΦΕΚ Β΄ 684/2004, πρώην υπ’ αριθμ. 050/20.01.2000), για τον οποίο ούτε από την Αρχή έχει κριθεί ούτε από την συναφή νομοθεσία αναγνωρίζεται ότι λειτουργεί η ΤΕΙΡΕΣΙΑΣ. Η ΤΕΙΡΕΣΙΑΣ ΑΕ δηλώνει ότι, ο επιδιωκόμενος σκοπός ως προς το «ΤΣΕΚ» είναι ο ίδιος σκοπός, με τον οποίο συγκροτήθηκαν όπως στην απόφαση 24/2004 αναφέρεται, τα αρχεία της που τηρεί ως διατραπεζικό σύστημα (ΣΑΥ, ΣΥΠ και ΣΣΧ). Όμως, μέτρο κρίσεως για την ταυτότητα ή μεταβολή του σκοπού δεν είναι το αν πληρούνται οι γενικοί και αφηρημένοι ορισμοί του νόμου και των κανονιστικών αποφάσεων της Αρχής περί νομιμότητας των σκοπών επεξεργασίας, για τη λειτουργία των εταιρειών διαπίστωσης της πιστοληπτικής ικανότητας των υποκειμένων, αλλά ο εκάστοτε γνωστοποιηθείς στην Αρχή συγκεκριμένος σκοπός
επεξεργασίας, το οποίο θεώρησε η Αρχή ως μη αντικείμενο στις διατάξεις περί προστασίας των δεδομένων προσωπικού χαρακτήρα. Επιπλέον, η εταιρεία όχι απλώς δεν εξειδικεύει τη λειτουργία του ΤΣΕΚ με επαρκή σαφήνεια και καθαρή και μη αμφισβητήσιμη γλώσσα, αλλά δημιουργεί σύγχυση: Στις ενημερώσεις της προς τα υποκείμενα αναφέρει το ΤΣΕΚ- ως σύστημα και άλλοτε ως υπηρεσία- που αποτελεί το μέσο πρόσβασης στα υπάρχοντα αρχεία ΣΑΥ και ΣΥΠ, ενώ στη γνωστοποίηση του αρχείου προς την Αρχή διατείνεται ότι αυτό είναι απολύτως διακριτό από το  «σύστημα διάθεσης των δεδομένων στο χρηματοπιστωτικό σύστημα» αν και διευρύνει στις ατομικές ενημερώσεις τον κύκλο των αποδεκτών των αρχείων συμπεριλαμβάνοντας και συναλλασσόμενες με το υποκείμενο ατομικές επιχειρήσεις και φυσικά πρόσωπα. Στις ενημερώσεις για τήρηση αρχείου μέσω τύπου δεν αναφέρεται η υπηρεσία ΤΣΕΚ, στη δε νέα κατηγορία «Διάθεση των στοιχείων σε τρίτους», αναφέρονται αόριστα «αποδέκτες- νομικά πρόσωπα» (βλ. εφημερίδα REAL NEWS 20/6/2014), παραβλέποντας η εταιρεία ότι η διάθεση σε τρίτους δεδομένων των εν λόγω αρχείων της που όμως έχουν συλλεγεί για διαφορετικό σκοπό έρχεται σε αντίθεση προς την υπ’ αριθμ. 24/2004 απόφαση της Αρχής και συνεπώς είναι παράνομη. Επιπροσθέτως, στο αρχείο ΤΣΕΚ τηρούνται και διατίθενται προς εμπορία στοιχεία ακάλυπτων επιταγών/συναλλαγματικών κάνοντας χρήση των αρχείων ΣΑΥ και ΣΥΠ της εταιρείας, ενώ σύμφωνα με την απόφαση 71/2001 της Αρχής, μπορούν να διαβιβάζονται νόμιμα σε εταιρείες διαπίστωσης πιστοληπτικής ικανότητας μόνο τα στοιχεία που έχει η κάθε μία τράπεζα στο δικό της αρχείο και όχι αυτά που μπορεί να έχει πρόσβαση μέσω του διατραπεζικού συστήματος ΤΕΙΡΕΣΙΑΣ. Περαιτέρω, η Αρχή έχει χορηγήσει στην ΤΕΙΡΕΣΙΑΣ Α.Ε. άδεια διασύνδεσης με τη Γ.Γ.Π.Σ. με σκοπό λειτουργίας της αποκλειστικά προς χάριν των τραπεζών (βλ. υπ’ αριθμ. πρωτ. ΓΝ/ΕΞ/351/16-3-2007 άδεια διασύνδεσης αρχείων με χρήση ενιαίου κωδικού αριθμού σύμφωνα με το άρθρο 8 παρ.3 και 4 του ν.2472/1997, αρ. αδείας 21, η οποία έχει ανανεωθεί μέχρι τις 03-07-2017 με την υπ’ αριθμ. πρωτ. Γ/ΕΞ/926/09-07-2012 ανανέωση αδείας).

