Οι αποφάσεις του One-Stop-Shop του Γενικού Κανονισμού Προστασίας Δεδομένων

Την 25η Ιουνίου 2020 το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων ανήρτησε στην ιστοσελίδα του το αρχείο αποφάσεων του μηχανισμού μιας στάσης (One-Stop-Shop) του Γενικού Κανονισμού Προστασίας Δεδομένων. Πρόκειται για τις αποφάσεις του μηχανισμού συνεκτικότητας του άρθρου 60, που ρυθμίζει τη συνεργασία μεταξύ εποπτικών αρχών.

Σύμφωνα με τις προβλέψεις του Γενικού Κανονισμού (άρθρο 57), όταν μια υπόθεση αφορά σε διασυνοριακή επεξεργασία προσωπικών δεδομένων, αρμόδια εποπτική αρχή είναι εκείνη της κύριας ή της μόνης εγκατάστασης του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία. Η αρχή αυτή είναι αρμόδια να ενεργεί ως επικεφαλής εποπτική αρχή. Στις περιπτώσεις λοιπόν εκείνες, όπου εποπτική αρχή λαμβάνει καταγγελία που εμπίπτει στη διάταξη του άρθρου 57, τη διαβιβάζει στην επικεφαλής εποπτική αρχή, προκειμένου αυτή να ασκήσει τις αρμοδιότητές της.

Περαιτέρω, το άρθρο 60 ΓΚΠΔ προβλέπει ότι η επικεφαλής εποπτική αρχή συνεργάζεται με τις άλλες ενδιαφερόμενες εποπτικές αρχές, με σκοπό να επιτύχει συναίνεση. Αυτή είναι η αποστολή του μηχανισμού συνεκτικότητας του Γενικού Κανονισμού. Η διαφύλαξη της συνεκτικής εφαρμογής των ρυθμίσεών του, προς αποφυγή ερμηνευτικών αποκλίσεων, σε ζητήματα όπου μια τέτοια απόκλιση θα δημιουργούσε προβλήματα λόγω του διασυνοριακού χαρακτήρα των υποθέσεων.

Η ανάρτηση του Ιουνίου υπήρξε η πρώτη από την έναρξη ισχύος του Γενικού Κανονισμού, δεν ήταν όμως καθόλου ασήμαντη σε αριθμό. Εκατόν δέκα (110) αποφάσεις του One-Stop-Shop δημοσιεύτηκαν, κάθε μια συνοδευόμενη από την αντίστοιχη σύνοψή της.

Παρά τον εντυπωσιακό αριθμό και την αίσθηση σπουδαιότητας που ενδεχομένως δίνει η συνεργασία επί διασυνοριακών πράξεων επεξεργασίας, η πλειοψηφία των αποφάσεων αυτών είναι ήσσονος σημασίας. Οι επικεφαλής εποπτικές αρχές έχουν κληθεί να αποφανθούν, ως επί το πλείστον, επί καταγγελιών υποκειμένων για μη ικανοποίηση αιτήματος για πρόσβαση και διαγραφή των δεδομένων τους. Συχνά μάλιστα τα δημοσιευθέντα έγγραφα δεν είναι καν αποφάσεις, αλλά επιστολές των αρχών προς τα εμπλεκόμενα πρόσωπα.

Αξιοσημείωτο επίσης είναι το ότι οι αποφάσεις αυτές δεν έχουν υποστεί τη συνήθη μέθοδο ανωνυμοποίησης, που έχουμε δει σε περιπτώσεις δημοσίευσης αποφάσεων από τις ίδιες τις αρχές, αλλά έχουν δημοσιευτεί αυτούσιες με ορατές σκιάσεις στα στοιχεία των εμπλεκομένων προσώπων. Οι σκιάσεις αυτές δεν καταλαμβάνουν μόνο τα φυσικά πρόσωπα, αλλά και τα ελεγχόμενα νομικά πρόσωπα, καθώς και κάθε συναφή πληροφορία που θα μπορούσε να οδηγήσει στην ταυτοποίησή τους. Αποτέλεσμα αυτού είναι να αποκρύπτεται μεγάλο τμήμα του κειμένου, γεγονός που συχνά καθιστά δυσχερή την ανάγνωση του ιστορικού και εν τέλει την κατανόηση του διατακτικού.

Επί των κυρώσεων που έχουν επιβληθεί, σπάνιες είναι οι περιπτώσεις όπου παρατηρείται η επιβολή προστίμου. Στην συντριπτική πλειοψηφία των περιπτώσεων όπου έχει διαπιστωθεί πλημμελής συμμόρφωση των υπευθύνων επεξεργασίας με τις υποχρεώσεις τους, οι αρμόδιες αρχές περιορίζονται στην επίπληξη ή σε εντολή συμμόρφωσης. Δεδομένου μάλιστα ότι πολλές από τις καταγγελίες που εξετάζονται ανάγονται στους πρώτους μήνες εφαρμογής του Γενικού Κανονισμού, οι αρχές δείχνουν σαφή ανοχή σε πλημμέλειες στη συμμόρφωση, όταν αυτές θεραπεύονται μετά την παρέμβασή τους.

Στο παρόν κείμενο επιχειρείται μια συνοπτική παρουσίαση δεκαπέντε (15) εκ των αποφάσεων του αρχείου, λόγω του – μικρού ή και μεγαλύτερου – ενδιαφέροντος που παρουσιάζουν.

