logo-print

Δικαίωμα στη λήθη: Εντολές στη Google για διορθώσεις (ΑΠΔΠΧ 54/2024)

Η εταιρεία καλείται να δώσει τη δυνατότητα επισύναψης αρχείου, να διακόψει την αποστολή αυτοματοποιημένων μηνυμάτων σε περίπτωση καθυστέρησης και να δημοσιεύσει τα στοιχεία επικοινωνίας του DPO της

23/01/2025

03/02/2025

Γενικός Κανονισμός για την Προστασία των Προσωπικών Δεδομένων και Ευθύνη για Αποζημίωση
Δίκαιο πληροφορικής - E έκδοση

Σε σημαντικές παρεμβάσεις επί της διαδικασίας υποβολής αιτημάτων για διαγραφή υπερσυνδέσμων και εξέτασης αυτών προχώρησε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, μετά από καταγγελία υποκειμένου των δεδομένων. Με την απόφασή της υπ’ αριθμ. 54/2024, η Αρχή έδωσε στη Google τις εντολές:

α.  να παρέχει στα υποκείμενα τη δυνατότητα επισύναψης αρχείου προς τεκμηρίωση των όσων υποστηρίζουν κατά την άσκηση των δικαιωμάτων τους,

β. να διακόψει την πρακτική αποστολής αυτοματοποιημένου γενικού-μη εξατομικευμένου ενημερωτικού μηνύματος προς τα υποκείμενα, και

γ. να δημοσιεύσει τα στοιχεία επικοινωνίας του Υπευθύνου Προστασίας Δεδομένων σε ευκρινές σημείο της ιστοσελίδας της.

Οι παρεμβάσεις αυτές της Αρχής προέκυψαν μετά από καταγγελία υποκειμένου των δεδομένων, ο οποίος στο πλαίσιο υποβολής καταγγελίας για μη ικανοποίηση αιτήματος διαγραφής (δικαιώματος στη λήθη), έθεσε και ειδικότερα ζητήματα σε σχέση με τις υποχρεώσεις της εταιρείας βάσει των άρθρων 12 παρ.2 και 3 και 37 παρ.7 του Γενικού Κανονισμού Προστασίας Δεδομένων.

Η Αρχή δεν άφησε τα ζητήματα αυτά να περάσουν απαρατήρητα. Αντιθέτως και μολονότι διαπίστωσε καταρχήν την ικανοποίηση των αιτημάτων διαγραφής που είχαν υποβληθεί ως προς τους περισσότερους υπερσυνδέσμους, έστρεψε την προσοχή της στις πρακτικές που είχαν καταγγελθεί, εξετάζοντας το κατά πόσον αυτές ήταν σύμφωνες με τις απαιτήσεις του ΓΚΠΔ.

Ειδικότερα:

α. Ως προς τη μη παροχή δυνατότητας επισύναψης αρχείου

Ο καταγγέλλων διαμαρτυρήθηκε για το γεγονός πως η ειδική φόρμα για υποβολή αίτησης για κατάργηση υπερσυνδέσμων δεν παρείχε τη δυνατότητα επισύναψης αρχείων, με αποτέλεσμα να μην είναι σε θέση να αποστείλει αντίγραφο της δικαστικής απόφασης με την οποία αυτός απηλλάγη.

Ερωτηθείσα από την Αρχή, η Google ισχυρίστηκε πως «ο καταγγέλλων είχε τη δυνατότητα, εναλλακτικά, να υποβάλει στην Google την επικαλούμενη απόφαση μέσω συνδέσμου (Google Drive), ή, ακόμη και να απευθύνει ευθέως το αίτημά του μέσω email στον Υπεύθυνο Προστασίας Προσωπικών Δεδομένων (DPO) της Google, με όλα τα σχετικά με το αίτημα έγγραφα, όπως και τελικά έπραξε», ενώ προσέθεσε πως το κείμενο της δικαστικής απόφασης θα μπορούσε να αντιγραφεί με τη μέθοδο copy-paste στο πεδίο «Λόγοι κατάργησης».

Παράλληλα, η εταιρεία προσκόμισε ένορκη βεβαίωση της Policy Specialist της Google, στην οποία δηλωνόταν ότι «προκειμένου να διασφαλίσει την προστασία των δεδομένων για τους χρήστες, η Google κατήργησε την επιλογή επισύναψης εγγράφων στις φόρμες αιτημάτων κατάργησης, ώστε να αποτραπεί η αποστολή ευαίσθητων πληροφοριών σε μη ασφαλές περιβάλλον εκτός των εγκαταστάσεων της Google και να προστατεύσει τα δεδομένα τα οποία τυχόν επεξεργάζονται οι εργαζόμενοι που εργάζονται από το σπίτι», λαμβανομένων υπόψιν των ειδικών συνθηκών που είχαν επικρατήσει κατά την περίοδο της πανδημίας.