Συνεπώς, ο ισχυρισμός της ΤΕΙΡΕΣΙΑΣ ΑΕ ότι ο σκοπός λειτουργίας του συστήματος «ΤΣΕΚ» είναι ο αυτός που η εταιρεία επιδιώκει ως διατραπεζική εταιρεία που λειτουργεί χάριν των πιστωτικών και χρηματοδοτικών ιδρυμάτων είναι αβάσιμος, όπως αβάσιμος είναι και ο περαιτέρω ισχυρισμός ότι νομίμως γίνεται διαχωρισμός μεταξύ των διαβιβαζόμενων πληροφοριών πιστοληπτικής ικανότητας στο χρηματοπιστωτικό σύστημα και των μη προβλεπομένων από τον σκοπό διαβιβαζομένων πληροφοριών σε νομικά και φυσικά πρόσωπα.

2. Παράλειψη γνωστοποίησης στην Αρχή.  Η εν λόγω επεξεργασία γνωστοποιήθηκε στην Αρχή μετά την έναρξή της και, ειδικότερα, όσον αφορά επεξεργασία δεδομένων φυσικών προσώπων, έξι μήνες αργότερα (Ιούνιος 2014). Ως εκ τούτου, υπάρχει μη έγκαιρη γνωστοποίηση κατά  παράβαση του άρθρου 6 του ν. 2472/1997. Τούτο άλλωστε ρητώς συνομολογήθηκε από την εταιρεία.

3. Παράλειψη ενημέρωσης των υποκειμένων των δεδομένων – Ενημέρωση των υποκειμένων μέσω του αποδέκτη

Η εταιρεία δεν έχει ενημερώσει σύμφωνα με το άρθρο 11 του ν. 2472/1997 τα υποκείμενα των δεδομένων για τα βασικά στοιχεία της εν λόγω επεξεργασίας ούτε κατά το στάδιο της συλλογής, ούτε πριν την ανακοίνωση τους στους αποδέκτες. Στις μέχρι τις 14-10-2014 εξηγήσεις της προς την Αρχή, η εταιρεία δηλώνει ότι η ενημέρωση αυτή πραγματοποιείται μέσω του επιτηδευματία – αποδέκτη, ο οποίος αναλαμβάνει τη ρητή συμβατική δέσμευση να συμπεριλάβει στις αιτήσεις, έντυπα παραγγελίας κ.α. ή/και τις συμβάσεις του, την έγγραφη ενημέρωση του αντισυμβαλλομένου για τα βασικά στοιχεία της εν λόγω επεξεργασίας, καθώς και να τηρεί υποχρεωτικά τις έγγραφες αυτές ενημερώσεις στο αρχείο του, ώστε να μπορεί η ΤΕΙΡΕΣΙΑΣ Α.Ε. να αποκτά πρόσβαση σε αυτές οποτεδήποτε, προκειμένου να ελέγχει τη συμμόρφωση του πελάτη της με το σχετικό όρο της μεταξύ τους σύμβασης (όρος 7.6 του υποβληθέντος μέχρι πρότινος τηρουμένου σχεδίου).

Από τη δήλωση αυτή της αιτούσας, προκύπτει ότι η αιτούσα «μετακυλύει» ουσιαστικά τη δική της υποχρέωση στον εκάστοτε αποδέκτη των δεδομένων. Όμως, από μόνη την ενημέρωση του υποκειμένου εκ μέρους του αποδέκτη δεν καθίσταται σαφές ότι ο τελευταίος ενεργεί για λογαριασμό του υπευθύνου. Τουναντίον, τόσο η αρχή του εμφανούς αναλογικώς εφαρμοζόμενη σε κάθε δήλωση όσο και η αρχή της διαφάνειας της επεξεργασίας των δεδομένων (άρθρο 4 παρ.1), επιβάλλει να καθίσταται σαφές στο υποκείμενο για  λογαριασμό ποίου ενεργεί αυτός που τον ενημερώνει, στο δικό του όνομα και λογαριασμό ή στο όνομα και για λογαριασμό του υπευθύνου. Χωρίς αυτή τη διευκρίνιση, η ως άνω ενημέρωση του υποκειμένου από τον αποδέκτη αντιβαίνει στην αρχή της διαφάνειας (άρθρο 4 παρ.1) και στο μέτρο αυτό, δεν συνιστά προσήκουσα κατά το άρθρο 11 παρ.1 ενημέρωση. Τούτο διότι το άρθρο 11 παρ.1 επιτάσσει στον υπεύθυνο να αποσαφηνίζει πλήρως την «ταυτότητά» του στο υποκείμενο όταν το ενημερώνει.

