Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

ΑΠΟΦΑΣΗ: Καταχώρηση σε ηλεκτρονικό υπολογιστή δεδομένων πιστωτικής κάρτας από την εταιρεία Primetel


Υποβλήθηκε παράπονο στο Γραφείο της Επιτρόπου αναφορικά με τη συλλογή από την εταιρεία PrimeTel των δεδομένων που αναγράφονται στην κάρτα του παραπονούμενου (visa electron) και την καταχώρηση τους σε ηλεκτρονικό υπολογιστή κατά την παρουσία του στο υποκατάστημα της εταιρείας στη Λευκωσία για εξόφληση του λογαριασμού του.

Η εταιρεία PrimeTel αρχικά ισχυρίστηκε ότι ήταν δύσκολο να εντοπίσει τον πελάτη για τον οποίο γίνεται αναφορά και ότι εν πάση περιπτώσει δεν αποθηκεύει τα δεδομένα που αναγράφονται στις κάρτες των πελατών της. Κατά την πληρωμή των τιμολογίων τα στοιχεία των πελατών εισάγονται στο σύστημα αυτόματα χωρίς της παρέμβαση των υπαλλήλων της. Οι πληρωμές γίνονται με τρόπο ώστε η πιστωτική κάρτα να περνά από ειδικό μηχάνημα «card reader», όπου τα στοιχεία διαβιβάζονται αυτόματα στην εταιρεία JCC Payment Systems Ltd και γίνεται αυτόματα η πληρωμή. Στην περίπτωση πελατών της που επισκέπτονται ένα από τα καταστήματα της με σκοπό την πληρωμή του λογαριασμού τους με πιστωτική κάρτα τα στοιχεία της κάρτας δεν αποθηκεύονται.

Σε συνέχεια της πιο πάνω θέσης της εταιρείας, και παρόλο που της διαβιβάστηκαν επιπρόσθετα στοιχεία, όπως αντίγραφο της απόδειξης πληρωμής και αριθμός δελτίου ταυτότητας του παραπονούμενου, ώστε να είναι σε θέση να διερευνήσει το περιστατικό η εταιρεία/ καθ’ ου το παράπονο δεν έδωσε περαιτέρω εξηγήσεις για τα ερωτήματα που της είχαν υποβληθεί και ούτε απήντησε στις υπόλοιπες επιστολές της Επιτρόπου.

Δεδομένου ότι το ποσό της οφειλής του παραπονούμενου εξοφλήθηκε μέσω του μηχανήματος αυτόματης πληρωμής, στα πλαίσια του σκοπού εξόφλησης λογαριασμού, η καταχώρηση σε ηλεκτρονικό υπολογιστή του τριψήφιου αριθμού που βρίσκεται στο πίσω μέρος αυτής κρίνεται υπερβολική και μη συναφής σε σχέση με το σκοπό, κατά παράβαση του άρθρου 4(1)(γ) του Νόμου 138(Ι)/2001.

Έχοντας υπόψη τις δυνατότητες που παρέχει η τεχνολογία και το Διαδίκτυο, η αποθήκευση του ονόματος του κατόχου της κάρτας, του αριθμού της κάρτας σε συνδυασμό με τον τριψήφιο αριθμό που βρίσκεται στο πίσω μέρος της και της ημερομηνίας λήξης της κάρτας μπορούν να καταστήσουν τον κάτοχο της κάρτας στόχο εγκληματιών, οι οποίοι μπορούν να εισχωρήσουν στο σύστημα και να ανακτήσουν τα στοιχεία με σκοπό να τα χρησιμοποιήσουν για να διαπράξουν μια απάτη.