EDPBI:FR:OSS/D:2020:88

Γαλλία

Περιστατικό: Το υποκείμενο καταγγέλλει ότι συνέχισε να λαμβάνει προωθητικά μηνύματα στο κινητό του μετά την άσκηση δικαιώματος εναντίωσης.

Εξηγήσεις υπευθύνου επεξεργασίας: Η λήψη του μηνύματος οφείλεται στην καθυστέρηση έως 72 ώρες στη διαγραφή των στοιχείων από τα συστήματα της εταιρείας.

Διαπιστώσεις Αρχής: Σε παρεμπίπτοντα έλεγχο της πολιτικής προστασίας της εταιρείας, η Αρχή διαπίστωσε ότι για την εξέταση και ικανοποίηση των δικαιωμάτων των υποκειμένων ζητείται κατά πάγια πρακτική η υποβολή αποδεικτικού ταυτότητας, κατά παράβαση του άρθρου 12.6 ΓΚΠΔ. Το έγγραφο αυτό πρέπει να ζητείται μόνο υπό συγκεκριμένες προϋποθέσεις, όπως όταν πρόκειται για αίτημα που υποβάλλεται από διαφορετικό λογαριασμό email από αυτόν που έχει καταχωρηθεί ή αίτημα για διαβίβαση μεγάλου όγκου προσωπικών δεδομένων.

Κυρώσεις: Επίπληξη.

EDPBI:DEBE:OSS/D:2020:87

Γερμανία/Βερολίνο

Περιστατικό: Το υποκείμενο είχε αγοράσει παιχνίδι της εταιρείας το 2016 και τρία χρόνια αργότερα ζήτησε τη διαγραφή του user account που είχε δημιουργήσει για να παίζει. Η εταιρεία ζήτησε την επιβεβαίωση της ταυτότητάς του, δια της αποστολής σχετικού αποδεικτικού εγγράφου και σε αναμονή της επιβεβαίωσης αυτής δεν προχώρησε σε καμία ενέργεια επί του αιτήματος για διάστημα 9 μηνών.

Εξηγήσεις υπευθύνου επεξεργασίας: Το αίτημα για επιβεβαίωση της ταυτότητας είναι αναγκαίο, προκειμένου να αποτρέπεται η μη αναστρέψιμη και άνευ εξουσιοδότησης διαγραφή λογαριασμού.

Διαπιστώσεις Αρχής: α. Κατά το 12.6 ΓΚΠΔ, η επιβεβαίωση της ταυτότητας ζητείται μόνο όταν ο υπεύθυνος επεξεργασίας έχει εύλογες αμφιβολίες σχετικά με την ταυτότητα του προσώπου. Ωστόσο, η εταιρεία δεν παρουσίασε στον αιτούντα κανένα λόγο ως προς το γιατί είχε εύλογες αμφιβολίες ως προς την ταυτότητά του. Το αίτημα για παροχή πρόσθετων δεδομένων, κατ’ αυτό τον τρόπο, παραβιάζει την αρχή της ελαχιστοποίησης για το σκοπό της ταυτοποίησης προσώπου, ενώ περαιτέρω, αφενός είναι μη αναγκαίο, αφετέρου δυσχεραίνει την άσκηση των αιτημάτων των υποκειμένων.

β. Κατά το 12.3 ΓΚΠΔ, ο υπεύθυνος επεξεργασίας μπορεί να ικανοποιήσει αιτήματα υποκειμένων και μετά τον ένα μήνα, ωστόσο ο Κανονισμός δεν προβλέπει την αυτόματη ή συνήθη παράταση της αρχικής προθεσμίας, χωρίς συγκεκριμένους λόγους που σχετίζονται με το υποβληθέν αίτημα. Η αναμονή για τη λήψη των πρόσθετων πληροφοριών ταυτοποίησης που ζητήθηκαν δεν αποτελεί λόγο για τη μη ανάληψη ενεργειών επί του αιτήματος επί 9 μήνες.

Κυρώσεις: Επίπληξη.

EDPBI:DK:OSS/D:2020:85

Δανία

Περιστατικό: Το υποκείμενο άσκησε αίτημα πρόσβασης στα δεδομένα του, το οποίο ικανοποιήθηκε, ωστόσο τα δεδομένα που του εστάλησαν ανήκαν σε άλλο πρόσωπο (χωρίς να είναι σαφές αν έλαβε και τα δικά του).

Διαπιστώσεις Αρχής: Το δικαίωμα υποβολής καταγγελίας του άρθρου 77 ΓΚΠΔ αφορά σε επεξεργασία προσωπικών δεδομένων που αφορούν στον καταγγέλλοντα και όχι σε τρίτα πρόσωπα. Η Αρχή απορρίπτει την καταγγελία και σημειώνει τα ζητήματα ασφάλειας και παραβίασης προσωπικών δεδομένων που ανακύπτουν, ώστε να τα εξετάσει στο πλαίσιο ελεγκτικών ενεργειών που θα αναλάβει.

Κυρώσεις: Απορρίπτει.

EDPBI:UK:OSS/D:2020:80

Ηνωμένο Βασίλειο

Περιστατικό: Γνωστοποίηση παραβίασης δεδομένων, λόγω παράνομης εξαγωγής δεδομένων από πρώην υπάλληλο του εκτελούντος την επεξεργασία. Ο υπάλληλος εξήγαγε τα προσωπικά δεδομένα 634 πελατών, με σκοπό να εκβιάσει την εταιρεία σε καταβολή χρημάτων.

