GDPR: Πρόστιμο σε ιατρική εταιρεία για μη νόμιμη διενέργεια διαφημιστικών τηλεφωνικών κλήσεων

Η πρώτη απόφαση που ερμηνεύει τις διατάξεις του GDPR για τη λογοδοσία και καταλήγει σε επιβολή προστίμου

05/06/2019

06/06/2019

Την πρώτη της απόφαση για την επιβολή προστίμου με βάση τις διατάξεις του Γενικού Κανονισμού για την Προστασία Δεδομένων (GDPR) επέβαλε η ελληνική Αρχή για την Προστασία Δεδομένων Προσωπικού Χαρακτήρα.

Η υπόθεση έφτασε ενώπιον της Αρχής έπειτα από καταγγελίες σχετικά με λήψη τηλεφωνικών κλήσεων (τον Ιούλιο και τον Σεπτέμβριο του 2018) με σκοπό προώθηση προϊόντων ή υπηρεσιών ιατρικής εταιρείας.

Όπως επισημαίνει στην απόφασή της η ΑΠΔΠΧ, ο αριθμός τηλεφώνου ενός φυσικού προσώπου αποτελεί προσωπικό δεδομένο, αφού μπορεί να λειτουργήσει ως στοιχείο έμμεσης αναγνώρισης του κατόχου του (πρβλ. άρθρο 4 παρ. 1 Κανονισμού (ΕΕ) 2016/679 εφεξής ΓΚΠΔ), επιτρέποντας την επικοινωνία με αυτόν.

Διαβάστε επίσης: Δικαστήριο ΕΕ: Δυσφημιστικά σχόλια στα μέσα κοινωνικής δικτύωσης και ευθύνη μεσάζοντος για την απόσυρσή τους

Παράλληλα, η Αρχή επικαλείται και τις διατάξεις του GDPR για την αρχή της λογοδοσίας (άρθρο 5 παρ. 2), τα τεχνικά και οργανωτικά μέτρα (άρθρο 24 παρ. 1 και 2), καθώς και την ενημέρωση του υποκειμένου (άρθρο 14 ΓΚΠΔ)

Στην συγκεκριμένη υπόθεση, η Αρχή διαπίστωσε ότι η εν λόγω εταιρεία αποδέχεται τη διενέργεια των κλήσεων, ενώ το βασικό της επιχείρημα είναι ότι η ενέργεια της δεν ήταν διαφημιστική, αλλά ενημερωτική, στο πλαίσιο δράσης «Εταιρικής – Κοινωνικής Ευθύνης».

Η δήλωση αυτή έρχεται σε αντίθεση με όσα αναφέρουν και οι δύο καταγγέλλοντες, οι οποίοι μάλιστα επισημαίνουν ότι διαφημίστηκαν «Πολυδύναμα Ιατρεία».

Το επιχείρημα της εταιρείας ότι εσφαλμένα αναφέρει ο ένας καταγγέλλων ότι τα τρία ιατρεία είναι πολυδύναμα, δεν μπορεί να γίνει δεκτό, καθώς ακριβώς το ίδιο αναφέρει και ο δεύτερος καταγγέλλων, χωρίς να φαίνεται να υπάρχει ουδεμία σχέση μεταξύ των δύο καταγγελλόντων. Άλλωστε, και από τα στοιχεία που κατέθεσε ο υπεύθυνος επεξεργασίας προκύπτει ότι βασική δραστηριότητα της επιχείρησης είναι η Παροχή Ιατρικών Υπηρεσιών για λόγους Αισθητικής – Ιατρικής Κοσμετολογίας. Συνεπώς, οι υπηρεσίες που παρέχει ο υπεύθυνος επεξεργασίας είναι μεν ιατρικής φύσεως αλλά δεν αφορούν την κατ’ εξοχήν προαγωγή της δημόσιας υγείας.

Περαιτέρω, ενέργειες «Εταιρικής – Κοινωνικής Ευθύνης» αποτελούν μια σύγχρονη μορφή διαφήμισης.