Αναλυτικότερα, από τα ανωτέρω προκύπτουν τα κάτωθι α) ο αποδέκτης καθίσταται ταυτόχρονα και «εκτελών την επεξεργασία» για λογαριασμό της ΤΕΙΡΕΣΙΑΣ Α.Ε. ως προς την εκπλήρωση της υποχρέωσης ενημέρωσης, β) το υποκείμενο ενημερώνεται τελικά για την υπό κρίση επεξεργασία μετά τη συλλογή, αλλά και μετά τη διαβίβαση των δεδομένων του στον αποδέκτη. Οι διαδικασίες αυτές είναι αντίθετες με όσα απαιτεί η Απόφαση 26/2004 Κεφ. Β΄ παρ. Ι.2 και IV όπου θεσπίζονται αυτοτελείς υποχρεώσεις του υπευθύνου και του αποδέκτη, αντίστοιχα για ατομική ενημέρωση του υποκειμένου. Ένδειξη υπέρ της νομιμότητας μιας τέτοιας πρακτικής θα αποτελούσε εάν εξασφαλιζόταν η ενημέρωση του υποκειμένου έστω μέσω του αποδέκτη πριν από την απόκτηση των δεδομένων από τον τελευταίο, δηλαδή προτού να επιληφθεί ο αποδέκτης των συγκεκριμένων διαβιβαζόμενων δεδομένων πιστοληπτικής ικανότητας. Εάν όμως έχει αυτός επιληφθεί των δεδομένων, η παράβαση του άρθρου 11 του ν. 2472/1997 έχει συντελεστεί και ο αποδέκτης έχει καταστεί και αυτός υπεύθυνος επεξεργασίας, ο δε αρχικά υπεύθυνος έχει πλέον οριστικά παραλείψει να ενημερώσει νόμιμα το υποκείμενο. Δεδομένου ότι με την πρακτική αυτή της ΤΕΙΡΕΣΙΑΣ Α.Ε. δεν εκπληρώνεται η υποχρέωση ενημέρωσης του υποκειμένου πριν από τη διαβίβαση στον αποδέκτη, διαπιστώνεται παράβαση του άρθρoυ 11 του ν. 2472/97 και της Κανονιστικής Απόφασης 26/2004 της Αρχής.

Η Αρχή, λαμβάνοντας υπόψη τη βαρύτητα των παραβάσεων των άρθρων 4, 6 και 11 του ν. 2472/1997 που διαπιστώθηκαν και συνδέονται άρρηκτα μεταξύ τους7 και της προσβολής που επήλθε από αυτές στα υποκείμενα των δεδομένων, όπως αυτή εκτέθηκε αναλυτικά ανωτέρω, κρίνει ότι πρέπει να επιβληθεί στην ΤΕΙΡΕΣΙΑΣ Α.Ε., ως υπεύθυνο επεξεργασίας για το σύνολο των παραβάσεων αυτών, η προβλεπόμενη στο άρθρο 21 παρ.1 εδαφ. β΄ του ν. 2472/1997 κύρωση που αναφέρεται στο διατακτικό και η οποία τυγχάνει ανάλογη με τη βαρύτητα των παραβάσεων και της προσβολής των υποκειμένων των δεδομένων εξ’ αυτών.

ΓΙΑ ΤΟΥΣ ΛΟΓΟΥΣ ΑΥΤΟΥΣ

Η Αρχή,

1) Διαπιστώνει ότι, με τη λειτουργία του συστήματος ΤΣΕΚ, η ΤΕΙΡΕΣΙΑΣ Α.Ε. διεύρυνε παρανόμως τον σκοπό επεξεργασίας των δεδομένων του αρχείου  της, υπέβαλε τη σχετική γνωστοποίηση στην Αρχή με σημαντική χρονική καθυστέρηση και δεν ενημέρωσε προσηκόντως τα υποκείμενα των δεδομένων για τη μεταβολή αυτή.

2) Επιβάλλει στην ΤΕΙΡΕΣΙΑΣ Α.Ε., ως υπεύθυνο επεξεργασίας, πρόστιμο ύψους εβδομήντα πέντε χιλιάδων (75.000) Ευρώ για τις ως άνω διαπιστωθείσες παραβάσεις.

Ο Πρόεδρος
Πέτρος Χριστόφορος

Η Γραμματέας
Ειρήνη Παπαγεωργοπούλου