Διαπιστώσεις Αρχής: Το περιστατικό οφείλεται σε σκόπιμη ενέργεια υπαλλήλου, ο οποίος είχε νόμιμη πρόσβαση στα δεδομένα ως εκ των καθηκόντων του. Ο υπεύθυνος επεξεργασίας είχε συνάψει όλα τα απαραίτητα συμβατικά κείμενα με τον εκτελούντα την επεξεργασία, στα οποία ρυθμίζονταν όλα τα ζητήματα που προβλέπει ο ΓΚΠΔ. Μετά το περιστατικό, ο υπεύθυνος επεξεργασίας κατέβασε αμέσως το portal του και ενημέρωσε όλα τα εμπλεκόμενα υποκείμενα των δεδομένων, τα οποία δεν υπέστησαν οποιαδήποτε ζημία από την παραβίαση.

Κυρώσεις: Καμία. Διαπιστώθηκε συμμόρφωση με ΓΚΠΔ.

EDPBI:UK:OSS/D:2019:74

Ηνωμένο Βασίλειο

Περιστατικό: Το υποκείμενο διαμαρτύρεται γιατί ο υπεύθυνος επεξεργασίας δεν ικανοποίησε το αίτημά του για διαγραφή των δεδομένων του.

Εξηγήσεις υπευθύνου επεξεργασίας: Η εταιρεία δεν μπορεί να ικανοποιήσει το αίτημα διαγραφής, καθώς υποχρεούται βάσει της Οδηγίας για την καταπολέμηση της νομιμοποίησης εσόδων από παράνομες δραστηριότητες να διατηρεί τα δεδομένα για περίοδο 5 ετών.

Διαπιστώσεις Αρχής: Η εταιρεία έχει προβλέψει στην Πολιτική Προστασίας την υποχρέωση διατήρησης των δεδομένων για 5 έτη, στη νομική βάση της συμμόρφωσης με έννομη υποχρέωση (6.1γ ΓΚΠΔ). Ωστόσο, στην απάντησή της προς το υποκείμενο παρέλειψε να το ενημερώσει για συγκεκριμένα δικαιώματά του. Δεν του εξήγησε ότι έχει δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή και το δικαίωμα να αναζητήσει δικαστικό έλεγχο. Το γεγονός ότι στην απάντηση επισυναπτόταν υπερσύνδεσμος (link) στην Πολιτική Προστασίας Δεδομένων της εταιρείας, στο κείμενο της οποίας αναφέρονταν τα στοιχεία επικοινωνίας της αρμόδιας εποπτικής αρχής δεν συνιστά εκπλήρωση των υποχρεώσεων πληροφόρησης που έχει ο υπεύθυνος επεξεργασίας, όταν απαντά σε αιτήματα υποκειμένων.

Κυρώσεις: Καμία.

EDPBI:DK:OSS/D:2019:69

Δανία

Περιστατικό: Το υποκείμενο καταγγέλλει ότι όταν ζήτησε τη διαγραφή των δεδομένων του από τα αρχεία της εταιρείας, του ζητήθηκε υποχρεωτικά η αποστολή εγγράφου για επιβεβαίωση της ταυτότητάς του. Περαιτέρω, στους ισχυρισμούς της εταιρείας περί αναλογικότητας, προσθέτει ότι η επιβεβαίωση της ταυτότητάς του θα μπορούσε να έχει γίνει μέσω email ή τηλεφώνου.

Εξηγήσεις υπευθύνου επεξεργασίας: Η εταιρεία ζητά την απόδειξη της ταυτότητας αποκλειστικά για το σκοπό της ικανοποίησης του δικαιώματος, ενώ διαγράφει κάθε σχετικό έγγραφο μετά από 30 ημέρες. Επικαλείται την αιτιολογική 64 ΓΚΠΔ, που της αναγνωρίζει αυτό το δικαίωμα, καθώς και απόφαση του ICO του έτους 2018. Η απόδειξη της ταυτότητας (ID validation) είναι βασικό στοιχείο της διαδικασίας χειρισμού αιτημάτων υποκειμένων που έχει θεσπίσει η εταιρεία, δεδομένου ότι έχει 9.7 εκατομμύρια πελάτες, οι οποίοι δεν λαμβάνουν μοναδικό αναγνωριστικό (unique identifier). Περαιτέρω, η σχέση της εταιρείας με τους πελάτες της βασίζεται σχεδόν αποκλειστικά σε επιγραμμικό περιβάλλον, με αποτέλεσμα να μην είναι σε θέση να γνωρίζει ποιο είναι το πρόσωπο πίσω από κάθε αίτημα που υποβάλλεται. Για το λόγο αυτό έχει εξαρχής διενεργήσει risk assessment και έχει καταλήξει ότι αυτός είναι ο καλύτερος δυνατός τρόπος χειρισμού των αιτημάτων αυτών, με τον οποίο αφενός η εταιρεία μπορεί να εκπληρώνει τις υποχρεώσεις της εκ του Γενικού Κανονισμού, αφετέρου προστατεύονται τα δικαιώματα των υποκειμένων. Κατά συνέπεια, το αίτημα για απόδειξη της ταυτότητας είναι αναγκαίο και αναλογικό.

