Στην απόφαση (υπ΄αριθμόν 48/2018) η αρχή προστασίας δεδομένων προσωπικού
χαρακτήρα επισημαίνει πως η χρήση της νέας κάρτας ανέπαφων συναλλαγών,
εγείρει σοβαρούς κινδύνους για τους χρήστες της ενώ, ταυτόχρονα,
απευθύνει αυστηρή σύσταση σε δύο τραπεζικά ιδρύματα, προκειμένου να
παρέχουν τη δυνατότητα στους πελάτες τους, είτε απενεργοποίησης της
ανέπαφης λειτουργίας είτε τη χορήγηση νέας κάρτας, χωρίς αυτό το
χαρακτηριστικό.
Μετά από τους ελέγχους που έκανε, κατέληξε πως η χρήση των εν λόγω χρεωστικών καρτών εγκυμονεί δύο σοβαρούς κινδύνους για τους πολίτες.
Πρώτον, εάν η κάρτα έρθει στα χέρια κακόβουλου τρίτου (π.χ. απώλεια από τον κάτοχο της) τότε αυτός θα μπορεί χωρίς την γνώση του PIN να πραγματοποιεί σειρά αγορών, αξίας μέχρι 25 ευρώ έκαστη.
Δεύτερον, δεδομένου ότι μία τέτοια κάρτα μπορεί να εκπέμψει μέσω ραδιοκυμάτων υψηλής συχνότητας, προσωπικά δεδομένα όπως τον αριθμό και την ημερομηνία λήξης της, δίνεται η δυνατότητα σε κάποιον που διαθέτει συσκευή ανάγνωσης αυτών των σημάτων και βρεθεί στην εμβέλεια τους, να τα καταγράψει. «Η καταγραφή αυτή μπορεί να γίνει με κατάλληλο εξοπλισμό που δεν είναι δαπανηρός ή με επίσης χαμηλού κόστους λογισμικό που μπορεί να εγκατασταθεί σε «έξυπνες κινητές συσκευές», προσθέτοντας πως «έχοντας κάποιος κακόβουλος γνώση του αριθμού της κάρτας και της ημερομηνίας λήξης αυτής, μπορεί να επιχειρήσει να πραγματοποιήσει αγορά προϊόντος μέσω Διαδικτύου με χρέωση-πίστωση στον τραπεζικό λογαριασμό με τον οποίο είναι συνδεδεμένη η κάρτα, η αγορά δε αυτή ενδέχεται να ολοκληρωθεί επιτυχώς εφόσον το σχετικό ηλεκτρονικό κατάστημα δεν εφαρμόζει τα δέοντα μέτρα ασφάλειας».
Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα καταλήγει-στην απόφαση της- ότι, ενόψει των κινδύνων, των πιθανοτήτων εμφάνισής τους και της σοβαρότητάς τους για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων πρέπει οι Τράπεζες σε κάθε περίπτωση να λαμβάνουν την συγκατάθεση των πελατών τους προκειμένου να τους χορηγήσουν τις κάρτες αλλά και επιπλέον να τους «παρέχουν είτε τη δυνατότητα απενεργοποίησης της ανέπαφης λειτουργίας ή εναλλακτικώς, τη χορήγηση νέας κάρτας χωρίς ανέπαφη λειτουργία».
Επιπλέον, η Αρχή απευθύνει σύσταση στα πιστωτικά ιδρύματα στη περίπτωση που η κάρτα που έχει χορηγηθεί σε πελάτη έχει ενεργοποιημένη τη δυνατότητα τήρησης ιστορικού συναλλαγών στο chip της, χωρίς αυτός να έχει δώσει την συγκατάθεσή του, τότε θα πρέπει να ενημερωθεί με κάθε πρόσφορο τρόπο (π.χ. μέσω μηνύματος ηλεκτρονικού ταχυδρομείου, μέσω μηνύματος κατά τη σύνδεσή του σε προσωποποιημένες ηλεκτρονικές υπηρεσίες του υπεύθυνου επεξεργασίας, μέσω ταχυδρομικής επιστολής, κτλ.). Σε κάθε περίπτωση-σύμφωνα με την απόφαση- οι τράπεζες θα πρέπει να δίνουν στους πελάτες του τη δυνατότητα να διακόψουν τη δυνατότητα τήρησης ιστορικού. Επιπλέον, σε κάθε νέα έκδοση-χορήγηση κάρτας, η εν λόγω δυνατότητα θα πρέπει να είναι εξ αρχής απενεργοποιημένη και να ενεργοποιείται μόνο με συγκατάθεση του χρήστη της, καταλήγει η Αρχή στο σκεπτικό της απόφασης της.
Η Αρχή επιλήφθηκε του ζητήματος με αφορμή τις καταγγελίες δύο πολιτών οι οποίες διαβιβάστηκαν ενώπιον της από τη Διεύθυνση Προστασίας του Καταναλωτή του Υπουργείου Οικονομίας, Υποδομών, Ναυτιλίας και Τουρισμού και τον Συνήγορο του Καταναλωτή. Σημειώνεται πως η Αρχή με έγγραφο της ζήτησε πληροφορίες για τις ανέπαφες κάρτες από όλα τα πιστωτικά ιδρύματα της χώρας, πέραν των δύο τα οποία αφορούσαν οι καταγγελίες των πολιτών που έφτασαν ενώπιον της. Στις περιπτώσεις που εξέτασε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα οι τράπεζες αντικατέστησαν τις χρεωστικές κάρτες των καταγγελλόντων πελατών τους με τις νέες, υποχρεωτικά, χωρίς αναλυτική ενημέρωση για τα επιμέρους χαρακτηριστικά της εν λόγω επεξεργασίας όπως τα ποια δεδομένα μεταδίδονται ανέπαφα ή ποια δεδομένα τηρούνται στο chip της κάρτας.
