Διοικητικό πρόστιμο 1.750.000 ευρώ σε βάρος ασφαλιστικής εταιρείας από την CNIL
Για τη μη συμμόρφωσή της με τις απαιτήσεις του ΓΚΠΔ ως προς την περίοδο διατήρησης και την ενημέρωση των υποκειμένων των δεδομένων
ΕΜΠΟΡΙΚΟ ΔΙΚΑΙΟ / ΔΙΚΑΙΟ ΒΙΟΜΗΧΑΝΙΚΉΣ ΚΑΙ ΠΝΕΥΜΑΤΙΚΉΣ ΙΔΙΟΚΤΗΣΙΑΣ ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΕΙΔΙΚΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ
ΙΩΑΝΝΗΣ ΙΓΓΛΕΖΑΚΗΣ
ΓΕΩΡΓΙΟΣ ΖΕΚΟΣ
ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ
Η γαλλική Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (CNIL) διενήργησε αυτεπάγγελτο έλεγχο το 2019 στον όμιλο AG2R LA MONDIALE.
Σκοπός του ελέγχου ήταν να βεβαιωθεί η συμμόρφωση των πράξεων επεξεργασίας που διενεργούνται στο πλαίσιο της διαχείρισης επικουρικών συντάξεων εργαζομένων του ιδιωτικού τομέα και της εν γένει ασφαλιστικής του δραστηριότητας.
Βάσει των ευρημάτων του ελέγχου, η CNIL διαπίστωσε ότι η AG2R LA MONDIALE, ως υπεύθυνη για τον συντονισμό των δραστηριοτήτων του ομίλου, διατηρούσε προσωπικά δεδομένα εκατομμυρίων ανθρώπων για υπερβολικό χρονικό διάστημα, ενώ δεν συμμορφωνόταν με τις απαιτήσεις ενημέρωσης στο πλαίσιο τηλεφωνικών προωθητικών ενεργειών.
Για τους λόγους αυτούς, η CNIL διαπίστωσε την παραβίαση δύο θεμελιωδών υποχρεώσεων του ΓΚΠΔ και επέβαλε διοικητικό πρόστιμο 1.750.000 ευρώ, αποφασίζοντας παράλληλα τη δημοσιοποίηση της απόφασής της.
Παραβίαση της αρχής περιορισμού της περιόδου αποθήκευσης (άρθρο 5 παρ.1ε ΓΚΠΔ)
Η εταιρεία δεν εφάρμοζε τις περιόδους διατήρησης δεδομένων, που η ίδια είχε καθορίσει. Αποτέλεσμα αυτού ήταν να διατηρεί τα στοιχεία πελατών και υποψηφίων πελατών της για μεγάλο χρονικό διάστημα.
- Ως προς τα δεδομένα των υποψήφιων πελατών, η εταιρεία δεν είχε συμμορφωθεί με την 3ετία, που η ίδια είχε ορίσει ως περίοδο διατήρησης στις Πολιτικές της, αλλά και το αρχείο επεξεργασίας του ομίλου. Στα αρχεία της βρέθηκαν προσωπικά δεδομένα σχεδόν 2.000 υποψηφίων πελατών, που δεν είχαν καμία επαφή με την εταιρεία για χρονικό διάστημα που έφτανε μέχρι και τα 5 έτη.
- Όσον αφορά τα στοιχεία των πελατών, η εταιρεία δεν είχε συμμορφωθεί με τις ανώτατες περιόδους διατήρησης, όπως αυτές έχουν ρυθμιστεί κανονιστικώς (Code des assurances και Code de commerce). Στην περίπτωση αυτή, η εταιρεία διατηρούσε, για αρκετά χρόνια μετά τη λήξη των συμβολαίων, τα προσωπικά δεδομένα περισσότερων των 2 εκατομμυρίων πελατών, στα οποία συμπεριλαμβάνονταν δεδομένα υγείας, αλλά και οικονομικές πληροφορίες (στοιχεία τραπεζικών λογαριασμών).
Παραβίαση της υποχρέωσης ενημέρωσης των υποκειμένων (άρθρα 13-14 ΓΚΠΔ)
Η ενημέρωση που δινόταν στα φυσικά πρόσωπα που δέχονταν προωθητικές τηλεφωνικές κλήσεις από εκτελούντες την επεξεργασία για λογαριασμό της εταιρείας δεν περιελάμβανε όλες εκείνες τις πληροφορίες, που προβλέπονται στον Γενικό Κανονισμό.
Ειδικότερα, οι τηλεφωνικές κλήσεις που πραγματοποιούνταν, μπορούσαν να καταγράφονται χωρίς το καλούμενο πρόσωπο να ενημερώνεται για αυτό ή για το δικαίωμά του να αντιταχθεί στην ηχογράφηση. Περαιτέρω, καμία πρόσθετη πληροφορία δεν δινόταν στους καλούμενους ως προς την επεξεργασία των προσωπικών τους δεδομένων ή τα δικαιώματά τους τους. Επιπροσθέτως δε, στους ανθρώπους αυτούς δεν παρεχόταν ούτε η δυνατότητα να αποκτήσουν πρόσβαση σε αναλυτικότερη πληροφόρηση, πχ. πατώντας έναν αριθμό στο τηλέφωνό τους ή στέλνοντας μήνυμα ηλεκτρονικού ταχυδρομείου.
Η Γαλλική Αρχή παρατηρεί ότι, ήδη κατά τη διάρκεια της διοικητικής διαδικασίας, η εταιρεία έλαβε μέτρα για τη συμμόρφωσή της. Σύμφωνα με την CNIL, η AG2R LA MONDIALE έχει ήδη συμμορφωθεί πλήρως ως προς το πρώτο σκέλος της παραβίασης του άρθρου 5 παρ.1ε, αλλά και ως προς την παραβίαση των άρθρων 13-14. Εκκρεμεί η πλήρης συμμόρφωσή της ως προς τη διατήρηση δεδομένων των πελατών της, την οποία η εταιρεία έχει δεσμευτεί να ολοκληρώσει άμεσα.
