Σουηδία: Πρόστιμο 30.000 ευρώ στην H&M για την αποστολή newsletters παρά την εναντίωση των υποκειμένων

Πρόστιμο 30.000 ευρώ (SEK 350.000 - 29.955 €) επέβαλε η σουηδική αρχή προστασίας δεδομένων στην H&M μετά από καταγγελίες που της διαβιβάστηκαν σχετικά με την αποστολή προωθητικών newsletters, παρά την εναντίωση των παραληπτών τους.

Η ΙΜΥ, ενεργώντας ως επικεφαλής εποπτική αρχή της σουηδικής εταιρείας, έλαβε μέσω του μηχανισμού μιας στάσης έξι (6) καταγγελίες υποκειμένων των δεδομένων από Ιταλία (2), Πολωνία (2) και Ηνωμένο Βασίλειο (2), με τις τελευταίες εξ αυτών να έχουν υποβληθεί πριν την έξοδο της χώρας από την Ευρωπαϊκής Ένωση και να εξετάζονται από τη σουηδική αρχή μετά από συνεννόηση με τον ICO για τυχόν παραβίαση του ne bis in idem.

Σύμφωνα με τις καταγγελίες, οι καταγγέλλοντες άσκησαν επανειλημμένως και με διαφορετικούς τρόπους το δικαίωμα εναντίωσης στην επεξεργασία των δεδομένων τους για προωθητικούς σκοπούς.

Υπενθυμίζεται ότι το άρθρο 21 παρ.2 και 3 ΓΚΠΔ προβλέπει ότι:

2.   Εάν δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία για σκοπούς απευθείας εμπορικής προώθησης, το υποκείμενο των δεδομένων δικαιούται να αντιταχθεί ανά πάσα στιγμή στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν για την εν λόγω εμπορική προώθηση, περιλαμβανομένης της κατάρτισης προφίλ, εάν σχετίζεται με αυτήν την απευθείας εμπορική προώθηση.

3.   Όταν τα υποκείμενα των δεδομένων αντιτίθενται στην επεξεργασία για σκοπούς απευθείας εμπορικής προώθησης, τα δεδομένα προσωπικού χαρακτήρα δεν υποβάλλονται πλέον σε επεξεργασία για τους σκοπούς αυτούς.

Παρά την άσκηση του δικαιώματός τους, η εταιρεία συνέχισε να τους αποστέλλει προωθητικά μηνύματα ηλεκτρονικού ταχυδρομείου. Ερωτηθείσα σχετικώς από τη σουηδική εποπτική αρχή, η εταιρεία ισχυρίστηκε ότι στις τρεις εκ των έξι καταγγελιών η άσκηση του αιτήματος εναντίωσης είχε ως αποτέλεσμα τη διακοπή αποστολής των «γενικών» ενημερωτικών newsletters, όχι όμως και αυτών που αποστέλλονταν στους πελάτες που είχαν εγγραφεί ως μέλη. Στις άλλες τρεις περιπτώσεις, η καταγγελλόμενη δεν μπόρεσε να αιτιολογήσει τη μη διακοπή της εμπορικής προώθησης.

Η ΙΜΥ διαπίστωσε την παραβίαση των άρθρων 6 παρ.1, 12 παρ.2 και 3 και 21 παρ.3 Γενικού Κανονισμού Προστασίας Δεδομένων.

Ειδικότερα κρίθηκε πως,

- η H&M παραβίασε την υποχρέωση του άρθρου 12 παρ.2 ΓΚΠΔ για διευκόλυνση της άσκησης των δικαιωμάτων των υποκειμένων.

Η ΙΜΥ παρατήρησε πως η εταιρεία είχε την υποχρέωση να έχει θεσπίσει εσωτερικές διαδικασίες που θα επέτρεπαν στα υποκείμενα των δεδομένων να ασκούν τα δικαιώματά τους με τρόπο απλό και αποτελεσματικό. Παράλληλα, η εταιρεία όφειλε να ελέγχει τακτικά τις διαδικασίες της, προκειμένου να διασφαλίζει πως αυτές είναι λειτουργικές και αποτελεσματικές.

Η H&M ισχυρίστηκε πως παρείχε στους πελάτες της τη δυνατότητα να διακόπτουν την αποστολή προωθητικών μηνυμάτων με τρεις διαφορετικούς τρόπους: μέσω της αλλαγής του subscription status στις ρυθμίσεις του λογαριασμού τους, μέσω του υπερσυνδέσμου που δινόταν σε κάθε ηλεκτρονικό μήνυμα, καθώς και μέσω της επικοινωνίας με την εξυπηρέτηση πελατών.