Το Payment Card Industry Security Standards Council είναι ένα ανοικτό παγκόσμιο φόρουμ, που ξεκίνησε το 2006, και είναι υπεύθυνο για την ανάπτυξη, διαχείριση, εκπαίδευση και ευαισθητοποίηση του Payment Card Industry Security Standards, συμπεριλαμβανομένου του διεθνούς προτύπου ασφαλείας Payment Card Industry Data Security Standard (PCI DSS). Τα πέντε ιδρυτικά μέλη του Συμβουλίου είναι οι εταιρείες Global Payment Brands - American Express, Discover Financial Services, JCB International, MasterCard Worldwide και Visa Inc – οι οποίες έχουν συμφωνήσει να ενσωματώσουν το διεθνές πρότυπο PCI DSS στις τεχνικές απαιτήσεις για συμμόρφωση τους με την ασφάλεια των δεδομένων [https://www.pcisecuritystandards.org/organization_info/index.php].

Το PCI DSS αναπτύχθηκε για να ενθαρρύνει και να ενισχύσει την ασφάλεια των δεδομένων του κατόχου κάρτας και να διευκολύνει την ομοιόμορφη υιοθέτηση μέτρων ασφάλειας δεδομένων παγκόσμια. Το πρότυπο αυτό αποτελεί τη βάση των τεχνικών και λειτουργικών απαιτήσεων που αποσκοπούν στην προστασία των δεδομένων του κατόχου κάρτας και εφαρμόζεται σε όλους τους φορείς που εμπλέκονται στην επεξεργασία πληρωμών με κάρτα συμπεριλαμβανομένων των εμπόρων, των φορέων παροχής υπηρεσιών, καθώς και όλων των μερών που αποθηκεύουν, επεξεργάζονται ή μεταδίδουν δεδομένα κατόχων καρτών [https://www.pcisecuritystandards.org/documents/pci_dss_v2.pdf].

Το PCI DSS προβλέπει ότι ο τριψήφιος αριθμός που βρίσκεται στο πίσω μέρος της κάρτας (CAV2/CVC2/CVV2/CID [ CID – Card Identification Number (American Express and Discover payment cards), CAV2 – Card Authentication Value 2 (JCB payment cards), CVC2 – Card Validation Code 2 (MasterCard payment cards), CVV2 – Card Verification Value 2 (Visa payment cards))], θεωρείται ευαίσθητο δεδομένο ταυτότητας, το οποίο απαγορεύεται να αποθηκεύεται. Επιπλέον, ο Οδηγός για Εμπόρους που εξέδωσε η εταιρεία Visa (Visa Card Verification Value 2 (CVV2) Merchant Guide), απαγορεύει τη φύλαξη ή την αποθήκευση του CVV2 όταν η συναλλαγή έχει ολοκληρωθεί. Σύμφωνα με τον Οδηγό τέτοια ενέργεια απαγορεύεται και μπορεί να οδηγήσει στην επιβολή χρηματικής ποινής.

Με βάση τα πιο πάνω και τα στοιχεία που έχει θέσει υπόψη της Επιτρόπου ο παραπονούμενος για συλλογή και καταχώρηση σε ηλεκτρονικό υπολογιστή του τριψήφιου αριθμού που αναγράφεται στο πίσω μέρος της κάρτας του, τα οποία δεν έχουν αντικρουστεί από τον καθ’ ου το παράπονο, η Επίτροπος αποφάσισε να επιβάλει στην εταιρεία PrimeTel τη χρηματική ποινή των €2000 για τη διάπραξη παράβασης του άρθρου 4(1)(γ) του Νόμου 138(Ι)/2001 και να της απευθύνει υπόδειξη για άμεση διαγραφή του τριψήφιου αριθμού της κάρτας του παραπονούμενου από το αρχείο της.


ΑΠΟΦΑΣΗ


Ο κ. Α. με επιστολή του ημερομηνίας 2/9/2009 υπέβαλε παράπονο στο Γραφείο μου αναφορικά με τη συλλογή από την εταιρεία PrimeTel των δεδομένων που αναγράφονται στην κάρτα του (visa electron) και την καταχώρηση τους σε ηλεκτρονικό υπολογιστή κατά την παρουσία του στο υποκατάστημα της Εταιρείας στην οδό Ζήνας Κάνθερ 12, στη Λευκωσία, για εξόφληση του λογαριασμού του.