Η Αρχή δεν συμφώνησε με το σκεπτικό αυτό, κρίνοντας πως «δεδομένου ότι η διασφάλιση της αποστολής «ευαίσθητων πληροφοριών» σε μη ασφαλές περιβάλλον μπορεί να υλοποιηθεί και με διαφορετικά μέσα, χωρίς την απαγόρευση υποβολής συνημμένων εγγράφων, η φόρμα υποβολής αιτήματος, την οποία συμπληρώνει το υποκείμενο, πρέπει να του παρέχει όλες τις δυνατότητες υποβολής ολοκληρωμένου αιτήματος, εάν αυτό αφορά στην άσκηση δικαιώματος βάσει του ΓΚΠΔ. Δεν νοείται πλήρης και ολοκληρωμένη άσκηση δικαιώματος όταν το υποκείμενο υποχρεούται να χρησιμοποιήσει εναλλακτικές οδούς, όπως οι αναφερθείσες από την Google μέθοδοι υποβολής εγγράφων, ενέργεια που συνεπάγεται καθυστέρηση και δημιουργεί προσκόμματα στην άσκηση του δικαιώματος».

Σύμφωνα με την ως άνω κρίση της Αρχής, το γεγονός πως η εταιρεία δεν παρείχε τη δυνατότητα επισύναψης αρχείο στη  Φόρμα Αίτησης Κατάργησης Προσωπικών Στοιχείων, μολονότι η επισύναψη αυτή θα μπορούσε να είναι αναγκαία ως στοιχείο τεκμηρίωσης, «δεν διευκολύνει επαρκώς την άσκηση του δικαιώματος των υποκειμένων και παραβιάζει το άρθρο 12 παρ. 2 του ΓΚΠΔ και, συνεπώς, επιβάλλεται να παρέχεται στο εξής η δυνατότητα επισύναψης αρχείου προς τεκμηρίωση όσων υποστηρίζει το υποκείμενο στην Αίτηση Κατάργησης Συνδέσμου».

β. Ως προς την αποστολή αυτοματοποιημένων ενημερωτικών μηνυμάτων

Ο καταγγέλλων προέβαλε την κατά παράβαση των νομίμων προθεσμιών του άρθρου 12 ΓΚΠΔ ανταπόκριση της Google στα αιτήματά του, προβάλλοντας τον ισχυρισμό πως το αυτοματοποιημένο μήνυμα που λάμβαναν τα υποκείμενα προς ενημέρωσή τους για καθυστέρηση στην επεξεργασία των αιτημάτων τους δεν συνιστούσε νόμιμη εκπλήρωση της υποχρέωσης του υπευθύνου επεξεργασίας «για ενημέρωση του υποκειμένου των δεδομένων σχετικά με την χρήση της δυνατότητας υπέρβασης της νόμιμης προθεσμίας των 30 ημερών».

Το αυτοματοποιημένο μήνυμα αυτό ανέφερε ότι:

«Έχουμε λάβει το αίτημά σας. Το μήνυμά σας είναι υπό επεξεργασία, και θα αξιολογήσουμε το αίτημά σας όσο το δυνατόν πιο γρήγορα επιτρέψει ο όγκος των αιτημάτων που έχουμε λάβει. […] Λόγω των συνθηκών του COVID-19 ενδέχεται να χρειαστούμε περισσότερο χρόνο για να ανταποκριθούμε στο αίτημά σας. Απολογούμαστε για τυχόν αναστάτωση»

Η εταιρεία ισχυρίστηκε πως η ως άνω απάντησή της προς τον καταγγέλλοντα, η οποία εστάλη αυθημερόν, ήταν εμπρόθεσμη, ενώ η παράταση του χρόνου ανταπόκρισης επί των αιτημάτων ήταν επιβεβλημένη «λαμβάνοντας υπόψη τις συνθήκες της πανδημίας και του μεγάλου αριθμού των αιτημάτων του καταγγέλλοντος».

