Έξι «φάουλ» σε επίπεδο ασφαλείας εντόπισε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα ύστερα από επιτόπιο έλεγχο που πραγματοποίησε όπου και διαπίστωσε ελλιπή μέτρα ασφαλείας ως προς το απόρρητο και την ασφάλεια της επεξεργασίας δεδομένων φυσικών προσώπων (οικονομικά δεδομένα).
Η Αρχή προειδοποίησε την εταιρεία ότι μέσα σε έξι μήνες πρέπει να συμμορφωθεί στις υποδείξεις του πορίσματός της και να αποκαταστήσει τις ελλείψεις της.
Πάντως, η Αρχή δεν παραλείπει να αναφέρει ότι στην ΤΕΙΡΕΣΙΑΣ το επίπεδο ασφαλείας ως προς την επεξεργασία προσωπικών δεδομένων είναι πολύ ικανοποιητικό, ωστόσο πρέπει να βελτιώσει πέντε σημεία τα οποία, μεταξύ των άλλων, αφορούν τη “λευκή λίστα” (σύστημα συγκέντρωσης χορηγήσεων), τη βαθμολογική συμπεριφορά των πελατών κ.λπ.
Τα έξι σημεία
Συγκεκριμένα, τα έξι σημεία που πρέπει να συμμορφωθεί η ΤΕΙΡΕΣΙΑΣ σύμφωνα πάντα με την Αρχή Προστασίας Δεδομένων είναι:
“1) Προκειμένου να ελέγχεται η συγκατάθεση του υποκειμένου για πρόσβαση στο σύστημα, να υπάρχει καταχώριση από την Τράπεζα του αριθμού αίτησης δανείου ή άλλου αντίστοιχου αριθμού και να βεβαιώνεται ότι έχει δοθεί η συγκατάθεση. Με τον τρόπο αυτό θα δίνεται η δυνατότητα στην ΤΕΙΡΕΣΙΑΣ Α.Ε., στις Τράπεζες αλλά και στην Αρχή να ελέγχει τη νομιμότητα της επεξεργασίας, όπως π.χ. μέσω δειγματοληπτικών ελέγχων.
2) Η ένδειξη “ΝΑΙ” για ύπαρξη στοιχείων λευκής λίστας, όπως και τα ίδια τα στοιχεία, μπορεί να εμφανίζονται στους αποδέκτες μόνο εφόσον έχει δοθεί η συγκατάθεση για πρόσβαση. Εάν δεν έχει δοθεί η συγκατάθεση τότε το πεδίο αυτό θα πρέπει να εμφανίζεται κενό.
Εάν έχει επιλεγεί από το υποκείμενο η γενική απαγόρευση πρόσβασης, μπορεί να εμφανίζεται το μήνυμα ότι δεν επιθυμεί την πρόσβαση στα στοιχεία χορηγήσεων. Για την ακρίβεια της επεξεργασίας η ΤΕΙΡΕΣΙΑΣ πρέπει να απαλείψει τη δυνατότητα επιλεκτικής απαγόρευσης πρόσβασης. Η συγκατάθεση για πρόσβαση παρέχεται ανά σκοπό επεξεργασίας και όχι ανά μεμονωμένο δεδομένο.
3) Αν και τεχνικά έχει υλοποιηθεί από την ΤΕΙΡΕΣΙΑΣ η διαδικασία που προβλέπεται στην απόφαση 64/2007 της Αρχής, στην πράξη εφαρμόζεται μερικώς, κυρίως λόγω μη κατάλληλης τροφοδότησης εκ μέρους των Τραπεζών ορισμένων στοιχείων, όπως π.χ. οι εξοφλήσεις από διαταγές πληρωμής.
Ωστόσο, η ΤΕΙΡΕΣΙΑΣ έχει την ευχέρεια να διαπιστώνει σε ποιες περιπτώσεις μια Τράπεζα συστηματικά δεν καταχωρίζει τις ανωτέρω πληροφορίες, είτε μέσω της πληροφόρησης που λαμβάνει από τα υποκείμενα των δεδομένων είτε όταν λαμβάνει καθυστερημένα τις πληροφορίες αυτές από τις Τράπεζες.
