Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

ΑΝΑΚΟΙΝΩΣΗ (Αρ.2) ΕΠΙΤΡΟΠΟΥ: Επικαιροποιήσεις προσωπικών δεδομένων πελατών και αναστολή των λογαριασμών τους από τα Αδειοδοτημένα Πιστωτικά Ιδρύματα (ΑΠΙ)


ΑΝΑΚΟΙΝΩΣΗ (Αρ.2) ΕΠΙΤΡΟΠΟΥ
που αφορά στις Επικαιροποιήσεις προσωπικών δεδομένων πελατών και αναστολή των λογαριασμών τους από τα Αδειοδοτημένα Πιστωτικά Ιδρύματα (ΑΠΙ)


1. Σε συνέχεια της πρώτης Ανακοίνωσης του Γραφείου μου (13/6/2018) ενημερώνω κάθε ενδιαφερόμενο πρόσωπο ότι κατά τη συζήτηση που πραγματοποιήθηκε στο Γραφείο μου ημερ. 15/6/2018 κατά την οποία συμμετείχαν εκπρόσωποι της ΚΤΚ και του Συνδέσμου Τραπεζών συζητήθηκαν και διευκρινίστηκαν διάφορα θέματα μεταξύ των οποίων το νομοθετικό έρεισμα των «επικαιροποιήσεων», η ορθή και διαφανής διαδικασία ενημέρωσης των πελατών και οι ενδεχόμενες έννομες συνέπειες της παράλειψης υποβολής των εγγράφων και /ή πληροφοριών από τους πελάτες.

2. Οι περιπτώσεις κατά τις οποίες απαιτείται «επικαιροποίηση» πληροφοριών για σκοπούς συμμόρφωσης με τις διαδικασίες προσδιορισμού ταυτότητας και των μέτρων δέουσας επιμέλειας ως προς τους πελάτες αναφέρονται στο άρθρο 60 του περί της Παρεμπόδισης και Καταπολέμησης της Νομιμοποίησης Εσόδων από Παράνομες Δραστηριότητες Νόμο του 2007 (188(I)/2007), ως τροποποιήθηκε.

3. Οι τρόποι άσκησης δέουσας επιμέλειας και προσδιορισμού ταυτότητας αναφέρονται επίσης ρητά στις διατάξεις του άρθρου 61 του πιο πάνω Νόμου με βάση τις οποίες παρέχεται επίσης η δυνατότητα στις υπόχρεες οντότητες π.χ Τράπεζες, Ασφαλιστικές Εταιρείες, Επενδυτικές εταιρείες, πάροχους τυχερών παιγνιδιών, ελεγκτές, λογιστές κ.α, να καθορίζουν την έκταση των μέτρων αυτών ανάλογα με τον βαθμό κινδύνου όπου έχουν κατατάξει έκαστο πελάτη π.χ χαμηλού, μετρίου ή υψηλού ρίσκου.

Σε κάθε περίπτωση οι υπόχρεες οντότητες πρέπει να είναι σε θέση να αποδείξουν στις αρμόδιες Εποπτικές τους Αρχές ότι η έκταση των μέτρων είναι ανάλογη με τους κινδύνους νομιμοποίησης εσόδων από παράνομες δραστηριότητες και χρηματοδότησης της τρομοκρατίας που αντιμετωπίζουν.

4. Έννομες συνέπειες: Αν οι πελάτες δεν ανταποκρίνονται ούτε συνεργάζονται με την υπόχρεη οντότητα π.χ Τράπεζα για κοινοποίηση των απαραίτητων πληροφοριών με σκοπό τη συμμόρφωση με τις διαδικασίες δέουσας επιμέλειας και προσδιορισμού και /ή επαλήθευσης της ταυτότητάς τους, τότε η Τράπεζα σύμφωνα με τις διατάξεις του άρθρου 62(4) του ανωτέρου Νόμου αναφορικά με υφιστάμενους πελάτες δεν πραγματοποιεί συναλλαγή μέσω τραπεζικού λογαριασμού, τερματίζει την εν λόγω επιχειρηματική σχέση και εξετάζει το ενδεχόμενο υποβολής αναφοράς για ύποπτη συναλλαγή σε σχέση με τον πελάτη στη Μονάδα (ΜΟΚΑΣ).

Έννομες συνέπειες αναφορικά με δυνητικούς πελάτες ή νέους πελάτες: η Τράπεζα δεν συνάπτει επιχειρηματική σχέση ή δεν πραγματοποιεί τη συναλλαγή.


5. Διαπιστώσεις και παρατηρήσεις:

5.1 Οι διαδικασίες «επικαιροποίησης» αντλούν νομοθετικό έρεισμα είτε από την ανωτέρω νομοθεσία (παρ. 2 πιο πάνω) είτε από άλλες Νομοθεσίες πρωτογενείς ή δευτερογενείς (FATCA / CRS /και Οδηγίες της ΚΤΚ (οι περί Διαδικασιών Χορήγησης νέων και αναθεώρησης υφιστάμενων χορηγιών και η περί Διαχείρισης Καθυστερήσεων Οδηγία).

5.2 Στο βαθμό και την έκταση που γίνονται τηρουμένων των νομοθεσιών αυτών και δεδομένου ότι σε κάθε περίπτωση τηρούνται οι Αρχές της Νομιμότητας (Διαφάνεια) και Αναλογικότητας που προβλέπει ο Γενικός Κανονισμός για την Προστασία των Προσωπικών Δεδομένων, (ΕΕ) 2016/679, εφεξής «ο Κανονισμός», καθίστανται νόμιμες.