Μετά από τους ελέγχους που έκανε, κατέληξε πως η χρήση των εν λόγω χρεωστικών καρτών εγκυμονεί δύο σοβαρούς κινδύνους για τους πολίτες.
Πρώτον, εάν η κάρτα έρθει στα χέρια κακόβουλου τρίτου (π.χ. απώλεια από τον κάτοχο της) τότε αυτός θα μπορεί χωρίς την γνώση του PIN να πραγματοποιεί σειρά αγορών, αξίας μέχρι 25 ευρώ έκαστη.
Δεύτερον, δεδομένου ότι μία τέτοια κάρτα μπορεί να εκπέμψει μέσω ραδιοκυμάτων υψηλής συχνότητας, προσωπικά δεδομένα όπως τον αριθμό και την ημερομηνία λήξης της, δίνεται η δυνατότητα σε κάποιον που διαθέτει συσκευή ανάγνωσης αυτών των σημάτων και βρεθεί στην εμβέλεια τους, να τα καταγράψει. «Η καταγραφή αυτή μπορεί να γίνει με κατάλληλο εξοπλισμό που δεν είναι δαπανηρός ή με επίσης χαμηλού κόστους λογισμικό που μπορεί να εγκατασταθεί σε «έξυπνες κινητές συσκευές», προσθέτοντας πως «έχοντας κάποιος κακόβουλος γνώση του αριθμού της κάρτας και της ημερομηνίας λήξης αυτής, μπορεί να επιχειρήσει να πραγματοποιήσει αγορά προϊόντος μέσω Διαδικτύου με χρέωση-πίστωση στον τραπεζικό λογαριασμό με τον οποίο είναι συνδεδεμένη η κάρτα, η αγορά δε αυτή ενδέχεται να ολοκληρωθεί επιτυχώς εφόσον το σχετικό ηλεκτρονικό κατάστημα δεν εφαρμόζει τα δέοντα μέτρα ασφάλειας».
Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα καταλήγει-στην απόφαση της- ότι, ενόψει των κινδύνων, των πιθανοτήτων εμφάνισής τους και της σοβαρότητάς τους για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων πρέπει οι Τράπεζες σε κάθε περίπτωση να λαμβάνουν την συγκατάθεση των πελατών τους προκειμένου να τους χορηγήσουν τις κάρτες αλλά και επιπλέον να τους «παρέχουν είτε τη δυνατότητα απενεργοποίησης της ανέπαφης λειτουργίας ή εναλλακτικώς, τη χορήγηση νέας κάρτας χωρίς ανέπαφη λειτουργία».
Επιπλέον, η Αρχή απευθύνει σύσταση στα πιστωτικά ιδρύματα στη περίπτωση που η κάρτα που έχει χορηγηθεί σε πελάτη έχει ενεργοποιημένη τη δυνατότητα τήρησης ιστορικού συναλλαγών στο chip της, χωρίς αυτός να έχει δώσει την συγκατάθεσή του, τότε θα πρέπει να ενημερωθεί με κάθε πρόσφορο τρόπο (π.χ. μέσω μηνύματος ηλεκτρονικού ταχυδρομείου, μέσω μηνύματος κατά τη σύνδεσή του σε προσωποποιημένες ηλεκτρονικές υπηρεσίες του υπεύθυνου επεξεργασίας, μέσω ταχυδρομικής επιστολής, κτλ.). Σε κάθε περίπτωση-σύμφωνα με την απόφαση- οι τράπεζες θα πρέπει να δίνουν στους πελάτες του τη δυνατότητα να διακόψουν τη δυνατότητα τήρησης ιστορικού. Επιπλέον, σε κάθε νέα έκδοση-χορήγηση κάρτας, η εν λόγω δυνατότητα θα πρέπει να είναι εξ αρχής απενεργοποιημένη και να ενεργοποιείται μόνο με συγκατάθεση του χρήστη της, καταλήγει η Αρχή στο σκεπτικό της απόφασης της.
Η Αρχή επιλήφθηκε του ζητήματος με αφορμή τις καταγγελίες δύο πολιτών οι οποίες διαβιβάστηκαν ενώπιον της από τη Διεύθυνση Προστασίας του Καταναλωτή του Υπουργείου Οικονομίας, Υποδομών, Ναυτιλίας και Τουρισμού και τον Συνήγορο του Καταναλωτή. Σημειώνεται πως η Αρχή με έγγραφο της ζήτησε πληροφορίες για τις ανέπαφες κάρτες από όλα τα πιστωτικά ιδρύματα της χώρας, πέραν των δύο τα οποία αφορούσαν οι καταγγελίες των πολιτών που έφτασαν ενώπιον της. Στις περιπτώσεις που εξέτασε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα οι τράπεζες αντικατέστησαν τις χρεωστικές κάρτες των καταγγελλόντων πελατών τους με τις νέες, υποχρεωτικά, χωρίς αναλυτική ενημέρωση για τα επιμέρους χαρακτηριστικά της εν λόγω επεξεργασίας όπως τα ποια δεδομένα μεταδίδονται ανέπαφα ή ποια δεδομένα τηρούνται στο chip της κάρτας.
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου