Η αυξανόμενη εξάρτηση τραπεζών και χρηματοπιστωτικών φορέων από μηχανισμούς διαχείρισης μη εξυπηρετούμενων δανείων —όπως η τιτλοποίηση και η εκχώρηση απαιτήσεων— προκαλεί σοβαρές προκλήσεις στο πεδίο της προστασίας προσωπικών δεδομένων. Οι αρχές του ΓΚΠΔ, περί νομιμότητας (άρθρο 6) και ακρίβειας (άρθρο 5), τίθενται, λόγω αυτών των πρακτικών, στο μικροσκόπιο των ρυθμιστικών αρχών.
Η Απόφαση 23/2025 της ΑΠΔΠΧ: Τράπεζα Πειραιώς
Στην απόφαση ΑΠΔΠΧ 23/2025 (23 Ιουνίου 2025), η Αρχή επέβαλε πρόστιμο 50.000€ στην Τράπεζα Πειραιώς για εσφαλμένη επεξεργασία των δεδομένων πελάτη ως εγγυητή, χωρίς καμία νομική βάση και παραβιάζοντας τις αρχές της νομιμότητας και ακρίβειας. Κριτική στάση διαπιστώθηκε και στην αποστολή πρόσθετων ενημερωτικών επιστολών, παρά την έντονη διαμαρτυρία του υποκειμένου.
Ευρύτερη Παρέμβαση της Αρχής: Από τις Εισπρακτικές στις Δημόσιες Υπηρεσίες
Προτού, όμως, επιβληθεί η Απόφαση 23/2025, η ΑΠΔΠΧ είχε ήδη ασκήσει πιέσεις σε ευρύ φάσμα φορέων. Χαρακτηριστική είναι η περίπτωση της Γενικής Γραμματείας Πληροφοριακών Συστημάτων, όπου επιβλήθηκε πρόστιμο το καλοκαίρι του 2024, λόγω μαζικής διαρροής φορολογικών αρχείων (Ε1, Ε2, Ε9, ΕΤΑΚ κ.ά.). Η Αρχή, όχι μόνο κατέγραψε σοβαρές παραλείψεις στην ασφάλεια, αλλά επέβαλε και χρονικό πλαίσιο συμμόρφωσης με συγκεκριμένες τεχνικές προδιαγραφές.
«Η ΓΓΠΣ δεν εφάρμοσε επαρκή μέτρα ασφαλείας, με αποτέλεσμα μαζική διαρροή φορολογικών δεδομένων σε τρίτους» — όπως χαρακτηριστικά αναφέρεται στην απόφαση. Αυτή η παρέμβαση καταδεικνύει τη σαφή πρόθεση της Αρχής να προσδώσει περιεχόμενο στην έννοια της ασφάλειας των δεδομένων, πέραν της επιβολής κυρώσεων.
Συζήτηση Βουλής / «Βόμβα» Αποκάλυψης και Ανωνυμοποίηση Δεδομένων
Σε συνεδρίαση της Βουλής, υπήρξε έντονη αναφορά στη διαβίβαση στοιχείων σε τρίτους, πριν από την ανωνυμοποίηση, ως «βόμβα» για την προστασία προσωπικών δεδομένων. Η Αρχή έχει υποστηρίξει, ότι σε περιπτώσεις όπως μεμονωμένων πωλήσεων δανείων στη δευτερογενή αγορά, οι εταιρείες αποκτούν απεριόριστη πρόσβαση σε μη απαραίτητα δεδομένα (π.χ. η προσωπική οικονομική κατάσταση, φορολογικά στοιχεία, υποθήκες τρίτων), με κίνδυνο να τα χρησιμοποιήσουν για την επιλογή συγκεκριμένων δανείων. Μια πρακτική, η οποία, σύμφωνα με την Αρχή, είναι ουσιαστική παραβίαση της αρχής «data minimisation» και «privacy by design».
Διαρροή Δεδομένων Τραπεζικών Παραρτημάτων: Ανωμοτί Περιπτώσεις και Νομολογία
Τραπεζικά «παραρτήματα», που συνοδεύουν επιστολές εξόφλησης, συχνά περιλαμβάνουν, πέραν των στοιχείων του οφειλέτη, αποκλειστικά προσωπικά δεδομένα τρίτων, όπως διευθύνσεις, ΑΦΜ, στοιχεία επικοινωνίας ή ακόμη και πληροφορίες για μέλη της οικογένειας. Η Αρχή, σε προηγούμενη απόφαση τραπεζικής υπόθεσης, διαπίστωσε:
Επιπλέον, ελληνικά δικαστήρια έχουν ήδη εκδώσει αποφάσεις, που αναγνωρίζουν υλική και ηθική βλάβη για θιγόμενα τρίτα πρόσωπα, με δικαστικές αποζημιώσεις έως και 2.500€. Σε ένα παράδειγμα, αναφέρεται:
«Το Δικαστήριο έκρινε, ότι η ανακριβής και περιττή κοινοποίηση των προσωπικών δεδομένων τρίτου προκαλεί ηθική βλάβη, επιδικάζοντας αποζημίωση 2.300€.»
Αυτές οι αποφάσεις αναδεικνύουν την βαρύτατη ευθύνη των τραπεζών, ακόμη και για στοιχεία, τα οποία δεν αφορούν τον πρωτογενή οφειλέτη.
Συμπεράσματα & Προτάσεις
Οι θεσμικές παρεμβάσεις της ΑΠΔΠΧ καταδεικνύουν, πως η τυφλή τιτλοποίηση ή εκχώρηση απαιτήσεων, χωρίς επαρκή επεξεργασία προσωπικών δεδομένων, μπορεί να ενεργοποιεί σοβαρές ευθύνες σε όλο το εύρος:
Το θεσμικό πλαίσιο διαμορφώνεται με σταθερό βηματισμό και περιεχόμενο – και οι χρηματοπιστωτικοί οργανισμοί πρέπει να κινηθούν με σύνεση, συνέπεια και προσανατολισμό σε πολιτικές διαχείρισης, που σέβονται κάθε πτυχή του νόμου για την προστασία των προσωπικών δεδομένων GDPR
Απόσπασμα του υπό έκδοση βιβλίου με τίτλο «ΤΙΤΛΟΠΟΙΗΣΗ ΑΠΑΙΤΗΣΕΩΝ στην αναγκαστική εκτέλεση» με υπότιτλο «Περί Πλειστηριασμών - Από τη θεωρία στην πράξη» ISBN 978-618-00-3736-4
11 Ιουλίου 2025
05 Ιουλίου 2025
21 Ιουνίου 2025
® 2020