Επεξεργασία προσωπικών δεδομένων μέσω πιστωτικών/χρεωστικών καρτών για ανέπαφες («contactless») συναλλαγές

Κατηγορία
Απόφαση
Ημερομηνία
Αριθμός πράξης
48
Θεματική ενότητα
Περίληψη

Η Αρχή εξέτασε το ζήτημα της επεξεργασίας προσωπικών δεδομένων μέσω ανέπαφων συναλλαγών με χρεωστικές/πιστωτικές κάρτες, κατόπιν σχετικών καταγγελιών που διαβιβάστηκαν από τη Δ/νση Προστασίας Καταναλωτή του Υπουργείου Οικονομίας αλλά και από τον Συνήγορο του Καταναλωτή. Οι εν λόγω, συναφούς αντικειμένου, καταγγελίες αφορούσαν την Εθνική Τράπεζα και την Τράπεζα Πειραιώς αντίστοιχα. Η Αρχή, με την εν λόγω απόφαση, αφού εξέτασε ζητήματα ασφάλειας της εν λόγω επεξεργασίας καθώς επίσης και τους σχετικούς κινδύνους, και λαμβάνοντας υπόψη και τις διεθνείς προδιαγραφές που ακολουθούνται αναφορικά με τις ανέπαφες χρεωστικές ή/και πιστωτικές κάρτες, κατόπιν των σχετικών έγγραφων πληροφοριών που δόθηκαν από τις εταιρείες Mastercard και Visa, απηύθυνε σύσταση στις ως άνω Τράπεζες προκειμένου είτε να παρέχουν τη δυνατότητα απενεργοποίησης της ανέπαφης λειτουργίας μιας τέτοιας κάρτας είτε να χορηγούν νέα, μη ανέπαφη κάρτα, εφόσον ο πελάτης δηλώσει ότι δεν επιθυμεί να έχει κάρτα με δυνατότητα πραγματοποίησης ανέπαφων συναλλαγών.

Περαιτέρω, στο πλαίσιο εξέτασης του εν λόγω ζητήματος, η Αρχή διαπίστωσε ότι σε ορισμένες περιπτώσεις τηρείται στο chip της κάρτας ιστορικό πρόσφατων συναλλαγών που πραγματοποιήθηκαν με χρήση αυτής, το οποίο μπορεί επίσης να αναγνωσθεί ανέπαφα. Ως προς το ζήτημα αυτό, η Αρχή, με την ως άνω απόφαση, ζήτησε από τις Τράπεζες το εξής: εφόσον σε κάρτα που έχει χορηγηθεί σε πελάτη είναι ενεργοποιημένη η δυνατότητα τήρησης ιστορικού συναλλαγών στο chip αυτής χωρίς να έχει δώσει την ειδική προς τούτο συγκατάθεσή του, θα πρέπει ο πελάτης να ενημερωθεί σχετικώς με κάθε πρόσφορο τρόπο (π.χ. μέσω μηνύματος ηλεκτρονικού ταχυδρομείου, μέσω μηνύματος κατά τη σύνδεσή του σε προσωποποιημένες ηλεκτρονικές υπηρεσίες του υπευθύνου επεξεργασίας, μέσω ταχυδρομικής επιστολής κ.λπ.) ως προς την επεξεργασία αυτή, παρέχοντάς του τη δυνατότητα διακοπής της επεξεργασίας αυτής. Περαιτέρω, σε κάθε νέα έκδοση/χορήγηση κάρτας, το εν λόγω χαρακτηριστικό θα πρέπει να είναι εξ αρχής απενεργοποιημένο, και να ενεργοποιείται μόνο αν υπάρχει ειδική προς τούτο συγκατάθεση του πελάτη, εφόσον έχει προηγουμένως σχετικώς ενημερωθεί για την επεξεργασία αυτή.

PDF Απόφασης

Λεωφ. Κηφισίας 1-3, 11523 Αθήνα
Τ: 210 6475 655 • E: info@dpa.gr • www.dpa.gr