Η απόφαση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) με υπ’ αριθμό 48/2018 ενέκρινε την αναγνώριση ζητημάτων επεξεργασίας προσωπικών δεδομένων, αναφορικά με τη χρήσης χρεωστικών ή/και πιστωτικών τραπεζικών καρτών για την δημιουργία ανέπαφων συναλλαγών (contactless transactions).
Η ανωτέρω απόφαση της ΑΠΔΠΧ, ήταν αποκύημα της υπόθεσης που απασχόλησε την Διεύθυνση Προστασίας Καταναλωτή του Υπουργείου Οικονομίας, λόγω επιμέρους καταγγελίας που υποβλήθηκε από πελάτη Τράπεζες κατά αυτής, αναφορικά με ζήτημα χορήγησης χρεωστικής κάρτας προς αντικατάστασης παλαιότερης αυτής.
Σε αυτό το πλαίσιο ορίζεται ότι η νέα τραπεζική κάρτα δύναται να υποστηρίζει ανέπαφες συναλλαγές (δηλαδή χωρίς την εισαγωγή κωδικού PIN) και μόνο με την επίδειξη της κάρτας (χωρίς επαφή ή τοποθέτηση στον αντίστοιχο reader), υπό την προϋπόθεση ότι η τρέχουσα οικονομική συναλλαγή δεν ξεπερνά τα €25.
Σύμφωνα με την ανωτέρω υπόθεση, η καταγγελία αφορούσε τον ισχυρισμό του πελάτη ότι ο ίδιος δεν έδωσε την συγκατάθεση του στην Τράπεζα για χορήγηση χρεωστικής κάρτας, με χαρακτηριστικά ανέπαφων συναλλαγών, καθότι σύμφωνα με τον ίδιο ελλοχεύουν κίνδυνοι ασφαλείας μέσω της χρήσης της.
Από την άλλη πλευρά η Τράπεζα ανταπάντησε στον καταγγέλλων ότι η δυνατότητα της χρήσης ανέπαφων συναλλαγών μέσω της Debit Master Card τεχνολογίας, αναφορικά με καταναλωτικές συναλλαγές συνολικού ανώτατου ύψους αξίας €25, αποτελεί βασικό και υποχρεωτικό χαρακτηριστικό της ανωτέρω κάρτας, αναφορικά και με τις οδηγίες του διεθνούς οργανισμού MasterCard.
Ακόμα και σύμφωνα με την Τράπεζα, οι νέες κάρτες πληρούν όλες τις επιμέρους προδιαγραφές των δικλείδων ασφαλείας που προβλέπουν οι διεθνείς οργανισμοί. Κατ’ επέκταση η αντικατάσταση παλαιών καρτών με νέες ανέπαφες γίνεται σύμφωνα με τους όρους της σύμβασης των πελατών ως προς την χρεωστική τους κάρτα.
Παράλληλα να αναφερθεί ότι παρόμοια καταγγελία υποβλήθηκε και έναντι άλλης Τράπεζας, η οποία με την σειρά της διαβιβάστηκε στην ΑΠΔΠΧ από τον Συνήγορο του Καταναλωτή (ιστορικό της απόφασης 48/2018).
Η θέση της ΑΠΔΠΧ για ανέπαφες συναλλαγές τραπεζικών καρτών
Από την πλευρά της η ΑΠΔΠΧ εξέτασε πληθώρα από νομικά και τεχνολογικά χαρακτηριστικά, αναφορικά και με τις διεθνείς προδιαγραφές που προβλέπονται για τις ανέπαφες χρεωστικές ή/και πιστωτικές κάρτες.
Σύμφωνα με την εκτίμηση της φαίνεται ότι στην περίπτωση των καρτών της MasterCard υπάρχει η δυνατότητα να αποθηκευτεί στην κάρτα το πρόσφατο ιστορικό των συναλλαγών που έχουν γίνει, αλλά και η δυνατότητα να πραγματοποιηθεί ανέπαφη ανάγνωση αυτών.
Πάνω σε αυτό το πλαίσιο, η ΑΠΔΠΧ τόνισε πως η τήρηση τέτοιων δεδομένων (η οποία δεν είναι υποχρεωτική, σύμφωνα και με τις προδιαγραφές που τέθηκαν από την MasterCard) φέρνει στο προσκήνιο επιμέρους ζητήματα αναφορικά με την προστασία προσωπικών δεδομένων, καθώς μέσω των κινήσεων της κάρτας, μπορεί κανείς να δημιουργήσει σχετικό προφίλ για τον κάτοχο της όσον αφορά τις επιμέρους καταναλωτικές συνήθειες του.
Για αυτό σε τουλάχιστον μιας εκ των δύο περιπτώσεων καταγγελίας, η ΑΠΔΠΧ αξιολόγησε ότι τα συγκεκριμένα δεδομένα δεν αποτελούν απαραίτητο χαρακτηριστικό για την βασική λειτουργία που προορίζεται μια χρεωστική κάρτα και έτσι δεν θα έπρεπε εξ’ ορισμού να τηρούνται, χωρίς κιόλας να έχει προηγηθεί σχετική ενημέρωση.
Τι πρέπει να κάνουν οι εκδότες πιστωτικών καρτών
Σύμφωνα με την απόφαση 48/2018, η ΑΠΔΠΧ έκρινε ότι οι εκδότες των πιστωτικών ή/και χρεωστικών καρτών θα πρέπει να λαμβάνουν μια σειρά από κατάλληλα μέτρα, τα οποία θα είναι σε θέση να εξασφαλίζουν ότι:
(α) Αν ο πελάτης δηλώσει ότι δεν επιθυμεί να λάβει κάρτα στην οποία παρέχεται η δυνατότητα πραγματοποίησης ανέπαφων συναλλαγών, να υπάρχει η δυνατότητα απενεργοποίησης της ανέπαφης λειτουργίας της κάρτας, είτε να χορηγείται νέα, μη ανέπαφη κάρτα.
(β) Αν ο πελάτης έχει λάβει κάρτα στην οποία έχει ενεργοποιηθεί η δυνατότητα διατήρησης ιστορικού των συναλλαγών αυτής, χωρίς όμως πρωτίστως να έχει δοθεί η ειδική και ρητή συναίνεση του, τότε θα πρέπει ο πελάτης να λάβει σχετική ενημέρωση με κάθε δυνατό τρόπο (όπως email, ταχυδρομική επιστολή, μηνύματα κατά την σύνδεση σε προσωποποιημένες ηλεκτρονικές υπηρεσίες του υπευθύνου επεξεργασίας, κτλ.), αναφορικά με την επεξεργασία αυτή, και παράλληλα να του δίνεται η δυνατότητα να μπορεί να διακόψει την επεξεργασία αυτή.
Τέλος, κατά την νέα έκδοση ή χορήγηση κάρτας θα πρέπει το ανωτέρω χαρακτηριστικό να είναι εξ’ αρχής απενεργοποιημένο και να μπορεί να ενεργοποιηθεί μόνο εάν υπάρχει ρητή συναίνεση του πελάτη και εφόσον φυσικά έχει προηγηθεί σχετική ενημέρωση για την ανωτέρω λειτουργία της κάρτας και της δυνατότητας τήρησης και επεξεργασίας δεδομένων του πελάτη.
Πηγή: https://www.lawspot.gr/nomika-nea/zitimata-prosopikon-dedomenon-stis-anepafes-contactless-synallages-me-kartes-ellinikon