2. Με βάση την αρμοδιότητα εξέτασης παραπόνων, που παρέχει στον Επίτροπο Προστασίας Δεδομένων Προσωπικού Χαρακτήρα το άρθρο 23(ιβ) του περί Επεξεργασίας Δεδομένων Προσωπικού Χαρακτήρα (Προστασία του Ατόμου) Νόμου του 2001 (Νόμος 138 (Ι) / 2001), όπως τροποποιήθηκε (στο εξής «ο Νόμος»), με την ταυτάριθμη επιστολή του Γραφείου μου, ημερομηνίας 21/11/2009, ενημερώθηκε ο Διευθυντής της Εταιρείας ότι το Γραφείο μου εξετάζει το παράπονο του κ. Α. και του ζητήθηκαν οι θέσεις/απόψεις του σε περίπτωση που πράγματι η Εταιρεία συλλέγει και καταχωρεί σε ηλεκτρονικό υπολογιστή τα δεδομένα που αναγράφονται στις κάρτες των πελατών της και οι λόγοι για την ενέργεια της αυτή, στην οποία όμως δεν υπήρξε ανταπόκριση.

3. Με επιστολή του Γραφείου μου, με ημερομηνία 14/01/2010, κλήθηκε ο Διευθυντής της εταιρείας PrimeTel να αναφέρει τις θέσεις/απόψεις του μέχρι τις 29/01/2010, στην οποία και πάλι δεν υπήρξε ανταπόκριση.
4. Με επιστολή του Γραφείου μου, με ημερομηνία 25/02/2010, η οποία απεστάλη τόσο ταχυδρομικώς όσο και μέσω τηλεομοιότυπου, ενημερώθηκε ο Διευθυντή της εταιρείας PrimeTel ότι αν δεν απαντήσει μέχρι τις 15/03/2010 η υπόθεση θα εξεταστεί βάσει των πληροφοριών που δόθηκαν από τον παραπονούμενο.

5.1. Σε απαντητική επιστολή του ο Διευθυντής Ρυθμιστικών Θεμάτων και Διασύνδεσης της εταιρείας PrimeTel, με ημερομηνία 15/03/2010, απολογήθηκε στο Γραφείο μου για την καθυστέρηση στην απάντηση της εταιρείας PrimeTel, γεγονός που οφειλόταν στην προσπάθεια της για εξακρίβωση των περιστατικών της υπόθεσης και στην έρευνα η οποία διεξήχθη. Συνεχίζοντας, στην επιστολή του ο Διευθυντής ανάφερε, μεταξύ άλλων, ότι:

Ø Η εταιρεία PrimeTel ήταν δύσκολο να εντοπίσει τον πελάτη για τον οποίο γίνεται αναφορά διότι: (α) πολλοί πελάτες της εταιρείας PrimeTel έχουν το ίδιο ονοματεπώνυμο, (β) κανένας υπάλληλος στο υποκατάστημα της εταιρείας PrimeTel όπου ο παραπονούμενος εξόφλησε το λογαριασμό του θυμόταν τέτοιο περιστατικό, και (γ) δεν γνωρίζει τη χρονική περίοδο που έγινε το περιστατικό, το όνομα του υπαλλήλου του υποκαταστήματος της εταιρείας PrimeTel που εξυπηρέτησε τον παραπονούμενο και λεπτομέρειες του τιμολογίου ή της απόδειξης πληρωμής για να είναι σε θέση να διερευνήσει το περιστατικό.
Ø Η εταιρεία PrimeTel δεν αποθηκεύει τα δεδομένα που αναγράφονται στις κάρτες των πελατών της.
Ø Τα στοιχεία των πελατών της εταιρείας PrimeTel, κατά την πληρωμή των τιμολογίων, εισάγονται στο σύστημα αυτόματα χωρίς της παρέμβαση των υπαλλήλων της.
Ø Οι πληρωμές γίνονται με τρόπο ώστε η πιστωτική κάρτα περνά από ειδικό μηχάνημα «card reader», όπου τα στοιχεία διαβιβάζονται αυτόματα στην εταιρεία JCC Payment Systems Ltd, με διαδικασία που υπάρχει από την τελευταία και γίνεται αυτόματα η πληρωμή.
Ø Στην περίπτωση πελατών της εταιρείας PrimeTel που επισκέπτονται ένα από τα καταστήματα της με σκοπό την πληρωμή του λογαριασμού τους με πιστωτική κάρτα, τα στοιχεία της κάρτας δεν αποθηκεύονται από αυτή.
5.2. Με την ίδια επιστολή ο Διευθυντής ζήτησε περαιτέρω στοιχεία ή πληροφορίες που θα τους βοηθούσαν να διαπιστώσουν αν ο παραπονούμενος είχε επαφή με συγκεκριμένο υπάλληλο της εταιρείας PrimeTel προκειμένου να διερευνήσουν το περιστατικό που αφορά το παράπονο του κ. Α.

6. Με επιστολή του Γραφείου μου, με ημερομηνία 19 Μάιου 2010, η οποία εστάλη με ηλεκτρονικό μήνυμα, ενημερώθηκε ο παραπονούμενος ότι ο καθ’ ου το παράπονο ζήτησε να έχει επιπρόσθετες λεπτομέρειες / πληροφορίες που να επιβεβαιώνουν τους ισχυρισμούς του, όπως για παράδειγμα, αντίγραφο τιμολογίου/απόδειξης πληρωμής, το όνομα του υπαλλήλου που, όπως ισχυρίζεται ο ίδιος, καταχώρησε σε ηλεκτρονικό υπολογιστή τα στοιχεία της κάρτας του, τον αριθμό της ταυτότητάς του και στοιχεία επικοινωνίας του, προκειμένου η εταιρεία να βοηθηθεί στη διερεύνηση του συγκεκριμένου περιστατικού που αφορά το παράπονο του.

7.1. Σε απαντητική επιστολή του, η οποία εστάλη μέσω τηλεομοιότυπου, με ημερομηνία 28/05/2010, ο παραπονούμενος απέστειλε στο Γραφείο μου τα πιο κάτω στοιχεία:
(α) Αντίγραφο του τιμολογίου/απόδειξης πληρωμής του λογαριασμού του ημερ. 31/08/2009, στο οποίο αναγράφεται ο αριθμός της κάρτας του,
(β) Αριθμό Πολιτικής Ταυτότητας, και
(γ) Αριθμό κινητού τηλεφώνου.

7.2. Με την ίδια επιστολή του ο παραπονούμενος πληροφόρησε, επίσης, το Γραφείο μου ότι δεν γνωρίζει το όνομα του υπαλλήλου που τον εξυπηρέτησε κατά την εξόφληση του λογαριασμού του.

7.3. Με επιστολή του Γραφείου μου, με ημερομηνία 16/03/2010, διαβιβάστηκαν στο Διευθυντή της εταιρείας PrimeTel τα πιο πάνω στοιχεία που μας ανέφερε ο παραπονούμενος και του ζητήθηκε όπως, σε σύντομο χρονικό διάστημα, ενημερώσει το Γραφείο μου για τις ενέργειες στις οποίες θα προβεί για διερεύνηση του συγκεκριμένου περιστατικού και, αν οι ισχυρισμοί του παραπονούμενου ευσταθούν, να αναφέρει στο Γραφείο μου τους λόγους για τους οποίους τα στοιχεία της κάρτας του καταχωρήθηκαν σε ηλεκτρονικό υπολογιστή της εταιρείας PrimeTel.