Η ΤΕΙΡΕΣΙΑΣ εντός ευλόγου χρόνου να αναφέρει προς την Αρχή σε ποιες Τράπεζες διαπιστώνει συνεχείς καθυστερήσεις, ως προς τις υποχρεώσεις που υπέχουν για τη σωστή τροφοδότηση του συστήματος, προκειμένου να ληφθούν τα κατάλληλα μέτρα σε περίπτωση μη συμμόρφωσης.
4) Η Τειρεσίας Α.Ε. αποτελεί υπεύθυνο επεξεργασίας για το σύστημα Βαθμολογικής Συμπεριφοράς. Μόνο εάν το αποτέλεσμα της βαθμολόγησης στηρίζεται αποκλειστικά σε δεδομένα που παρέχει ο εκάστοτε μεμονωμένος πελάτης/Τράπεζα, μπορεί η ΤΕΙΡΕΣΙΑΣ να θεωρηθεί εκτελούσα την επεξεργασία.
Στοιχεία βαθμολόγησης επιτρέπεται να διαβιβάζονται μόνο στην τράπεζα που έχει την αίτηση του ενδιαφερόμενου και τη σχετική συγκατάθεση. Στο έντυπο συγκατάθεσης πρέπει να υπάρχει ειδική ενημέρωση για το σύστημα βαθμολογικής συμπεριφοράς και λήψη ειδικής συγκατάθεσης για αυτό. Σε κάθε περίπτωση, τα αποτελέσματα της βαθμολόγησης δεν πρέπει να τηρούνται στο σύστημα μετά τη λειτουργία της δανειοδότησης ή να ανακοινώνονται σε άλλους συμμετέχοντες στο σύστημα χωρίς ξεχωριστή συγκατάθεση.
Πρέπει να υπάρχει διαφάνεια για την επεξεργασία και να ενισχυθούν τα δικαιώματα των υποκειμένων. Βάσει του άρθρου 14 ν. 2472/97, το πρόσωπο έχει το δικαίωμα να λάβει αιτιολογημένη εξήγηση για την απόφαση που το επηρεάζει και λήφθηκε με χρήση του συστήματος βαθμολογικής συμπεριφοράς. Το υποκείμενο των δεδομένων έχει το δικαίωμα, εάν απορρίφθηκε η αίτηση δανειοδότησης κατά την οποία λήφθηκε υπόψη η βαθμολόγηση, να ζητήσει να συνυπολογιστεί η προσωπική του γνώμη στη λήψη δεύτερης μη αυτοματοποιημένης απόφασης. Τα στατιστικά μοντέλα που χρησιμοποιούνται για τη βαθμολόγηση να επαληθεύονται τουλάχιστον κάθε χρόνο και να επικαιροποιούνται.
Επισημαίνουμε ότι το ανωτέρω σύστημα γνωστοποιήθηκε καθυστερημένα, κατόπιν της διενέργειας του ελέγχου, ενώ κατά τον έλεγχο διαπιστώθηκε ότι λειτουργούσε πιλοτικά, και συστήνουμε να μην επαναληφθεί στο μέλλον.
5) Θα πρέπει να απεγκατασταθεί το κλειστό κύκλωμα τηλεόρασης από τους εσωτερικούς διαδρόμους των κεντρικών γραφείων της ΤΕΙΡΕΣΙΑΣ.
6) Η Αρχή έχει ήδη αποφανθεί για ποια δεδομένα μπορεί νομίμως να συλλέγει η ΤΕΙΡΕΣΙΑΣ για τον επιδιωκόμενο σκοπό επεξεργασίας, καθώς και τις πηγές των δεδομένων αυτών. Ωστόσο, δεν έχει αρμοδιότητα να επιβάλει σε δημόσιες αρχές υποχρέωση χορήγησης στοιχείων στην ΤΕΙΡΕΣΙΑΣ. Η εταιρεία πρέπει να φροντίσει ώστε να θεσπιστεί σχετική νομοθετική διάταξη”.