5.3 Με βάση τα ενώπιόν μου στοιχεία καθώς και τις διευκρινίσεις που δόθηκαν κατά τη συνάντηση με όλους τους εμπλεκόμενους έχω διαπιστώσει και /ή παρατηρήσει τα ακόλουθα:

(α) Παρατηρήθηκε γενική και ως εκ τούτου ελλιπής και όχι η ενδεδειγμένη δυνάμει του Κανονισμού ενημέρωση των πελατών από τις Τράπεζες κατά την επικοινωνία τους, γραπτή ή τηλεφωνική, να προσκομίσουν πληροφορίες στο πλαίσιο και για τους σκοπούς της «επικαιροποίησης». Συγκεκριμένα, τα έντυπα των Τραπεζών με βάση τα οποία ενημέρωναν τους πελάτες έκαναν γενική και αόριστη αναφορά σε οδηγίες της ΚΤΚ.

(β) Παρατηρήθηκε επίσης σε μερικές περιπτώσεις Τράπεζες να χρησιμοποιούν ενιαίο έντυπο επικαιροποίησης για όλους τους πελάτες και συλλογής νέων πληροφοριών ανεξαρτήτως σκοπού, νομοθετικού ερείσματος και της αρχής της αναλογικότητας ή ελαχιστοποίησης των προσωπικών δεδομένων.

(γ) Παρατηρήθηκε περαιτέρω ότι οι Τράπεζες «μπλοκάρουν και /ή δεσμεύουν και /ή αναστέλλουν τη λειτουργία» τραπεζικών λογαριασμών πελατών, οι οποίοι δεν ανταποκρίθηκαν στις κλήσεις τους για επικαιροποίηση και προσκόμιση πληροφοριών.

5.4 Διευκρινίζεται ότι έννομες συνέπειες προβλέπονται ΜΟΝΟ αναφορικά με την παράλειψη επικαιροποίησης για τους σκοπούς του περί της Παρεμπόδισης και Καταπολέμησης της Νομιμοποίησης Εσόδων από Παράνομες Δραστηριότητες Νόμου του 2007 (188(I)/2007), ως τροποποιήθηκε, και είναι συγκεκριμένες (βλ.παρ.4 πιο πάνω), στις οποίες δεν προβλέπεται το μπλοκάρισμα /δέσμευση / αναστολή λειτουργίας λογαριασμού).

6. Εισηγήσεις Επιτρόπου:

Ως αποτέλεσμα της συνάντησης ήταν η υποβολή των κάτωθι εισηγήσεών μου με σκοπό την αποκατάσταση της διαδικασίας επικαιροποίησης και την τοποθέτησή της στις ορθές νομικές βάσεις τηρουμένων των βασικών αρχών για νόμιμη επεξεργασία προσωπικών δεδομένων.

1. Να πραγματοποιείται ξεχωριστή επικαιροποίηση πληροφοριών αναφορικά με τις περιπτώσεις για σκοπούς συμμόρφωσης με τις διαδικασίες προσδιορισμού ταυτότητας και των μέτρων δέουσας επιμέλειας ως προς τους πελάτες με βάση το άρθρο 60 του περί της Παρεμπόδισης και Καταπολέμησης της Νομιμοποίησης Εσόδων από Παράνομες Δραστηριότητες Νόμο του 2007 (188(I)/2007), ως τροποποιήθηκε.
    Ο λόγος για τον οποίο εισηγούμαι να γίνεται ξεχωριστή διαδικασία αφορά στην πρόβλεψη συγκεκριμένων έννομων συνεπειών για τους πελάτες, οι οποίοι παραλείπουν να συμμορφωθούν, οι οποίες αναφέρονται στην παρ. 4 πιο πάνω.
2. Η επικοινωνία με τους πελάτες (γραπτή /τηλεφωνική) θα πρέπει να περιλαμβάνει συγκεκριμένη ενημέρωση των πελατών στη βάση της νομιμότητας και της διαφάνειας με την αναφορά τουλάχιστον των συγκεκριμένων νομοθετικών διατάξεων που προβλέπουν την επικαιροποίηση /συγκεκριμένο σκοπό /και τυχόν έννομες ή συμβατικές συνέπειες από τη μη υποβολή των πληροφοριών.
    3. Οι Τράπεζες, τηρουμένης της αρχής της αναλογικότητας, και ανάλογα με το νομοθετικό έρεισμα διασφαλίζουν ότι δεν εφαρμόζουν ενιαίες ρυθμίσεις για όλους τους πελάτες κατά τις επικαιροποιήσεις και τη συλλογή πληροφοριών αλλά λειτουργούν με βάση τις οικείες νομοθεσίες οι οποίες θα πρέπει να καθορίζουν το σκοπό και τον τρόπο της επεξεργασίας ώστε να συλλέγουν ΜΟΝΟ τις απολύτως απαραίτητες σε κάθε περίπτωση πληροφορίες.
      7. Κατάληξη και επόμενες ενέργειες:

      Το Γραφείο μου θα παρακολουθεί με ιδιαίτερη προσοχή το θέμα και ευελπιστεί ότι με τη συνεργασία όλων των εμπλεκόμενων φορέων, Συνδέσμου Τραπεζών και Κεντρικής Τράπεζας, τους οποίους και ευχαριστεί δημόσια για τις διευκρινίσεις που παρείχαν κατά τη συνάντηση και τη συμβολή τους, οι διαδικασίες «επικαιροποίησης», ήτοι συλλογής πληροφοριών, θα πληρούν όλες τις προϋποθέσεις νομιμότητας, διαφάνειας και αναλογικότητας.

      Ειρήνη Λοϊζίδου Νικολαϊδου
      Επίτροπος Προστασίας Δεδομένων
      Προσωπικού Χαρακτήρα



      28 Ιουνίου 2018

      Back To Top