Ανάρτηση φωτογραφιών δικηγόρων στο site της εταιρείας: 5.000 ευρώ πρόστιμο σε δικηγορική εταιρεία

Επιμέλεια: Δημήτρης Βέρρας

Ακριβά κόστισε σε δικηγορική εταιρεία της Ισπανίας η φωτογράφηση των δικηγόρων της και η χωρίς συγκατάθεση ανάρτηση των φωτογραφιών τους στον ιστότοπό της, αφού η ισπανική AEPD της επέβαλε πρόστιμο 5.000 ευρώ.

Η AEPD δέχθηκε την καταγγελία προσώπου (του οποίου η θέση στην εταιρεία και το φύλο δεν αποκαλύφθηκαν) που είχε απασχοληθεί ως δικηγόρος στην καταγγελλόμενη από τον Μάρτιο έως τον Ιούλιο του 2023. Ένα μήνα μετά την αποχώρησή του από αυτή, το πρόσωπο κατήγγειλε στην ισπανική αρχή προστασίας δεδομένων την παράνομη επεξεργασία-δημοσίευση των στοιχείων και της φωτογραφίας του στον ιστότοπο της δικηγορικής εταιρείας, η οποία είχε γίνει χωρίς τη συγκατάθεσή του.

Ερωτηθείσα από την ισπανική εποπτική αρχή, η δικηγορική εταιρεία ισχυρίστηκε ότι η ανάρτηση των δεδομένων ήταν νόμιμη, αφού είχε ληφθεί η συγκατάθεση του προσώπου εμμέσως, πλην απολύτως σαφώς. Ειδικότερα:

• Στις 28 Μαρτίου 2023 εκπρόσωπος της εταιρείας είχε στείλει ηλεκτρονικό μήνυμα σε όλα τα νέα στελέχη της, αναφέροντας ότι «Αύριο θα βγάλουμε φωτογραφίες στους νέους που το επιθυμούν» και καλώντας τους να επισκεφθούν τον ιστότοπο της εταιρείας και να διαλέξουν το στυλ που τους ταιριάζει καλύτερα.

• Ένα μήνα αργότερα, τα νέα στελέχη που είχαν φωτογραφηθεί, μεταξύ των οποίων και αυτό που υπέβαλε την καταγγελία, έλαβαν νέο μήνυμα με το οποίο καλούνταν να επισκεφθούν εκ νέου τον ιστότοπο και να ελέγξουν τις φωτογραφίες τους που είχαν αναρτηθεί.

Διαβάστε επίσης: Πρόστιμο 6.000 ευρώ για κάμερα σε κατάλυμα βραχυχρόνιας μίσθωσης στην Ισπανία

Σύμφωνα με την εταιρεία, το πρόσωπο που υπέβαλε την καταγγελία όχι μόνο δεν αρνήθηκε να φωτογραφηθεί, αλλά και απέστειλε πληροφορίες από το βιογραφικό του, προκειμένου αυτές να αναρτηθούν κάτω από τη φωτογραφία του. Σαν να μην έφτανε αυτό, το πρόσωπο αυτό όχι μόνο δεν εξέφρασε αντιρρήσεις για την ανάρτηση των δεδομένων του στον ιστότοπο, όταν έλαβε τη σχετική ενημέρωση για την πραγματοποίησή της, αλλά αντίθετα χρησιμοποίησε το σύνολο των δεδομένων αυτών στον προσωπικό λογαριασμό του στο LinkedIn.

Κατά τούτο, η καταγγελλόμενη δικηγορική εταιρεία ήταν κατηγορηματική: η συμπεριφορά αυτή του καταγγέλλοντος προσώπου δεν θα μπορούσε να αποτελεί τίποτε άλλο παρά συγκατάθεση για την επίμαχη επεξεργασία.

Η AEPD δεν συμφώνησε. Επεσήμανε πως στο κανονιστικό και εφαρμοστικό περιβάλλον του Γενικού Κανονισμού δεν υφίσταται η έννοια της τεκμαιρόμενης συγκατάθεσης, όπως γινόταν δεκτό υπό το προϊσχύσαν νομοθετικό πλαίσιο.

Η συγκατάθεση του ΓΚΠΔ έχει σαφείς και συγκεκριμένες προϋποθέσεις, χωρίς τις οποίες δεν μπορεί να θεωρηθεί ως νομίμως ληφθείσα και άρα δεν μπορεί να στηρίζει την επεξεργασία δεδομένων: ελεύθερη, συγκεκριμένη, αδιαμφισβήτητη και εν πλήρει επιγνώσει ένδειξη βούλησης, η οποία εκδηλώνεται με δήλωση ή σαφή θετική ενέργεια.

Με βάση τις προϋποθέσεις αυτές, η AEPD διαπίστωσε τρεις θεμελιώδεις ανεπάρκειες στην προσέγγιση της δικηγορικής εταιρείας:

Α. Απουσία επαρκούς ενημέρωσης: Η εταιρεία δεν μπόρεσε να αποδείξει ότι παρείχε στο καταγγέλλον πρόσωπο τις πληροφορίες που απαιτούνται από το άρθρο 13 ΓΚΠΔ σχετικά με την επεξεργασία των δεδομένων του. Συνεπώς, η συγκατάθεση δεν ήταν εν πλήρει επιγνώσει.

Β. Απουσία αδιαμφισβήτητης συγκατάθεσης: Με το να στέλνεις ένα email και να καλείς σε φωτογράφηση «όσους το επιθυμούν» δεν λαμβάνεις κατά τρόπο αδιαμφισβήτητο τη συγκατάθεση όσων προσέλθουν. Αυτό που λαμβάνεις είναι μια τεκμαιρόμενη συγκατάθεσή τους, η οποία όμως δεν είναι επαρκής για τη θεμελίωση στο άρθρο 6 παρ.1α ΓΚΠΔ. Συναφώς, το γεγονός ότι το υποκείμενο των δεδομένων δημοσιεύει τις ίδιες ακριβώς πληροφορίες στον λογαριασμό του στο LinkedIn δεν σημαίνει πως έχει δώσει τη συγκατάθεσή του για την ανάρτηση αυτών στον εταιρικό ιστότοπο.

Γ. Προβλήματα στη λογοδοσία: Παρά τα αιτήματα της Αρχής κατά τη διάρκεια της έρευνας, η εταιρεία δεν προσκόμισε έγγραφα που να αποδεικνύουν τη συμμόρφωσή της με τις απαιτήσεις του ΓΚΠΔ. Δεν προσκομίστηκαν το αρχείο δραστηριοτήτων, τα κείμενα ενημέρωσης των εργαζομένων πριν τη φωτογράφησή τους και δεν τεκμηριώθηκε η νομιμότητα της ληφθείσας συγκατάθεσης.

Η ισπανική αρχή κατέληξε στο συμπέρασμα πως η καταγγελλόμενη δικηγορική εταιρεία είχε παραβιάσει το άρθρο 6 παρ.1 ΓΚΠΔ, αφού επεξεργάστηκε τα προσωπικά δεδομένα του καταγγέλλοντος προσώπου χωρίς τη συγκατάθεσή του. Για την παραβίαση αυτή επιβλήθηκε στην εταιρεία πρόστιμο 5.000 ευρώ, με την AEPD να επιμετρά επιβαρυντικώς πως ως εκ της φύσεως των δραστηριοτήτων της θα έπρεπε να γνωρίζει καλύτερα τις απαιτήσεις του νόμου.