ΑΠΔΠΧ: Η πρώτη απόφαση της Αρχής σχετικά με τα μηνύματα για «συγκατάθεση με βάση τον GDPR»
Ένα χρόνο πριν τα κινητά μας κατακλύστηκαν από μηνύματα για "συγκατάθεση με βάση τον GDPR": Ποιες είναι οι συνέπειες μίας τέτοιας πρακτικής;
Μία σημαντική απόφαση για ένα ζήτημα που απασχόλεισαι εκτενώς εταιρείες και δικηγόρους κατά την πρώτη περίοδο εφαρμογής του Γενικού Κανονισμού για την Προστασία Δεδομένων (GDPR) εξέδωσε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.
Το θέμα δεν είναι άλλο από τα περίφημα ενημερωτικά SMS και email εκ μέρους εταιρειών σχετικά με την παροχή συγκατάθεσης για την "συνέχισης της επικοινωνίας" μετά την εφαρμογή του GDPR, θέμα το οποίο είχε αναλυθεί εκτενώς στο Lawspot, κατά την περίοδο εκείνη.
Με την απόφασή της η Αρχή καθιστά σαφές ότι ένας υπεύθυνος επεξεργασίας μπορεί να στέλνει διαφημιστικά μηνύματα σε πελάτες του, οι οποίοι αποτέλεσαν παραλήπτες μηνυμάτων με τα οποία ζητήθηκε η συγκατάθεσή τους, μόνο εφόσον έχουν παράσχει τη συγκατατεθεί αυτή.
Ενημερωθείτε σχετικά με τη συγκατάθεση μέσω του infographic αλλά και του σχετικού οδηγού του Lawspot
Η συγκεκριμένη υπόθεση, η οποία είναι η πρώτη του είδους της επί της οποίας αποφαίνεται η ΑΠΔΠΧ, αφορά σε καταγγελία του Α, σύμφωνα με την οποία, έλαβε διαφημιστικά σύντομα γραπτά μηνύματα ανεπιθύμητης ηλεκτρονικής αλληλογραφίας στο κινητό του τηλέφωνο (SMS) από γυμναστήριο.
Ο καταγγέλλων ανέφερε ότι ήταν παλιός πελάτης του εν λόγω γυμναστηρίου και ότι ξαφνικά έπειτα από χρόνια ο υπεύθυνος επεξεργασίας άρχισε να του στέλνει διαφημιστικά μηνύματα.
Το 2016 επικοινώνησε αρκετές φορές με τον υπεύθυνο επεξεργασίας, αρχικά τηλεφωνικώς και ζήτησε να σταματήσει να λαμβάνει διαφημιστικά SMS, ενώ έστειλε και μήνυμα ηλεκτρονικού ταχυδρομείου στην ηλεκτρονική διεύθυνση info του εν λόγω γυμναστηρίου, με το οποίο ζήτησε να αποκλειστεί από τις διαφημιστικές ενέργειες του υπευθύνου επεξεργασίας.
Ο υπεύθυνος επεξεργασίας, ωστόσο, αγνόησε την επιθυμία του και συνέχισε να του στέλνει διαφημιστικά SMS.
Στις 24 Μαΐου 2018 ο καταγγέλλων έλαβε SMS, με το οποίο του ζητήθηκε να δώσει τη συγκατάθεσή του για να ενημερώνεται από τον υπεύθυνο επεξεργασίας για προσφορές μέσω της επιλογής του συνδέσμου που παρέχονταν στο εν λόγω μήνυμα.
Συγκεκριμένα, μεταξύ άλλων το μήνυμα ανέφερε: «Δώστε μας την άδεια να σας ενημερώνουμε για προσφορές με κλικ εδώ και σας δίνουμε 1 μήνα δωρεάν συνδρομή.».
Ο καταγγέλλων ανέφερε στην καταγγελία του ότι δεν συγκατατέθηκε στην εν λόγω επεξεργασία διότι δεν επέλεξε τον παρεχόμενο σύνδεσμο.
Στις 15 Ιουνίου 2018 έλαβε νέο διαφημιστικό SMS.