7.4. Επειδή δεν λήφθηκε από την εταιρεία οποιαδήποτε απάντηση με επιστολή του Γραφείου μου με ημερομηνία 6/08/2010, κλήθηκε ο καθ’ ου το παράπονο όπως το πράξει μέχρι τις 23/08/2010.

7.5. Παρήλθε και αυτή η προθεσμία άπρακτη, γι’ αυτό με επιστολή του Γραφείου μου, με ημερομηνία 29/09/2010, ο καθ’ ου το παράπονο πληροφορήθηκε ότι εκ πρώτης όψεως υπήρχε παράβαση της υποχρέωσης του εκ του άρθρου 4(1) (γ) του περί Επεξεργασίας Δεδομένων Προσωπικού Χαρακτήρα (Προστασία του Ατόμου) Νόμου του 2001 (Νόμος 138 (Ι) / 2001), όπως τροποποιήθηκε, (στο εξής «ο Νόμος»), και του ζητήθηκε να μου υποβάλει τις θέσεις/απόψεις του για τα πιο πάνω και τους λόγους για τους οποίους πιστεύει ότι δεν πρέπει να του επιβληθεί οποιαδήποτε διοικητική κύρωση εντός προθεσμίας 6 εβδομάδων από την πιο πάνω ημερομηνία.

7.6. Ο καθ’ ου το παράπονο δεν έχει υποβάλει μέχρι σήμερα οποιεσδήποτε θέσεις / απόψεις.

8.1. Σύμφωνα με τις διατάξεις του άρθρου 2 του Νόμου «δεδομένα προσωπικού χαρακτήρα» ή «δεδομένα» σημαίνει «κάθε πληροφορία που αναφέρεται σε υποκείμενο των δεδομένων που βρίσκεται εν ζωή.».

8.2. Σύμφωνα με τις διατάξεις του ίδιου άρθρου «επεξεργασία» ή «επεξεργασία δεδομένων προσωπικού χαρακτήρα» σημαίνει «κάθε εργασία ή σειρά εργασιών που πραγματοποιείται από οποιοδήποτε πρόσωπο με ή χωρίς τη βοήθεια αυτοματοποιημένων μεθόδων και που εφαρμόζεται σε δεδομένα προσωπικού χαρακτήρα και περιλαμβάνει τη συλλογή, καταχώρηση, οργάνωση, διατήρηση, αποθήκευση, τροποποίηση, εξαγωγή, χρήση, διαβίβαση, διάδοση ή κάθε άλλης μορφής διάθεση, τη συσχέτιση ή το συνδυασμό, τη διασύνδεση, το κλείδωμα, τη διαγραφή ή την καταστροφή.».

8.3. Όπως προβλέπεται στην παράγραφο (γ) του εδαφίου (1) του άρθρου 4 του Νόμου τα δεδομένα προσωπικού χαρακτήρα για να τύχουν νόμιμης επεξεργασίας θα πρέπει ο υπεύθυνος επεξεργασίας να διασφαλίσει ότι τα δεδομένα προσωπικού χαρακτήρα –
«(γ) είναι συναφή, πρόσφορα και όχι περισσότερα από ότι κάθε φορά απαιτείται ενόψει των σκοπών της επεξεργασίας.».

9.1. Ο αριθμός τραπεζικής κάρτας είναι πληροφορία οικονομικής φύσεως και συνιστά προσωπικό δεδομένο (άρθρο 2 του Νόμου). Επομένως, η συλλογή και η καταχώρηση του σε αρχείο, θεωρείται μορφή επεξεργασίας (άρθρο 2 του Νόμου) και εμπίπτει στις διατάξεις του Νόμου. Τέτοια επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι νόμιμη εφόσον τα στοιχεία που συλλέγονται είναι συναφή, πρόσφορα και όχι περισσότερα από όσα κάθε φορά απαιτείται ενόψει των σκοπών της επεξεργασίας (άρθρο 4 (1) (γ) του Νόμου).