Καθώς η διάταξη του άρθρου 11 του ν. 3471/2006 αναφέρεται σε «…σκοπούς απευθείας εμπορικής προώθησης προϊόντων ή υπηρεσιών και για κάθε είδους διαφημιστικούς σκοπούς» ο υπεύθυνος επεξεργασίας οφείλει ακόμα και σε περιπτώσεις δράσης εταιρικής κοινωνικής ευθύνης να σέβεται την εν λόγω διάταξη. Συνεπώς δεν μπορεί να γίνει δεκτό το επιχείρημα του υπευθύνου για το χαρακτήρα των τηλεφωνικών κλήσεων. Όσον αφορά τη μη ικανοποιητική ενημέρωση κατά τη διάρκεια της κλήσης, όπως προκύπτει από τις καταγγελίες, η εταιρεία αναφέρθηκε ως «Πολυδύναμα Ιατρεία» ενώ ακόμα κι όταν ζητήθηκε, δεν δόθηκαν τα στοιχεία της. Πρέπει επίσης να εκτιμηθεί ότι και οι δύο καταγγέλλοντες δεν είχαν κανένα άλλο στοιχείο αναγνώρισης της καλούσας εταιρείας, εκτός από τον αριθμό τηλεφώνου.

Συνεπώς, προκύπτει ότι ο υπεύθυνος επεξεργασίας, δεν ενημέρωνε ορθά για τα στοιχεία του.

Λαμβάνοντας υπόψη τις ανωτέρω δύο παραβάσεις που διαπιστώθηκαν, δηλαδή τις κλήσεις προς αριθμούς συνδρομητών που είχαν εγγραφεί στο μητρώο του άρθρου 11 του ν. 3471/2006, το γεγονός ότι o υπεύθυνος επεξεργασίας δεν ενημέρωνε ορθά για τα στοιχεία του, δυσχεραίνοντας την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων και το γεγονός ότι ο υπεύθυνος επεξεργασίας αποσκοπούσε με τις ανωτέρω ενέργειες να αποκομίσει κέρδος, η Αρχή έκρινε ότι πρέπει να επιβληθεί στον υπεύθυνο επεξεργασίας πρόστιμο 5.000 Ευρώ.

Η απόφαση είναι διαθέσιμη στο dpa.gr

Σύντομο σχόλιο:

Η απόφαση της Αρχής έχει προκαλέσει αρκετά σχόλια σχετικά με τις εφαρμοστέες διατάξεις για την επιβολή προστίμου.

Ως προς το σκέλος αυτό, θα πρέπει να σημειωθεί ότι στην απόφαση γίνεται πράγματι αναφορά στην αρχή της λογοδοσίας, ενώ διαπιστώνεται και παράβαση της αρχής της διαφάνειας (στο πλαίσιο της ενημέρωσης).

Ωστόσο, σύμφωνα με το διατακτικό της απόφασης, το πρόστιμο αφορά μόνο στην παραβίαση του άρρθρουτο άρθρο 11 του ν. 3471/2006.

Η απόφαση, λοιπόν, αφορά στην ουσία παραβίαση των διατάξεων της Οδηγία ePrivacy, όμως πλέον, δεδομένης της σχέσης lex-generalis/lex-specialis μεταξύ GDPR και ePrivacy, εφαρμόζεται η λογική του GDPR αναφορικά με τη λογοδοσία.

Όπως ορίζεται στην οδηγία 2002/58/ΕΚ, κάθε κράτος προβλέπει δικές του κυρώσεις, συνεπώς ο καθορισμός των προστίμων λαμβάνει χώρα με βάση τις διατάξεις του ειδικού νόμου.

Εν προκειμένω, ο Νόμος 3471/2006 "δείχνει" για τις κυρώσεις στον 2472/1997 και εδώ αναγκαστικά εφαρμόζεται οι διατάξεις του, καθώς δεν έχει καταργηθεί ή αντικατασταθεί (προς το παρόν).

Όταν και εφόσον καταργηθεί, λογικά τα πρόστιμα που επιβάλει η Αρχή σε σχέση με την ePrivacy θα παραπέμπουν στον GDPR.

Τέλος, στην συγκεκριμένη υπόθεση φαίνεται πως, θεωρητικά, θα μπορούσε να διαπιστωθεί διακριτή παραβίαση (και ενδεχομένως πρόστιμο) σε σχέση με την ενημέρωση των υποκειμένων, ωστόσο κάτι τέτοιο δεν συμβαίνει, καθώς σχετική αναφορά γίνεται μόνο στο πλαίσιο της επιμέτρησης (σημείο 6 του σκεπτικού), καθώς η ουσία της παράβασης είναι η ενέργεια της κλήσης κι όχι τόσο η επεξεργασία προσωπικών δεδομένων (η οποία ενυπάρχει ως δευτερεύουσα παράβαση).

Περισσότερες πληροφορίες σχετικά με το σύνθετο ζήτημα της αλληλεπίδρασης μεταξύ GDPR και ePrivacy μπορείτε να βρείτε στη σχετική Γνώμη 5/2010 του ΕΣΠΔ.