Ισπανία: Το αίτημα για προσκόμιση ταυτότητας οδήγησε σε πρόστιμο 30.000 ευρώ
Η κλινική ζητούσε φωτοτυπία ταυτότητας προκειμένου να επιστρέψει χρήματα στον ασθενή της
ΕΜΠΟΡΙΚΟ ΔΙΚΑΙΟ / ΔΙΚΑΙΟ ΒΙΟΜΗΧΑΝΙΚΉΣ ΚΑΙ ΠΝΕΥΜΑΤΙΚΉΣ ΙΔΙΟΚΤΗΣΙΑΣ ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΕΙΔΙΚΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ
ΙΩΑΝΝΗΣ ΙΓΓΛΕΖΑΚΗΣ
Πρόστιμο 30.000 ευρώ επέβαλε η ισπανική αρχή προστασίας δεδομένων AEPD σε οδοντιατρική κλινική που απαίτησε την προσκόμιση φωτοαντιγράφου της ταυτότητας του ασθενούς, προκειμένου να του κάνει επιστροφή χρημάτων. Ο ασθενής αρνήθηκε και προσέφυγε στην αρχή, καταγγέλλοντας αφενός τον παράνομο χαρακτήρα του αιτήματος της εταιρείας, αφετέρου την αδράνεια του DPO της κλινικής, στον οποίο είχε προηγουμένως απευθυνθεί.
Ειδικότερα, ασθενής ιατρικού ομίλου που διαχειρίζεται οδοντιατρικές κλινικές στην Ισπανία, κατήγγειλε στην AEPD την άρνηση της καταγγελλόμενης να του επιστρέψει χρήματα που του οφείλονταν, αν αυτός δεν προσκόμιζε αντίγραφο της αστυνομικής του ταυτότητας.
Ο καταγγέλλων είχε επισκεφθεί την οδοντιατρική κλινική Sagrada Familia στη Βαρκελώνη, προκειμένου να δεχθεί οδοντιατρικές υπηρεσίες. Για λόγους άγνωστους στην ισπανική αρχή, μετά την παροχή των υπηρεσιών και την εξόφλησή τους, ο καταγγέλλων κατέστη δικαιούχος επιστροφής πιστωτικού υπολοίπου.
Προκειμένου να του αποδώσει το οφειλόμενο χρηματικό ποσόν, η εταιρεία ζήτησε από τον ασθενή την προσκόμιση φωτοαντιγράφου της αστυνομικής του ταυτότητας, αφού, σύμφωνα με την ίδια, έπρεπε να επιβεβαιωθεί η ταυτότητά του και να διασφαλιστεί πως η καταβολή θα γινόταν στο σωστό πρόσωπο.
Ο καταγγέλλων αρνήθηκε να ικανοποιήσει το αίτημα, επισημαίνοντας πως η ταυτότητά του ήταν ήδη γνωστή στην εταιρεία, ενώ άλλωστε η επιστροφή των χρημάτων θα μπορούσε να γίνει μέσω του τραπεζικού λογαριασμού του, από τον οποίο ο ίδιος είχε πληρώσει για τις υπηρεσίες που έλαβε.
Τη διαφωνία του αυτή την εξέφρασε και μέσω ηλεκτρονικού μηνύματος, το οποίο απέστειλε προς την εταιρεία, με τη ρητή επισήμανση πως αυτό απευθύνεται προς τον Υπεύθυνο Προστασίας Δεδομένων αυτής. Επί του μηνύματος δεν έλαβε καμία απάντηση.
Η AEPD διαπίστωσε διπλή παραβίαση από πλευράς της εταιρείας: αφενός η πρακτική της ως προς τις ταυτότητες παραβίαζε την αρχή της ελαχιστοποίησης του άρθρου 5 παρ.1γ’ ΓΚΠΔ, αφετέρου η απουσία απάντησης αποκάλυπτε την προβληματική αξιοποίηση του DPO της.
Ως προς το ζήτημα της ταυτότητας, η ισπανική αρχή παρατήρησε καταρχήν πως η συμβατική σχέση που συνάπτεται στο πλαίσιο της παροχής οδοντιατρικών υπηρεσιών περιλαμβάνει την πρόσβαση στα προσωπικά δεδομένα των προσώπων που θα λάβουν τις υπηρεσίες, υπό την προϋπόθεση πως τα δεδομένα αυτά είναι αναγκαία εν όψει του σκοπού. Ένας τέτοιος σκοπός, ωστόσο, δεν δικαιολογεί τη συλλογή όλων των πληροφοριών που περιλαμβάνονται σε ένα δελτίο ταυτότητας, πολλώ δε μάλλον τη συλλογή και διατήρηση αντιγράφου του δελτίου αυτού. Από τη στιγμή που σκοπός της εταιρείας ήταν η επιστροφή χρημάτων στους πελάτες της, είτε λόγω ακύρωσης κάποιας προγραμματισμένης και ήδη εξοφληθείσας υπηρεσίας, ή για οποιονδήποτε άλλο λόγο, είναι σαφές πως ο δικαιούχος της επιστροφής είναι ένα πρόσωπο ήδη γνωστό στην εταιρεία, χωρίς ανάγκη περαιτέρω ταυτοποίησης. Άλλωστε, η επιστροφή των χρημάτων μπορεί εύκολα να γίνει με την ίδια διαδικασία με την οποία τα χρήματα είχαν αρχικώς καταβληθεί.
Κατά συνέπεια, η συλλογή αντιγράφων των δελτίων ταυτότητας των πελατών και όλων των προσωπικών δεδομένων που περιλαμβάνονται στα δελτία αυτά αποτελεί επεξεργασία προσωπικών δεδομένων τα οποία δεν είναι ούτε συναφή, ούτε αναγκαία εν όψει του συγκεκριμένου σκοπού. Για τον λόγο αυτό, ο υπεύθυνος επεξεργασίας είχε παραβιάσει το άρθρο 5 παρ.1γ’ ΓΚΠΔ, παραβίαση για την οποία του επιβλήθηκε πρόστιμο 20.000 ευρώ.
Ως προς το ζήτημα της ανάμειξης του DPO στην υπόθεση του καταγγέλλοντος, η AEPD συμφώνησε με τον καταγγέλοντα και επέβαλε στην εταιρεία αυτοτελές πρόστιμο 10.000 ευρώ για παραβίαση του άρθρου 38 ΓΚΠΔ.
Όπως αποδείχθηκε από τη διαδικασία της ακροάσεως, ο DPO της εταιρείας δεν έλαβε ποτέ γνώση του μηνύματος του καταγγέλλοντος, παρά το γεγονός πως το μήνυμα απευθυνόταν προσωπικά σε αυτόν. Η παράβλεψη αυτή, η οποία αποδόθηκε από τον DPO σε αμέλεια του αρμοδίου υπαλλήλου, είχε ως αποτέλεσμα να μη μπορέσει ο DPO να παρέμβει στην υπόθεση και να δώσει ενδεχομένως λύσεις στα ζητήματα που είχαν τεθεί.
Η απόφαση PS-00253-2023 της AEPD είναι διαθέσιμη εδώ.
Photo by Pavel Danilyuk from Pexels
