ΑΠΔΠΧ: Πρόστιμο 5.000 ευρώ σε ΙΕΚ για παράνομη αποστολή προωθητικού email και μη διαγραφή στοιχείων
Προσωπικά δεδομένα: Πρόστιμο σε εταιρεία ιδιωτικού ΙΕΚ για μη νόμιμη επεξεργασία δεδομένων και μη ορθή ανταπόκριση σε δικαιώματα πρόσβασης και διαγραφής
Πρόστιμο 5.000 ευρώ επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα σε εταιρεία ιδιωτικού ΙΕΚ για μη νόμιμη επεξεργασία δεδομένων και μη ορθή ανταπόκριση σε δικαιώματα πρόσβασης και διαγραφής.
Σύμφωνα με το ιστορικό της υπόθεσης, ο καταγγέλλων αναφέρει ότι έλαβε προωθητικό μήνυμα στην ηλεκτρονική του διεύθυνση από εταιρική διεύθυνση του ΙΕΚ, χωρίς να έχει δώσει τα στοιχεία του στην εν λόγω σχολή.
Αφού έλαβε το μήνυμα άσκησε τα δικαιώματά του ζητώντας να ενημερωθεί για τη νομιμότητα των ενεργειών της εταιρείας και επίσης τη διαγραφή των στοιχείων.
Η εταιρεία δεν απάντησε στον καταγγέλλοντα, ενώ μετά την παρέμβαση της Αρχής, η εταιρεία δήλωσε ότι είχε διαγράψει τα στοιχεία του καταγγέλλοντα, χωρίς να τον ενημερώσει.
Τα στοιχεία του καταγγέλλοντα είχαν αποκτηθεί στο πλαίσιο επαφής του με την εταιρεία για άλλο, μη συναφή, σκοπό, ενώ εμπλουτίστηκαν με περαιτέρω πληροφορίες για σκοπό στοχευμένης προώθησης υπηρεσιών.
Η Αρχή έκρινε ότι υπήρχε παράβαση των αρχών της νομιμότητας και του περιορισμού του σκοπού, παράβαση του δικαιώματος πρόσβασης και μη ενημέρωση σε σχέση με την ικανοποίηση του δικαιώματος διαγραφής.
Η απόφαση της Αρχής
Σύμφωνα με την απόφαση της Αρχής, στη συγκεκριμένη περίπτωση, πραγματοποιήθηκε επεξεργασία δεδομένων προσωπικού χαρακτήρα του καταγγέλλοντος από την εταιρεία «Α Επιλογή ΙΚΕ» ως υπεύθυνο επεξεργασίας, για σκοπούς προώθησης προϊόντων και υπηρεσιών.
Τα στοιχεία τα οποία έτυχαν επεξεργασίας περιλαμβάνουν τη διεύθυνση ηλεκτρονικού ταχυδρομείου του καταγγέλλοντος και πληροφορίες σε σχέση με την ειδικότητα την οποία είχε κατά τις σπουδές του στα ΙΕΚ.
Όπως προκύπτει από τα στοιχεία της υπόθεσης, η επεξεργασία δεν βασίστηκε σε συγκατάθεση του υποκειμένου των δεδομένων, άρα η μόνη νομική βάση η οποία θα μπορούσε να έχει εφαρμογή, είναι το άρθρο 6 παρ. 1 στ του ΓΚΠΔ.
Ο σκοπός της επεξεργασίας των δεδομένων δεν σχετίζεται με τις επικοινωνίες και επαφές που είχε ο καταγγέλλων με τον υπεύθυνο επεξεργασίας, συνεπώς προκύπτει χρήση των δεδομένων για άλλο σκοπό (συγκεκριμένα για προώθηση προϊόντων και υπηρεσιών). Περαιτέρω, ο υπεύθυνος επεξεργασίας αξιοποιεί και την πληροφορία της ειδικότητας του καταγγέλλοντος, εμπλουτίζοντας τα στοιχεία που ήταν απαραίτητα για σκοπούς επικοινωνίας για απάντηση στα αιτήματά του με στοιχεία που αξιοποιούνται σε στοχευμένες προωθητικές ενέργειες (με βάση την ειδικότητα των σπουδών).
Καθώς ο σκοπός της εν λόγω στοχευμένης προώθησης υπηρεσιών δεν σχετίζεται με το σκοπό της επικοινωνίας για ανταπόκριση σε αιτήματα σε σχέση με τις σπουδές, προκύπτει παραβίαση της αρχής του περιορισμού του σκοπού (αρ. 5 παρ. 1 β ΓΚΠΔ).
Περαιτέρω, είναι σαφές ότι ο καταγγέλλων δεν ενημερώθηκε σε σχέση με τη χρήση των δεδομένων του για άλλο, και μάλιστα μη συναφή και μη νόμιμο σκοπό, συνεπώς και εξ αυτού του γεγονότος προκύπτει παραβίαση και της αρχής της νομιμότητας, αντικειμενικότητας και διαφάνειας (αρ. 5 παρ. 1 α ΓΚΠΔ).
Επισημαίνεται επίσης ότι, ο υπεύθυνος επεξεργασίας δεν προσκόμισε κανένα στοιχείο, όπως έγγραφα ή πολιτικές, με βάση τα οποία θα τεκμηρίωνε τη συμμόρφωσή του με τις αρχές του άρθρου 5 παρ. 1 του ΓΚΠΔ, όπως οφείλει με βάση την αρχή της λογοδοσίας.
Ο καταγγέλλων, όπως προκύπτει από την αρχική καταγγελία, ζητώντας από τον υπεύθυνο επεξεργασίας να τον ενημερώσει σε σχέση με το αν έχει τη συγκατάθεσή του για τη χρήση των δεδομένων του για προωθητικές ενέργειες και να προχωρήσει σε διαγραφή των στοιχείων αυτών, άσκησε το δικαίωμα πρόσβασης και το δικαίωμα διαγραφής.
Να σημειωθεί ότι το μήνυμα που έλαβε ο καταγγέλλων δεν περιείχε έγκυρη διεύθυνση για τη διακοπή περαιτέρω μηνυμάτων, όμως επιβάλει η διάταξη του άρθρου 11 παρ. 4 του ν. 3471/2006. Ο υπεύθυνος επεξεργασίας, σύμφωνα με τη δήλωσή του, ενήργησε ώστε να διαγράψει τα δεδομένα του καταγγέλλοντα. Αυτό δεν αμφισβητείται, καθώς ο καταγγέλλων δεν αναφέρει νεότερο μήνυμα από τον υπεύθυνο επεξεργασίας.
Ο υπεύθυνος επεξεργασίας δεν παρείχε όμως στον καταγγέλλοντα πληροφορίες σε σχέση με την προέλευση των δεδομένων του και τη νομιμότητα της επεξεργασίας, παρά μόνο μετά την παρέμβαση της Αρχής. Μάλιστα, και στην περίπτωση αυτή, ο υπεύθυνος απάντησε στην Αρχή, χωρίς να ενημερώσει τον καταγγέλλοντα.
Συνεπώς, από την καταγγελία προκύπτει παράβαση του άρθρου 15 για μη ικανοποίηση του δικαιώματος πρόσβασης και παράβαση του άρθρο 12 παρ. 3 του ΓΚΠΔ, τόσο σε σχέση με το δικαίωμα πρόσβασης (μη ανταπόκριση στο αίτημα) όσο και σε σχέση με το δικαίωμα διαγραφής (μη ενημέρωση του καταγγέλλοντα).
Δείτε αναλυτικά την απόφαση στο dpa.gr