Διαπιστώσεις Αρχής: Η γενική πολιτική της εταιρείας να ζητείται ID validation χωρίς εξαίρεση δεν συνάδει με τα άρθρα 12.6 και 5.1γ ΓΚΠΔ. Το 12.6 επιβάλλει να προηγείται κάθε φορά ειδική εκτίμηση ως προς το αν υπάρχουν αμφιβολίες για την ταυτότητα του υποκειμένου. Το γεγονός δε ότι η σχέση εταιρείας-πελάτη είναι επιγραμμική δεν συνεπάγεται ότι πάντοτε θα υπάρχουν αμφιβολίες για την ταυτότητα αυτή.

Επίσης, η απαίτηση για πρόσθετες πληροφορίες πρέπει να τηρεί την αρχή της αναλογικότητας του άρθρου 5.1γ, ως προς το ότι δεν πρέπει να ζητούνται πληροφορίες περισσότερες από αυτές που είναι αναγκαίες για την ταυτοποίηση του υποκειμένου. Η Αρχή διαπιστώνει ότι η πρακτική της εταιρείας να ζητεί από τα υποκείμενα περισσότερες πληροφορίες από αυτές που έχει αρχικά συλλέξει συνιστά παραβίαση του άρθρου 12.2 ΓΚΠΔ. Το γεγονός ότι η εταιρεία δεν έχει οργανώσει τα συστήματά της, έτσι ώστε να δίδει στους πελάτες της unique identifiers, δεν συνιστά λόγο που μπορεί να δικαιολογήσει την πάγια πρακτική της να ζητά την αποστολή εγγράφων. Η διαδικασία που έχει θεσπίσει η εταιρεία επιβαρύνει αδικαιολόγητα και δυσανάλογα τα υποκείμενα κατά την άσκηση των δικαιωμάτων τους.

Κυρώσεις: Εντολή συμμόρφωσης – Επίπληξη.

EDPBI:CZ:OSS/D:2019:56

Τσεχία

Καταγγελία: Οι καταγγέλλοντες διαμαρτύρονται γιατί εταιρεία, της οποίας τυγχάνουν οφειλέτες, αναρτά προσωπικά δεδομένα τους (πρώτο γράμμα ονόματος-πλήρες επώνυμο-ποσό οφειλής) στην ιστοσελίδα της, αλλά και στη σελίδα της στο Facebook.

Διαπιστώσεις Αρχής: α. Τα στοιχεία που αναρτώνται μπορούν να οδηγήσουν στην ταυτοποίηση των προσώπων, συνεπώς αποτελούν προσωπικά δεδομένα.

β. Μόνη νομική βάση για την επεξεργασία αυτή θα μπορούσε να είναι η συγκατάθεση, με σοβαρή επιφύλαξη ως προς το αν θα μπορούσε αυτή να είναι ελεύθερη.

γ. Το έννομο συμφέρον της εταιρείας δεν μπορεί να θεμελιώσει την ανάρτηση. Τούτο διότι, η εταιρεία έχει άλλα νόμιμα μέσα στη διάθεσή της προκειμένου να επιδιώξει την ικανοποίηση των εννόμων συμφερόντων της, χωρίς να εισβάλλει σε τέτοιο βαθμό στα δικαιώματα των υποκειμένων. Η δημοσιοποίηση των πληροφοριών αυτών ενέχει σημαντικούς κινδύνους στην ιδιωτική και επαγγελματική ζωή των προσώπων, καθώς μπορεί να οδηγήσει σε κοινωνικό αποκλεισμό των ιδίων και των μελών της οικογένειάς τους, στην απώλεια της εργασίας τους και σε άλλες αρνητικές συνέπειες. Επίσης, πρέπει να ληφθούν υπόψιν οι εύλογες προσδοκίες των υποκειμένων, καθώς είναι εύλογο να θεωρούν ότι οι πληροφορίες ως προς τις οφειλές τους δεν δημοσιοποιούνται.

Κυρώσεις: Εντολή συμμόρφωσης, συνιστάμενη στην αφαίρεση όλων των αναρτήσεων και την αποφυγή ανάλογων πρακτικών στο μέλλον.

EDPBI:CZ:OSS/D:2019:44

Τσεχία

Περιστατικό: Καταγγελία για παραβίαση δεδομένων. Το υποκείμενο ισχυρίζεται ότι η εξυπηρέτηση πελατών του υπευθύνου επεξεργασίας έστειλε πληροφορίες για κράτηση σε άλλο πελάτη.

Διαπιστώσεις Αρχής: Λαμβάνονται υπόψιν οι ελαφρυντικές περιστάσεις της υπόθεσης, ήτοι το γεγονός ότι η αποκάλυψη των προσωπικών δεδομένων αποτελεί μεμονωμένο περιστατικό, το οποίο αποδίδεται σε παράπτωμα συγκεκριμένου υπαλλήλου, συνεπώς δεν προκύπτει συστηματική απουσία συμμόρφωσης με τις υποχρεώσεις του ΓΚΠΔ.

