ΑΠΔΠΧ: Ποιοι κίνδυνοι υπάρχουν στις ανέπαφες συναλλαγές - Θα πρέπει να παρέχεται η δυνατότητα απενεργοποίησης της ανέπαφης λειτουργίας
Με την υπ' αριθμ 48/2018 απόφασή της η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα έκρινε ζητήματα επεξεργασίας προσωπικών δεδομένων μέσω πιστωτικών/χρεωστικών καρτών για ανέπαφες («contactless») συναλλαγές.
Η υπόθεση έφτασε στην Αρχή από τη Διεύθυνση Προστασίας Καταναλωτή του Υπουργείου Οικονομίας, στην οποία υποβλήθηκε καταγγελία από πελάτη Τράπεζα κατά της Τράπεζας, αναφορικά με τη χρεωστική (debit) κάρτα που του χορήγησε προς αντικατάσταση της παλαιάς του κάρτας.
Η νέα αυτή κάρτα υποστηρίζει ανέπαφες (contactless) συναλλαγές – δηλαδή συναλλαγές που μπορούν να πραγματοποιηθούν χωρίς την εισαγωγή PIN από μεριάς του, παρά μόνο με επίδειξη της κάρτας, χωρίς επαφή ή τοποθέτηση, στην αντίστοιχη συσκευή-«αναγνώστη» (reader), εφόσον η οικονομική συναλλαγή δεν ξεπερνάει το ύψος των εικοσιπέντε (25) Ευρώ.
Ο καταγγέλλων ισχυρίζεται ότι δεν έδωσε την έγκρισή του προκειμένου να του χορηγηθεί χρεωστική κάρτα με αυτά τα χαρακτηριστικά (ήτοι ανέπαφη), καθώς επίσης και ότι δεν επιθυμεί να διαθέτει τέτοια κάρτα λόγω κινδύνων ασφάλειας που πηγάζουν από τη χρήση της.
Η Τράπεζα απέστειλε στον καταγγέλλοντα απάντηση στην αντίρρησή του, στην οποία αναφέρεται, μεταξύ άλλων, ότι η δυνατότητα χρήσης της DebitMasterCard τεχνολογίας ανέπαφων συναλλαγών για αγορές αξίας μικρότερης των 25 Ευρώ χωρίς τη χρήση PIN είναι ένα υποχρεωτικό χαρακτηριστικό της κάρτας σύμφωνα με τις οδηγίες του διεθνούς οργανισμού Mastercard.
Η Τράπεζα αναφέρει επίσης στην απάντησή της ότι η νέα κάρτα πληροί όλες τις δικλείδες ασφαλείας που προβλέπουν οι διεθνείς οργανισμοί, καθώς επίσης και ότι η αντικατάσταση της παλαιάς κάρτας με τη νέα ανέπαφη κάρτα είναι σύμφωνη με τους όρους της σύμβασης με τον καταγγέλλοντα πελάτη της ως προς τη χρεωστική του κάρτα.
Σύμφωνα με το ιστορικό της απόφασης, σχετική καταγγελία υποβλήθηκε εναντίον και άλλης Τράπεζας, η οποία διαβιβάστηκε στην Άρχή από τον Συνήγορο του Καταναλωτή.
Η Αρχή, έλαβε υπόψη τις μία σειρά από νομικές και τεχνολογικές παραμέτρους, καθώς και τις διεθνείς προδιαγραφές που ακολουθούνται αναφορικά με τις ανέπαφες χρεωστικές ή/και πιστωτικές κάρτες.
Μεταξύ άλλων σημείωσε ότι στην περίπτωση καρτών της Mastercard, υπάρχει η δυνατότητα αποθήκευσης στην κάρτα του πρόσφατου ιστορικού συναλλαγών, καθώς επίσης και δυνατότητα ανέπαφης ανάγνωσης αυτών.
Η Αρχή εκτιμά ότι τα συγκεκριμένα δεδομένα σαφώς δεν είναι απολύτως απαραίτητα για τη βασική λειτουργικότητα για την οποία προορίζεται μία χρεωστική κάρτα και, ως εκ τούτου, δεν θα πρέπει εξ ορισμού να τηρούνται– πολλώ δε μάλλω χωρίς ρητή προς τούτο ενημέρωση, όπως φαίνεται ότι ισχύει στην περίπτωση της μίας εκ των δύο Τραπεζών.
Η Αρχή σημειώνει επίσης ότι η τήρηση αυτών των δεδομένων –η οποία δεν είναι υποχρεωτική βάσει των προδιαγραφών που έχει θέσει η Mastercard– εγείρει ζητήματα προστασίας προσωπικών δεδομένων αφού από τις κινήσεις της κάρτας μπορεί να δημιουργηθεί προφίλ του κατόχου της ως προς τις καταναλωτικές του συνήθειες.
Με βάση αυτά, έκρινε ότι οι εκδότες των πιστωτικών καρτών οφείλουν να λάβουν τα κατάλληλα μέτρα προκειμένου να εξασφαλίζουν τα εξής:
α) Εφόσον ο πελάτης δηλώσει ότι δεν επιθυμεί να έχει κάρτα με δυνατότητα πραγματοποίησης ανέπαφων συναλλαγών, να παρέχεται η δυνατότητα απενεργοποίησης της ανέπαφης λειτουργίας της κάρτας είτε η χορήγηση νέας, μη ανέπαφης κάρτας.
β) Εφόσον σε κάρτα που έχει χορηγηθεί σε πελάτη είναι ενεργοποιημένη η δυνατότητα τήρησης ιστορικού συναλλαγών στο chip αυτής χωρίς να έχει δώσει την ειδική προς τούτο συγκατάθεσή του, θα πρέπει ο πελάτης να ενημερωθεί σχετικώς με κάθε πρόσφορο τρόπο (π.χ. μέσω μηνύματος ηλεκτρονικού ταχυδρομείου, μέσω μηνύματος κατά τη σύνδεσή του σε προσωποποιημένες ηλεκτρονικές υπηρεσίες του υπεύθυνου επεξεργασίας, μέσω ταχυδρομικής επιστολής, κτλ.) ως προς την επεξεργασία αυτή, παρέχοντάς του τη δυνατότητα διακοπής της επεξεργασίας αυτής.
Περαιτέρω, σε κάθε νέα έκδοση/χορήγηση κάρτας, το εν λόγω χαρακτηριστικό θα πρέπει να είναι εξ αρχής απενεργοποιημένο, και να ενεργοποιείται μόνο αν υπάρχει ειδική προς τούτο συγκατάθεση του πελάτη, εφόσον έχει προηγουμένως σχετικώς ενημερωθεί για την επεξεργασία αυτή.
Διαβάστε αναλυτικά την απόφαση της ΑΠΔΠΧ:
Η απόφαση ΕΔΩ σε εκτυπώσιμη μορφή