Ο καταγγέλλων, νόμιμος εκπρόσωπος Ο.Ε. και πελάτης της Τράπεζας Alpha Bank, στρέφεται κατά της προαναφερόμενης διαμαρτυρόμενος για μη ικανοποίηση του δικαιώματος πρόσβασης σε προσωπικά του δεδομένα, έπειτα από περιστατικό εξαπάτησης των εκπροσώπων της εν λόγω εταιρείας, οι οποίοι υπήρξαν θύματα ηλεκτρονικής απάτης. Συγκεκριμένα, μετά την αυτοπρόσωπη παρουσία του καταγγέλλοντος στο κατάστημα της καταγγελλόμενης Τράπεζας, ακολούθησε εξώδικη διαμαρτυρία του με την οποία ο ίδιος άσκησε δικαίωμα πρόσβασης σε όλα τα αρχεία καταγραφής (log files) που τηρούσε η Τράπεζα σε σχέση με τη διάδραση της ομόρρυθμης εταιρείας τους με την ηλεκτρονική πλατφόρμα (web banking) κατά την κρίσιμη περίοδο, καθώς και στο αντίγραφο του οπτικού υλικού από το σύστημα βιντεοεπιτήρησης (CCTV) του καταστήματος, στο οποίο είχε καταγραφεί η ανωτέρω επίσκεψη του καταγγέλλοντος. Ωστόσο η καταγγελλόμενη δεν ενημέρωσε σχετικά για την παράταση της προθεσμίας του άρθρου 12 §3 ΓΚΠΔ κατά ένα μήνα, ούτε για τους λόγους της καθυστέρησης, ενώ σε συμπληρωματική καταγγελία του πελάτη της (και με τη χορήγηση σε εκείνον των ζητηθέντων αρχείων καταγραφής), ενημέρωσε τον ίδιο ότι το αίτημά του για παραλαβή αντιγράφου του βιντεοληπτικού υλικού δεν μπορεί να ικανοποιηθεί, διότι το εν λόγω δεν είχε τηρηθεί στο αρχείο της λόγω παρέλευσης του χρόνου τήρησης. Σύμφωνα με το σκεπτικό της Αρχής, η έγγραφη επιβεβαίωση προς τον καταγγέλλοντα, με την ίδια επιστολή, ότι είχε πραγματοποιηθεί επίσκεψη στο κατάστημα σε συγκεκριμένη ημερομηνία, δεν συνιστά ικανοποίηση του κατά το άρθρο 15 §3 δικαιώματος πρόσβασης σε αντίγραφο των δεδομένων, λαμβάνοντας υπόψη και το ότι ο εικαζόμενος σκοπός του υποκειμένου για τον οποίο ασκείται το δικαίωμα δεν πρέπει να ενδιαφέρει τον υπεύθυνο επεξεργασίας, ο οποίος οφείλει να το ικανοποιεί χωρίς να εξετάζει τα κίνητρα του υποκειμένου και δεν απαλλάσσεται από την υποχρέωση αυτή ανταποκρινόμενος κατ’ επιλογήν του «στο ουσιαστικό σκέλος του αιτήματος» του υποκειμένου. Παράλληλα, εφόσον ασκηθεί δικαίωμα πρόσβασης από το υποκείμενο των δεδομένων οποιαδήποτε στιγμή εντός του χρόνου τήρησης του οπτικού υλικού (45 ημερών), ο οποίος είναι γνωστός στα υποκείμενα των δεδομένων βάσει της σχετικής ενημέρωσης, η Τράπεζα, ως υπεύθυνος επεξεργασίας, αποκτά την υποχρέωση διατήρησης του σχετικού αποσπάσματος του οπτικού υλικού για τον απαιτούμενο χρόνο, ώστε να είναι σε θέση να ικανοποιήσει το ασκηθέν δικαίωμα πρόσβασης. Κατά συνέπεια, μετά τη λήψη αιτήματος πρόσβασης σε προσωπικά δεδομένα, ο υπεύθυνος επεξεργασίας οφείλει να προβαίνει άμεσα στις αναγκαίες ενέργειες προς αποτροπή του κινδύνου επικείμενης προγραμματισμένης διαγραφής των δεδομένων αυτών. Σημειώνεται ότι η διαγραφή των δεδομένων μετά την άσκηση δικαιώματος πρόσβασης σε αυτά, παραβιάζει την αρχή της νομιμότητας της επεξεργασίας. Η Αρχή διαπίστωσε παραβίαση των άρθρων 15 και 12 §3 ΓΚΠΔ, προκύψασα από τη δράση της καταγγελλόμενης Τράπεζας, ένεκα μη χορήγησης του αιτηθέντος αντιγράφου του οπτικοακουστικού υλικού καταγραφής της επίσκεψης του καταγγέλλοντος στο κατάστημα της Τράπεζας, στον ίδιο, όπως επίσης και λόγω της μη ενημέρωσης εντός μηνός, από την παραλαβή του αιτήματος πρόσβασης, για την παράταση της προθεσμίας και για τους λόγους της καθυστέρησης, παραβιάζοντας, συγχρόνως, την αρχή της νομιμότητας της επεξεργασίας με την καταστροφή του επίμαχου αρχείου μετά την άσκηση του δικαιώματος πρόσβασης του υποκειμένου. Η Αρχή επέβαλλε διοικητικό πρόστιμο ύψους δέκα χιλιάδων (10.000 €) ευρώ για τη μη ικανοποίηση του δικαιώματος πρόσβασης του καταγγέλλοντος σε προσωπικά του δεδομένα, καθώς και για τη διαγραφή των δεδομένων αυτών.