Σε περίπτωση παραβίασης προσωπικών δεδομένων, ο υπεύθυνος επεξεργασίας έχει την υποχρέωση να ενεργεί, αμέσως μόλις λαμβάνει γνώση αυτής. Σύμφωνα με την Αρχή, ο Υπεύθυνος Επεξεργασίας θεωρείται ότι λαμβάνει γνώση τη στιγμή που ο πρώτος υπάλληλός του αντιλαμβάνεται την παραβίαση, ανεξάρτητα από τα αν στα καθήκοντα του υπαλλήλου εντάσσεται η διαχείριση των παραβιάσεων. Εάν ο υπάλληλος αυτός δεν είναι αρμόδιος να διαχειρίζεται τα ζητήματα αυτά, ο Υπεύθυνος Επεξεργασίας οφείλει να έχει διασφαλίσει ότι η πληροφορία φτάνει άμεσα στα πρόσωπα με την αρμοδιότητα αυτή.

Κυρώσεις: Επίπληξη.

EDPBI:UK:OSS/D:2019:35

Ηνωμένο Βασίλειο

Περιστατικό: Το υποκείμενο καταγγέλλει ότι αν και έχει ζητήσει δια απαντητικού μηνύματος να σταματήσει να λαμβάνει προωθητικά μηνύματα στο ηλεκτρονικό του ταχυδρομείο, αυτά συνεχίζουν να έρχονται.

Εξηγήσεις υπευθύνου επεξεργασίας: Ο υπεύθυνος επεξεργασίας ισχυρίστηκε ότι παρέχει την επιλογή unsubscribe, ενώ δεν ελέγχει τις απαντήσεις που λαμβάνει στα προωθητικά μηνύματα που αποστέλλει (not a monitored account).

Διαπιστώσεις Αρχής: O υπεύθυνος επεξεργασίας παρείχε μεν τη δυνατότητα για unsubscribe, ωστόσο ο λογαριασμός που στέλνει τα προωθητικά μηνύματα δεν είναι ευκρινώς αναγνωρίσιμος ως no-reply email address. Κατά συνέπεια, κάποια υποκείμενα ενδέχεται να πιστεύουν ότι μπορούν να υποβάλλουν αίτημα εναντίωσης απαντώντας απευθείας στο μήνυμα που δέχονται. Άρα, ο υπεύθυνος επεξεργασίας πρέπει είτε:

α. να ελέγχει τα μηνύματα που λαμβάνει στον λογαριασμό αυτό ή

β. να διασφαλίζει ότι καθίσταται σαφές προς τα υποκείμενα πως ο λογαριασμός αυτός δεν ελέγχεται και δεν μπορεί να χρησιμοποιείται για την υποβολή αιτημάτων.

Κυρώσεις: Καμία.

EDPBI:CZ:OSS/D:2019:28

Τσεχία

Περιστατικό: Υποβλήθηκε καταγγελία ότι η δωρεάν έκδοση προγράμματος Antivirus δεν επιτρέπει την απενεργοποίηση των default ρυθμίσεων για επεξεργασία δεδομένων (privacy settings). Η Αρχή αποφάσισε να ενεργήσει ex officio και να ερευνήσει γενικότερα την εκπλήρωση των υποχρεώσεων του υπευθύνου επεξεργασίας βάσει ΓΚΠΔ.

Εξηγήσεις υπευθύνου επεξεργασίας: Η εταιρεία δεν συλλέγει και επεξεργάζεται προσωπικά δεδομένα των χρηστών, εκτός από τους premium users, των οποίων επεξεργάζεται δεδομένα σχετικά με την πληρωμή τους.

Διαπιστώσεις Αρχής: Τα ευρήματα του ελέγχου: Κάθε εγκατάσταση έχει Device ID, η οποία σχετίζεται με τις τεχνικές παραμέτρους της συσκευής. Επίσης η εγκατάσταση παράγει έναν τυχαίο αλφαριθμητικό κώδικα, το Installation ID, το οποίο ακολουθεί την κάθε εγκατάσταση. Οι κώδικες αυτοί εμφανίζονται τόσο στη δωρεάν, όσο και στην πληρωμένη έκδοση του προγράμματος. Επιπλέον, για την εγκατάσταση απαιτείται η IP της συσκευής. Βάσει της IP, το πρόγραμμα αναγνωρίζει πού βρίσκεται η συσκευή και ποια γλώσσα θα επιλεγεί. Μετά από διάστημα περίπου 60 ημερών, η IP ψευδωνυμοποιείται. Μετά την εγκατάσταση, η εφαρμογή συλλέγει service data, ήτοι πληροφορίες για εφαρμογές που εγκαθίστανται στη συσκευή, αρχεία ή επισυναπτόμενα που αποθηκεύονται και πληροφορίες σχετικές με τα url που επισκέπτεται η συσκευή. Οι πληροφορίες αυτές είναι αναγκαίες για τη λειτουργία του Antivirus. Όταν το πρόγραμμα εντοπίζει malware αποθηκεύει πληροφορίες, μαζί με τα IDs της συσκευής. Μέσα από τα privacy settings, οι χρήστες και των δύο εκδόσεων μπορούν να επιλέξουν αν η συσκευή τους θα στείλει πληροφορίες στη βάση δεδομένων της εταιρείας και αν οι πληροφορίες αυτές θα αναλυθούν από third parties, με τα οποία συνεργάζεται η εταιρεία. Οι χρήστες της πληρωμένης έκδοσης έχουν την επιλογή να απενεργοποιήσουν τη λήψη προσφορών για προϊόντα της εταιρείας ή των third parties. Επίσης, μπορούν να αρνηθούν την επεξεργασία πληροφοριών για την ανάπτυξη νέων προϊόντων.