Επειδή, όπως αναφέρει στην καταγγελία του, το γεγονός ότι δεν παρείχε τη συγκατάθεσή του για να ενημερώνεται σχετικά με προωθητικές ενέργειες δεν είχε αποτέλεσμα, άλλαξε τον σύνδεσμο που περιλαμβάνονταν στο από 24/5/2018 μήνυμα (από grdpyes σε gdprno) ώστε να αρνηθεί τη λήψη διαφημιστικών μηνυμάτων από τον υπεύθυνο επεξεργασίας.
Παραταύτα, στις 6 Νοεμβρίου 2018 έλαβε νέο διαφημιστικό μήνυμα από τον υπεύθυνο επεξεργασίας.
Ως αποτέλεσμα, υπέβαλε τη εν λόγω καταγγελία διότι δεν μπορούσε να διαγραφεί από την λίστα των προωθητικών ενεργειών του υπευθύνου επεξεργασίας.
Η απόφαση της Αρχής
Όπως αναφέρει στην απόφασή της η ΑΠΔΠΧ, για να είναι νόμιμη η επεξεργασία προσωπικών δεδομένων για την αποστολή διαφημιστικών SMS μηνυμάτων στο πλαίσιο του σκοπού της προώθησης προϊόντων και υπηρεσιών πρέπει είτε να υπάρχει η προηγούμενη συγκατάθεση του υποκειμένου των δεδομένων, βάσει του άρθρου 11 παρ. 1 του ν.3471/2006 είτε να συντρέχουν οι προϋποθέσεις που ορίζονται στο άρθρο 11 παρ. 3 του ν. 3471/2006, ώστε να προκύπτει ότι η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας.
Στη συγκεκριμένη περίπτωση, ο υπεύθυνος επεξεργασίας (γυμναστήριο) επικαλείται την εξαίρεση του άρθρου 11 παρ. 3 του ν.3471/2006 για την αποστολή διαφημιστικών μηνυμάτων στους πελάτες του χωρίς τη συγκατάθεσή τους, ανά χρονικά διαστήματα και συγκεκριμένα κάθε φορά που επιθυμεί να τους ενημερώσει για τις εκάστοτε προσφορές που υπάρχουν.
Σύμφωνα με το σχετικό έγγραφο, ο καταγγέλλων ήταν πρώην πελάτης του, ήταν δηλαδή εγγεγραμμένο μέλος του, και για αυτό το λόγο υπάρχουν στο αρχείο του υπευθύνου επεξεργασίας η διεύθυνση και το τηλέφωνό του, όπως και των υπόλοιπων πελατών του, πρώην και νυν.
Ωστόσο ο υπεύθυνος επεξεργασίας δεν αναφέρει ρητώς και σαφώς στην ως άνω απάντησή του με ποιο τρόπο ενημέρωσε κατάλληλα τον καταγγέλλοντα, ως υποκείμενο των δεδομένων, κατά το στάδιο της συλλογής των προσωπικών του δεδομένων, ότι ο τηλεφωνικός του αριθμός θα χρησιμοποιείτο για το σκοπό της προώθησης προϊόντων και υπηρεσιών καθώς και με ποιο τρόπο του παρασχέθηκε δυνατότητα αντίταξης, επίσης, κατά το στάδιο της συλλογής.
Επιπλέον, από τα διαφημιστικά μηνύματα που απέστειλε ο υπεύθυνος επεξεργασίας στον καταγγέλλοντα και τα οποία προσκομίστηκαν στην Αρχή από τον καταγγέλλοντα, προκύπτει ότι δεν παρέχονταν σε αυτά καμία αναφορά στη δυνατότητα και στον τρόπο αντίταξης στη λήψη διαφημιστικών μηνυμάτων.
Παρά την επίκληση της εξαίρεσης του άρθρου 11 παρ. 3 του ν.3471/2006, ο υπεύθυνος επεξεργασίας είχε ήδη αποστείλει, στις 24/5/2018, σε όλο του το πελατολόγιο, συμπεριλαμβανομένου του καταγγέλλοντος, μήνυμα με το οποίο ζήτησε τη συγκατάθεσή τους προκειμένου να τους στέλνει διαφημιστικά μηνύματα.