Η Αρχή έκρινε πως η απάντηση αυτή δεν αποτελούσε ορθή εφαρμογή της δυνατότητας που παρέχει το άρθρο 12 παρ.3 ΓΚΠΔ στους υπευθύνους επεξεργασίας. Σύμφωνα με την απόφασή της, από τη διάταξη αυτή, με βάση την οποία «ο υπεύθυνος επεξεργασίας οφείλει να ανταποκρίνεται στην άσκηση δικαιώματος του υποκειμένου σε κάθε περίπτωση εντός προθεσμίας ενός μηνός από την παραλαβή του αιτήματος, η οποία μπορεί να παραταθεί κατά δύο ακόμη μήνες, λόγω της πολυπλοκότητας του αιτήματος και του αριθμού των αιτημάτων, δεν προκύπτει ότι η πανδημία αποτελεί αυτή καθαυτή λόγο παράτασης της ικανοποίησης των δικαιωμάτων των υποκειμένων».

Περαιτέρω, από τα στοιχεία του φακέλου η Αρχή διαπίστωσε πως η εταιρεία απέστελλε «ένα αυτοματοποιημένο γενικό μήνυμα επικαλούμενη την πανδημία, ανεξαρτήτως του αντικειμένου του αιτήματος και των δεδομένων που σχετίζονται με την ικανοποίησή του, χωρίς να εξετάζει κάθε αίτημα χωριστά για να διαπιστωθεί αν, με βάση τις συνθήκες που συντρέχουν στη συγκεκριμένη περίπτωση, καθίσταται αναγκαία η παράταση της προθεσμίας που τάσσεται από την ανωτέρω διάταξη για την ικανοποίησή του και χωρίς να αναφέρει συγκεκριμένα σε αυτό το μήνυμα το χρόνο παράτασης της προθεσμίας». Μια τέτοια ενημέρωση, «η οποία παρέχεται με οριζόντιο και αυτοματοποιημένο τρόπο και δεν είναι εξατομικευμένη και συγκεκριμένα αιτιολογημένη, δεν καλύπτει τους όρους που ορίζονται με το άρθρο 12 παρ. 3 του ΓΚΠΔ και, συνεπώς, συντρέχει παραβίαση της διάταξης αυτής».

γ. Ως προς τη δημοσίευση των στοιχείων επικοινωνίας του DPO

Ενώπιον της Αρχής, ο καταγγέλλων επανέλαβε όσα είχε αναφέρει στα έγγραφα που είχε υποβάλει, επισημαίνοντας ότι «σε κανένα απολύτως σημείο της ιστοσελίδας της καθ' ης δεν παρατίθενται τα στοιχεία επικοινωνίας με τον ΥΠΔ της. Σύμφωνα με το άρθρο 37 παρ. 7, ο υπεύθυνος επεξεργασίας δημοσιεύει τα στοιχεία επικοινωνίας του Υπεύθυνου Προστασίας Δεδομένων […]. Τα στοιχεία του ΥΠΔ της καθ΄ ης δεν είναι δημοσιευμένα στην “Φόρμα Αίτησης Κατάργησης Προσωπικών Δεδομένων” και δεν μας κατέστη εφικτό να τα εντοπίσουμε σε κανένα άλλο σημείο στην ιστοσελίδα της καθ' ης».

Η εταιρεία απάντησε, παραθέτοντας στην Αρχή υπερσυνδέσμους «μέσω των οποίων παρέχει η Google τα εργαλεία για να έχουν οι χρήστες των υπηρεσιών της τη δυνατότητα να απευθυνθούν στον ΥΠΔ της».

Εξετάζοντας τους συνδέσμους αυτούς, η Αρχή διαπίστωσε πως «υπάρχει σύνδεσμος που οδηγεί στη συμπλήρωση φόρμας ώστε να επικοινωνήσει το υποκείμενο με το γραφείο του ΥΠΔ της εταιρείας, χωρίς ωστόσο να παρατίθενται τα στοιχεία επικοινωνίας του ΥΠΔ, τα οποία πρέπει στο εξής να παρέχονται σε ευκρινές σημείο της ιστοσελίδας της, αν και παρέχεται στο υποκείμενο η δυνατότητα να επικοινωνήσει με το γραφείο του ΥΠΔ της εταιρείας με τον ανωτέρω τρόπο».

Με βάση τα ανωτέρω, η Αρχή έκρινε πως η Google παραβίασε το άρθρο 37 παρ.7 ΓΚΠΔ, λόγω της μη δημοσίευσης των στοιχείων επικοινωνίας του DPO της και της έδωσε την εντολή όπως δημοσιεύσει τα στοιχεία αυτά σε ευκρινές σημείο της ιστοσελίδας της, εντός δύο μηνών από την κοινοποίηση της απόφασης.

Το πλήρες κείμενο της ΑΠΔΠΧ 54/2024 είναι διαθέσιμο στον ιστότοπο της Αρχής.

Πολιτική Δικονομία Ε έκδοση
Δίκαιο Πνευματικής Ιδιοκτησίας
send