Οι πολλαπλές αυτές επιλογές φαίνεται πως δεν λειτουργούσαν αποτελεσματικά για κάθε κατηγορία υποκειμένου, καθώς οι καταγγέλλοντες ισχυρίζονταν πως είχαν επανειλημμένως (σε κάποιες περιπτώσεις μέχρι και 10 φορές) χρησιμοποιήσει την επιλογή του unsubscribe link, χωρίς όμως αποτέλεσμα. Περαιτέρω, οι πέντε εκ των έξι καταγγελλόντων δήλωσαν πως μετά τη διαπίστωση της αναποτελεσματικότητας της πρώτης μεθόδου προσπάθησαν να εναντιωθούν επικοινωνώντας με την εταιρεία με πολλούς διαφορετικούς τρόπους, όπως μέσω του λογαριασμού τους ή μέσω του κέντρου εξυπηρέτησης πελατών.

Με βάση τα ανωτέρω, η σουηδική αρχή διαπίστωσε πως οι θεσπισθείσες εσωτερικές διαδικασίες για τον χειρισμό των αιτημάτων εναντίωσης ήταν ελαττωματικές και ως αποτέλεσμα είχαν την αποστέρηση του δικαιώματος των υποκειμένων των δεδομένων να ασκούν με τρόπο εύκολο τα δικαιώματά τους βάσει του Γενικού Κανονισμού.

- η H&M παραβίασε την υποχρέωση ικανοποίησης των αιτημάτων με βάση το άρθρο 12 παρ.3 ΓΚΠΔ, παραβιάζοντας παράλληλα και το ίδιο το δικαίωμα του άρθρου 21 παρ.3 ΓΚΠΔ. Ταυτόχρονα, η εξακολούθηση της αποστολής προωθητικών μηνυμάτων συνιστούσε επεξεργασία δεδομένων χωρίς νόμιμη βάση, κατά παράβαση του άρθρου 6 παρ.1 ΓΚΠΔ.

Η ΙΜΥ δεν είχε τη δυνατότητα να προσδιορίσει με ακρίβεια τον χρόνο κατά τον οποίο υποβλήθηκαν για πρώτη φορά τα αιτήματα εναντίωσης με τη χρήση του unsubscribe link, από τα προσκομιζόμενα όμως έγγραφα μπόρεσε να εκτιμήσει πως η εξακολούθηση της αποστολής προωθητικών emails διήρκησε από ένα μήνα έως και δεκαοκτώ μήνες μετά την υποβολή σχετικού αιτήματος. Λαμβανομένων υπόψιν των αυτοματοποιημένων διαδικασιών που είχε διαμορφώσει η εταιρεία, η σουηδική αρχή έκρινε πως οι χρόνοι ανταπόκρισης αυτοί ήταν σαφώς εκτός της προθεσμίας του άρθρου 12 παρ.3, αλλά και υπερβολικοί σε σχέση με τον εύλογο χρόνο για την ικανοποίηση ενός αιτήματος απεγγραφής από λίστα συνδρομητών, τον οποίο χρόνο προσδιόρισε σε δύο ημέρες.

Κατά την άποψη της αρχής, η καθυστέρηση αυτή συνιστούσε τριπλή παραβίαση, λόγω του ιδιαίτερου χαρακτήρα του αιτήματος εναντίωσης σε εμπορική προώθηση. Η μεν παραβίαση της υποχρέωσης ανταπόκρισης με βάση το άρθρο 12 παρ.3 ΓΚΠΔ συνιστά αυτομάτως και παραβίαση της υποχρέωσης του άρθρου 21 παρ.3 για μη υποβολή δεδομένων σε επεξεργασία μετά την εναντίωση των υποκειμένων. Ταυτόχρονα, η παραβίαση της υποχρέωσης του 21 παρ.3 και η συνέχιση της υποβολής των προσωπικών δεδομένων του εναντιωθέντος σε επεξεργασία συνιστά και παραβίαση της υποχρέωσης του άρθρου 6 παρ.1 ΓΚΠΔ για θεμελίωση της επεξεργασίας σε νόμιμη βάση.

Με βάση τις ανωτέρω διαπιστώσεις, η ΙΜΥ κατέληξε πως η επιβολή διορθωτικών μέτρων δεν είναι επαρκής για την αντιμετώπιση των παραβάσεων που είχαν διαπιστωθεί, ως εκ τούτου αποφάσισε την επιβολή προστίμου. Για τον υπολογισμό του προστίμου ελήφθησαν υπόψιν επιβαρυντικώς οι πολλαπλές καταγγελίες που είχαν υποβληθεί, ο χρόνος της συνέχισης της επεξεργασίας και η σημασία του δικαιώματος εναντίωσης στο πλαίσιο της προστασίας των προσωπικών δεδομένων. Ελαφρυντικώς εκτιμήθηκε το γεγονός ότι, μολονότι αυτή κρίθηκαν αναποτελεσματικά, η εταιρεία είχε λάβει μέτρα για τη διακοπή προωθητικών emails.

Photo by Burst from Pexels