9.2. Δεδομένου ότι το ποσό της οφειλής του παραπονούμενου εξοφλήθηκε μέσω του μηχανήματος αυτόματης πληρωμής, στα πλαίσια του σκοπού εξόφλησης λογαριασμού, η καταχώρηση σε ηλεκτρονικό υπολογιστή του τριψήφιου αριθμού που βρίσκεται στο πίσω μέρος αυτής κρίνεται υπερβολική και μη συναφής σε σχέση με το σκοπό.

9.3. Έχοντας υπόψη τις δυνατότητες που παρέχει η τεχνολογία και το Διαδίκτυο, η αποθήκευση του ονόματος του κατόχου της κάρτας, του αριθμού της κάρτας σε συνδυασμό με τον τριψήφιο αριθμό που βρίσκεται στο πίσω μέρος της και της ημερομηνίας λήξης της κάρτας μπορούν να γίνουν στόχος εγκληματιών, οι οποίοι μπορούν να εισχωρήσουν στο σύστημα και να ανακτήσουν τα στοιχεία με σκοπό να τα χρησιμοποιήσουν για να διαπράξουν μία απάτη.

10.1. Το Payment Card Industry Security Standards Council είναι ένα ανοικτό παγκόσμιο φόρουμ, που ξεκίνησε το 2006, και είναι υπεύθυνο για την ανάπτυξη, διαχείριση, εκπαίδευση και ευαισθητοποίηση του Payment Card Industry Security Standards, συμπεριλαμβανομένου του διεθνούς προτύπου ασφαλείας Payment Card Industry Data Security Standard (PCI DSS). Τα πέντε ιδρυτικά μέλη του Συμβουλίου είναι οι εταιρείες global payment brands - American Express, Discover Financial Services, JCB International, MasterCard Worldwide και Visa Inc – οι οποίες έχουν συμφωνήσει να ενσωματώσουν το διεθνές πρότυπο PCI DSS στις τεχνικές απαιτήσεις για συμμόρφωσή τους με την ασφάλεια των δεδομένων [https://www.pcisecuritystandards.org/organization_info/index.php].
Το PCI DSS αναπτύχθηκε για να ενθαρρύνει και να ενισχύσει την ασφάλεια των δεδομένων του κατόχου κάρτας και να διευκολύνει την ομοιόμορφη υιοθέτηση μέτρων ασφαλείας δεδομένων παγκόσμια. Το πρότυπο αυτό αποτελεί τη βάση των τεχνικών και λειτουργικών απαιτήσεων που αποσκοπούν στην προστασία των δεδομένων του κατόχου κάρτας και εφαρμόζεται σε όλους τους φορείς που εμπλέκονται στην επεξεργασία πληρωμών με κάρτα συμπεριλαμβανομένων των εμπόρων, των φορέων παροχής υπηρεσιών, καθώς και όλων των μερών που αποθηκεύουν, επεξεργάζονται ή μεταδίδουν δεδομένα κατόχων καρτών [https://www.pcisecuritystandards.org/documents/pci_dss_v2.pdf].

10.2. Το PCI DSS προβλέπει ότι ο τριψήφιος αριθμός που βρίσκεται στο πίσω μέρος της κάρτας (CAV2/CVC2/CVV2/CID [CID – Card Identification Number (American Express and Discover payment cards), CAV2 – Card Authentication Value 2 (JCB payment cards), CVC2 – Card Validation Code 2 (MasterCard payment cards), CVV2 – Card Verification Value 2 (Visa payment cards))] θεωρείται ευαίσθητο δεδομένο ταυτότητας, το οποίο απαγορεύεται να αποθηκεύεται/φυλάγεται.