Ως εκ τούτου, νομική βάση της επεξεργασίας των προσωπικών δεδομένων των πελατών του υπευθύνου επεξεργασίας, στους οποίους εστάλη το παραπάνω μήνυμα, για την αποστολή διαφημιστικών μηνυμάτων αποτελεί η συγκατάθεσή τους.
Στην προκειμένη περίπτωση, παρότι ο καταγγέλλων δεν συγκατατέθηκε στο σχετικό μήνυμα καθότι δεν επέλεξε τον παρεχόμενο σύνδεσμο (gdpryes), ο υπεύθυνος επεξεργασίας του έστελνε διαφημιστικά μηνύματα.
Όπως σημειώνεται στην απόφαση, ο υπεύθυνος επεξεργασίας συνέχιζε να στέλνει διαφημιστικά μηνύματα στον καταγγέλλοντα παρά τις επανειλημμένες ενέργειες αντίταξής του.
Με βάση το ιστορικό της υπόθεσης και το σχετικό νομικό πλαίσιο, η Αρχή διαπίστωσε παράβαση του ν.3471/2006 διότι ο υπεύθυνος επεξεργασίας πραγματοποίησε αποστολή διαφημιστικών μηνυμάτων στον τηλεφωνικό αριθμό του καταγγέλλοντος, παρότι ο καταγγέλλων δεν παρείχε τη συγκατάθεσή του στο από 24/5/2018 μήνυμα, και παρά τις ενέργειες αντίταξης στην οποίες προέβη.
Στο πλαίσιο αυτό, η Αρχή απηύθυνε αυστηρή προειδοποίηση στον υπεύθυνο επεξεργασίας:
- Να στέλνει διαφημιστικά μηνύματα στους πελάτες του οι οποίοι αποτέλεσαν παραλήπτες του από 24/5/2018 μηνύματος, με το οποίο ζητήθηκε η συγκατάθεσή τους, μόνο εφόσον έχουν παράσχει τη συγκατατεθεί αυτή.
- Να μεριμνήσει, εφόσον στέλνει μηνύματα στους υπόλοιπους πελάτες του βάσει της εξαίρεσης του άρθρου 11 παρ. 3 του ν.3471/2006, ώστε να πληρούνται όλες οι προϋποθέσεις που τίθενται στο άρθρο αυτό ήτοι κατάλληλη ενημέρωση κατά το στάδιο της συλλογής των προσωπικών δεδομένων για το σκοπό της επεξεργασίας και παροχή δυνατότητας αντίταξης τόσο κατά το στάδιο αυτό όσο και σε κάθε μήνυμα, με σαφή και ευδιάκριτο τρόπο.
- Να μεριμνήσει ώστε να διακόπτει αμέσως την αποστολή διαφημιστικών μηνυμάτων σε όσους εκφράσουν αντίρρηση και να λειτουργεί απρόσκοπτα τυχόν διεύθυνση ηλεκτρονικού ταχυδρομείου, μέσω και της οποίας παρέχεται η δυνατότητα στα υποκείμενα των δεδομένων να αντιταχθούν.
Αξίζει να σημειωθεί ότι η Αρχή, αφήνοντας περιθώριο διαφορετικής αντιμετώπισης σε παρόμοιες υποθέσεις, έκρινε ότι ότι για την επιλογή της κύρωσης, έλαβε υπόψη τη βαρύτητα της παράβασης και το γεγονός ότι δεν υπήρξε άλλο παράπονο κατά του υπευθύνου επεξεργασίας.
Παράλληλα, η Αρχή διευκρινίζει ότι η αυστηρή προειδοποίηση επελέγη με βάση το άρθρο 21 παρ. 1 εδαφ. α) του ν.2472/1997, καθότι, σύμφωνα με το άρθρο 3 παρ. 1 και 2 του ν.3471/2006, εφαρμογή στην προκειμένη περίπτωση έχει ο ν.2472/1997 και όχι ο Γενικός Κανονισμός για την Προστασία Δεδομένων.
Η απόφαση είναι διαθέσιμη στο dpa.gr