Ως προς την ταυτοποίηση, κρίσιμη είναι η διατήρηση της IP, έστω και για περιορισμένο χρονικό διάστημα. Στην περίπτωση δημόσιας public IP, η πληροφορία είναι δημοσίως διαθέσιμη. Στην περίπτωση της static IP, η εταιρεία μπορεί να ζητήσει την ταυτοποίηση του προσώπου από δημόσια αρχή. Σε κάθε περίπτωση όμως, η εταιρεία έχει εξαρχής πρόσβαση στα στοιχεία επικοινωνίας των χρηστών, ακόμα και στη δωρεάν έκδοση, όπως για παράδειγμα όταν χρησιμοποιούν το email τους, προκειμένου να αξιοποιήσουν τη δωρεάν δοκιμή της premium έκδοσης ή όταν εγγράφονται σε newsletters. Ακόμη και χωρίς τα στοιχεία αυτά όμως, ο συνδυασμός της IP και των δύο IDs που αποθηκεύει η εταιρεία, μπορεί να οδηγήσει στην ταυτοποίηση του χρήστη.

Συμπέρασμα, ο υπεύθυνος επεξεργασίας συλλέγει και επεξεργάζεται πληροφορίες που αποτελούν προσωπικά δεδομένα των χρηστών. Αυτό ισχύει και για τις δύο εκδόσεις του προγράμματος. Ο ισχυρισμός της εταιρείας ότι δεν έχει πρόθεση να ταυτοποιήσει τους χρήστες δεν ασκεί επιρροή στον χαρακτήρα των πληροφοριών ως προσωπικών δεδομένων. Αυτό που είναι κρίσιμο είναι το πραγματικό καθεστώς, ήτοι η δυνατότητα των πληροφοριών αυτών να οδηγήσουν σε ταυτοποίηση.

Ο σκοπός της επεξεργασίας των δεδομένων μπορεί να είναι οι επαγγελματικές δραστηριότητες της εταιρείας, σε συνδυασμό με την κυβερνοασφάλεια των χρηστών. Στις επαγγελματικές δραστηριότητες εντάσσονται, σκοποί εμπορικής προώθησης της εταιρείας ή τρίτων μερών ή η ανάπτυξη και βελτίωση του προγράμματος. Τα μέσα για την επεξεργασία είναι το ίδιο το πρόγραμμα και η ιστοσελίδα της εταιρείας, όπου προσφέρεται η δυνατότητα κατεβάσματος (downloading). Κατά συνέπεια, η εταιρεία προβλέπει τους σκοπούς και τα μέσα και αποτελεί τον Υπεύθυνο Επεξεργασίας.

Διαπιστώσεις: Δεδομένου ότι ο υπεύθυνος επεξεργασίας αρνείται την επεξεργασία προσωπικών δεδομένων, η Αρχή εστίασε στην τήρηση των αρχών επεξεργασίας, υπό το πρίσμα της υποχρέωσης λογοδοσίας των άρθρων 5.2 και 24.1 ΓΚΠΔ, ήτοι ζήτησε από την εταιρεία να αποδείξει την εν γένει συμμόρφωσή της με τον Γενικό Κανονισμό.

Εμμένοντας η εταιρεία, καθόλη τη διάρκεια του ελέγχου, ότι δεν επεξεργάζεται προσωπικά δεδομένα, απέτυχε να αποδείξει τη συμμόρφωσή της κατά το 5.2 ΓΚΠΔ. Κατά συνέπεια, η Αρχή δεν μπορεί να εκτιμήσει την τήρηση ή μη των αρχών επεξεργασίας του 5.1, όπως για παράδειγμα τη νομική βάση επί της οποίας συλλέγει και επεξεργάζεται προσωπικά δεδομένα.

Κυρώσεις: Δεν αναφέρονται.

EDPBI:FR:OSS/D:2019:22

Γαλλία

Περιστατικό: Καταγγελία υποκειμένου ότι κατά το άνοιγμα λογαριασμού σε ιστοσελίδα τού εστάλησαν username και password σε plain text με μήνυμα ηλεκτρονικού ταχυδρομείου.

Εξηγήσεις υπευθύνου επεξεργασίας: Ο υπεύθυνος επεξεργασίας ισχυρίστηκε και απέδειξε ότι δεν αποστέλλει, ούτε και αποθηκεύει passwords σε plain text.

Διαπιστώσεις Αρχής: Κατά τον έλεγχο της σελίδας, η Αρχή διαπίστωσε ότι υπάρχουν ζητήματα ασφάλειας που χρήζουν βελτιώσεων. Ειδικότερα, ο υπεύθυνος επεξεργασίας έχει μεριμνήσει ορθώς ώστε τα passwords να έχουν μήκος τουλάχιστον 8 χαρακτήρων και να περιλαμβάνουν τουλάχιστον 4 κατηγορίες χαρακτήρων (κεφαλαία, μικρά, αριθμοί και ειδικοί χαρακτήρες). Ωστόσο, αν και προβλήθηκε σχετικός ισχυρισμός, διαπιστώθηκε ότι ο υπεύθυνος επεξεργασίας δεν έχει υιοθετήσει τη χρήση του captcha κατά το στάδιο αυθεντικοποίησης χρηστών, παρά μόνο μια προσωρινή αναστολή της πρόσβασης. Ειδικότερα, οι ελεγκτές της Αρχής διαπίστωσαν ότι, μετά από 8 αποτυχημένες προσπάθειες εισόδου, η σελίδα εμφανίζει το μήνυμα «Πολλές προσπάθειες εισόδου. Παρακαλώ δοκιμάστε ξανά σε 1 δευτερόλεπτο».