11. Επιπλέον, ο Οδηγός για Εμπόρους που εξέδωσε η εταιρεία Visa (Visa Card Verification Value 2 (CVV2) Merchant Guide), απαγορεύει τη φύλαξη ή την αποθήκευση του CVV2 όταν η συναλλαγή έχει ολοκληρωθεί. Σύμφωνα με τον Οδηγό τέτοια ενέργεια απαγορεύεται και μπορεί να οδηγήσει στην επιβολή χρηματικής ποινής.

12.1. Σύμφωνα με την παράγραφο (γ) του άρθρου 23 του Νόμου ο Επίτροπος έχει τις εξής αρμοδιότητες:
(γ) Απευθύνει συστάσεις και υποδείξεις στους υπεύθυνους επεξεργασίας ή στους τυχόν εκπροσώπους τους και δίδει κατά την κρίση του δημοσιότητα σε αυτές.».

12.2. Βάσει των άρθρων 23(στ) και 25(1) και (2) του Νόμου:
«(1) Ο Επίτροπος μπορεί να επιβάλει στους υπεύθυνους επεξεργασίας ή στους τυχόν εκπροσώπους τους τις ακόλουθες διοικητικές κυρώσεις, για παράβαση των υποχρεώσεων τους που απορρέουν από το Νόμο και από κάθε άλλη ρύθμιση που αφορά την προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα:
(α) Προειδοποίηση, με αποκλειστική προθεσμία για άρση της παράβασης,
(β) Χρηματική ποινή μέχρι €8,540,
(γ) προσωρινή ανάκληση άδειας,
(δ) οριστική ανάκληση άδειας,
(ε) καταστροφή αρχείου ή διακοπή επεξεργασίας και καταστροφή των σχετικών δεδομένων.
(2) Οι υπό στοιχεία (β), (γ), (δ) και (ε) διοικητικές κυρώσεις που αναφέρονται στο εδάφιο (1) επιβάλλονται ύστερα από ακρόαση του υπεύθυνου επεξεργασίας ή του εκπροσώπου του. Είναι ανάλογες προς τη βαρύτητα της παράβασης που καταλογίζεται. Οι υπό στοιχεία (γ), (δ) και (ε) διοικητικές κυρώσεις επιβάλλονται σε περιπτώσεις ιδιαίτερα σοβαρής καθ’ υποτροπήν παράβασης. Χρηματική ποινή δύναται να επιβληθεί σωρευτικά και με τις υπό στοιχεία (γ), (δ) και (ε) κυρώσεις. Αν επιβληθεί η κύρωση της καταστροφής αρχείου, για την καταστροφή ευθύνεται ο υπεύθυνος επεξεργασία αρχείου, στον οποίο δύναται να επιβληθεί και χρηματική ποινή για μη συμμόρφωση.».

13. Με βάση τα πιο πάνω και τα στοιχεία που έχει θέσει υπόψη μου ο παραπονούμενος για συλλογή και καταχώρηση σε ηλεκτρονικό υπολογιστή του τριψήφιου αριθμού που αναγράφεται στο πίσω μέρος της κάρτας του κατά την παρουσία του στο υποκατάστημα της Εταιρείας στην οδό Ζήνας Κάνθερ 12 στη Λευκωσία για εξόφληση του λογαριασμού του, τα οποία δεν έχουν αντικρουστεί από τον καθ’ ου το παράπονο, αποφάσισα να επιβάλω στην εταιρεία PrimeTel, υπό την ιδιότητα της ως υπεύθυνου επεξεργασίας αρχείου, τη χρηματική ποινή των €2000 (δύο χιλιάδων ευρώ) για τη διάπραξη παράβασης της υποχρέωσης της εκ του άρθρου 4(1)(γ) του Νόμου και να της απευθύνω υπόδειξη για άμεση διαγραφή του τριψήφιου αριθμού της κάρτας του παραπονούμενου από το αρχείο της.


Τούλα Πολυχρονίδου
Επίτροπος Προστασίας Δεδομένων
Προσωπικού Χαρακτήρα

27 Δεκεμβρίου 2010

Back To Top