Βάσει της διαπίστωσης αυτής, η Αρχή κάλεσε τον υπεύθυνο επεξεργασίας όπως:

Α. υιοθετήσει τη χρήση του captcha, με σκοπό να αποτρέπει τις αυτοματοποιημένες προσπάθειες εισόδου,

Β. αυξήσει τον χρονικό περιορισμό πρόσβασης του 1 δευτερολέπτου. Στο πλαίσιο αυτό, η CNIL υπενθυμίζει σχετική σύσταση του έτους 2017, σύμφωνα με την οποία μετά από 5 αποτυχημένες προσπάθειες η πρόσβαση πρέπει να απαγορεύεται για τουλάχιστον 1 λεπτό, με ανώτατο όριο τις 25 προσπάθειες ανά 24ωρο.

Κυρώσεις: Καμία.

EDPBI:CY:OSS/D:2019:21

Κύπρος

Περιστατικό: Το υποκείμενο των δεδομένων διαμαρτύρεται γιατί δεν ικανοποιείται το αίτημά του για διαγραφή των δεδομένων του. Επίσης γιατί οι όροι υπό τους οποίους παρείχε τα δεδομένα του δεν περιείχαν αναφορά στα δικαιώματά του ή στη μη ικανοποίηση του αιτήματος διαγραφής.

Εξηγήσεις υπευθύνου επεξεργασίας: Ο Υπεύθυνος Επεξεργασίας δεν μπορεί να διαγράψει τα δεδομένα του υποκειμένου, καθώς η νομοθεσία για την καταπολέμηση της νομιμοποίησης εσόδων από παράνοµες δραστηριότητες υποχρεώνει σε 5ετή διατήρησή τους. Περαιτέρω, ο ΥΕ παρέδωσε στην Αρχή λίστα με όλα τα δεδομένα που διατηρεί, καθώς και τη νομική βάση για τη διατήρησή τους. Ωστόσο, παραδέχθηκε ότι το υποκείμενο δεν είχε ενημερωθεί για την υποχρέωση αυτή διατήρησης των δεδομένων του.

Διαπιστώσεις Αρχής: Οι ισχυρισμοί του υπευθύνου επεξεργασίας έγιναν δεκτοί. Η Αρχή δέχθηκε ότι, πράγματι, η νομοθεσία υποχρεώνει στη διατήρηση των δεδομένων του, κατά συνέπεια η διαγραφή των δεδομένων δεν είναι δυνατή, κατά το άρθρο 17 παρ.1β ΓΚΠΔ, παρά την ανάκληση της συγκατάθεσης, εφόσον η διατήρηση βασίζεται σε άλλη νομική βάση (συμμόρφωση με έννομη υποχρέωση). Δεν διαπιστώθηκε καμία άλλη παραβίαση των υποχρεώσεων του ΓΚΠΔ.

Κυρώσεις: Καμία.

EDPBI:FR:OSS/D:2019:3

Γαλλία

Περιστατικό: Το υποκείμενο των δεδομένων διαμαρτύρεται γιατί ο υπεύθυνος επεξεργασίας αρνήθηκε να ικανοποιήσει το αίτημα διαγραφής, χωρίς την αποστολή της ταυτότητάς του, καθώς και δείγματος της υπογραφής του.

Διαπιστώσεις Αρχής:

α: Η πρακτική της εταιρείας να απαιτεί από τα υποκείμενα, ανεξαρτήτως χώρας προέλευσης ή κατοικίας, να παρέχουν αντίγραφο εγγράφου ταυτοποίησης σε συστηματική βάση δεν τελεί σε συμμόρφωση με τις διατάξεις. Κατά την άσκηση των δικαιωμάτων των υποκειμένων, ο υπεύθυνος επεξεργασίας έχει την ευθύνη να βεβαιώνει ότι το πρόσωπο που υποβάλλει το αίτημα είναι το υποκείμενο. Όταν ο υπεύθυνος επεξεργασίας έχει εύλογες αμφιβολίες μπορεί, κατά το 12.6 ΓΚΠΔ, να ζητά από τον αιτούντα να αποδείξει την ταυτότητά του, ωστόσο το αίτημα αυτό δεν μπορεί να έχει ως αποτέλεσμα να παρέχονται στον υπεύθυνο επεξεργασίας δεδομένα περισσότερα από αυτά που είναι αναγκαία, σύμφωνα με την αρχή της ελαχιστοποίησης, ενώ τα έγγραφα πρέπει να είναι συναφή και αναλογικά, σε σχέση με τον επιδιωκόμενο σκοπό. Το επίπεδο της επαλήθευσης που θα γίνει πρέπει να είναι ανάλογο με τη φύση του αιτήματος, τον χαρακτήρα των πληροφοριών και το πλαίσιο, εντός του οποίου έχει ασκηθεί το αίτημα. Ενδεικτικά, είναι δυσανάλογο να ζητάς αντίγραφο ταυτότητας όταν το πρόσωπο έχει υποβάλει το αίτημά του σε τομέα όπου αυτό έχει ήδη αυθεντικοποιηθεί. Αντίγραφο ταυτότητας μπορεί να ζητείται, για παράδειγμα, όταν υπάρχει υποψία κλοπής ταυτότητας ή παραβίασης λογαριασμού. Κατά συνέπεια, η εταιρεία δεν θα έπρεπε να έχει ζητήσει την υποβολή αντιγράφου ταυτότητας αμέσως μετά τη λήψη του αιτήματος, χωρίς προηγουμένως να έχει ελέγξει αφενός εάν υπάρχει εύλογη αμφιβολία ως προς τα στοιχεία του προσώπου, αφετέρου εάν το έγγραφο αυτό είναι σχετικό και αναλογικό.

β.: Ο υπεύθυνος επεξεργασίας μπορεί, καταρχήν, να αποθηκεύει τα έγγραφα που λαμβάνει για την άρση των εύλογων αμφιβολιών του 12.6 ΓΚΠΔ, μόνο όμως για το χρονικό διάστημα που απαιτείται προκειμένου να απαντηθούν τα υποβληθέντα αιτήματα. Ωστόσο, κάποιες πληροφορίες ενδέχεται να μπορούν να διατηρηθούν για μεγαλύτερο χρονικό διάστημα, για το σκοπό της χρήσης τους σε περίπτωση δικαστικής διένεξης. Οι πληροφορίες αυτές πρέπει να αποθηκεύονται σε εφεδρική βάση δεδομένων, διακριτή από την ενεργό βάση και με περιορισμένη πρόσβαση.

Κυρώσεις: Επίπληξη.

EDPBI:DEBE:OSS/D:2018:10

Γερμανία/Βερολίνο

Περιστατικό: Το υποκείμενο των δεδομένων άνοιξε λογαριασμό σε ηλεκτρονικό κατάστημα, προκειμένου να αγοράσει προϊόντα. Προχώρησε σε παραγγελία, την οποία ακύρωσε την ίδια ημέρα, ενώ μαζί με την ακύρωση ζήτησε τη διαγραφή του λογαριασμού του.

Παρά το ότι ενημερώθηκε άμεσα από την εταιρεία για την απενεργοποίηση και ακύρωση του λογαριασμού του, διαπίστωσε ότι μπορούσε ακόμα να κάνει είσοδο σε αυτόν.

Εξηγήσεις υπευθύνου επεξεργασίας: Η εταιρεία ισχυρίστηκε ότι η λειτουργία του λογαριασμού του οφείλεται σε λάθος και συγκεκριμένα στο ότι ο λογαριασμός απενεργοποιήθηκε μόνο στη μια από τις δύο βάσεις δεδομένων που τηρεί.

Διαπιστώσεις Αρχής: Από τη στιγμή που ο καταγγέλλων ζήτησε τη διαγραφή του λογαριασμού του, τα δεδομένα του δεν είναι αναγκαία στο πλαίσιο συμβατικής σχέσης. Ταυτόχρονα, το αίτημά του πρέπει να εκληφθεί ως ανάκληση συγκατάθεσης, ενώ δεν υπάρχουν υπερέχοντες νόμιμοι λόγοι για τη διατήρηση των δεδομένων του.

Κυρώσεις: Επίπληξη

EDPBI:DEBE:OSS/D:2018:9

Γερμανία/Βερολίνο

Περιστατικό: Το υποκείμενο ζήτησε μέσω email να σταματήσει να λαμβάνει μηνύματα εμπορικής προώθησης, ενώ επίσης ζήτησε πρόσβαση και διαγραφή. Μετά το αίτημα, συνέχισε να λαμβάνει διαφημιστικά email για τον επόμενο μήνα, ενώ η πρόσβαση και διαγραφή ικανοποιήθηκαν σχεδόν μετά από 2 μήνες.

Διαπιστώσεις Αρχής:

Ως προς τη λήψη διαφημιστικών μηνυμάτων μετά την υποβολή αιτήματος για διακοπή τους: Το αίτημα του υποκειμένου να σταματήσει να λαμβάνει προωθητικά emails πρέπει να εκληφθεί ως το advertising objection του άρθρου 21.2 ΓΚΠΔ. Το advertising objection οδηγεί στην υποχρέωση διαγραφής του 17.1γ ΓΚΠΔ, ενώ ο χρόνος δράσης που ισχύει εν προκειμένω είναι «άμεσα». Ωστόσο, η εταιρεία δεν τον διέγραψε από τη λίστα παραληπτών, παρά ένα μήνα αργότερα. Όταν το υποκείμενο ασκεί το δικαίωμα εναντίωσης του 21.2 ΓΚΠΔ, οποιαδήποτε περαιτέρω επεξεργασία είναι αυτομάτως και χωρίς όρους παράνομη, σύμφωνα με το 21.3

Ως προς την ικανοποίηση του δικαιώματος πρόσβασης και διαγραφής μετά την πάροδο ενός μήνα: Ο ΓΚΠΔ δεν προβλέπει μια γενική παράταση της προθεσμίας ικανοποίησης αιτημάτων του 12.3, εάν αυτή δεν προκύπτει κατόπιν αξιολόγησης των χαρακτηριστικών κάθε μιας περίπτωσης.

Κυρώσεις: Επίπληξη