Η αποστολή υπογεγραμμένου εντύπου ως προϋπόθεση άσκησης δικαιώματος του υποκειμένου παραβιάζει την αρχή της ελαχιστοποίησης του ΓΚΠΔ
Η φινλανδική αρχή προστασίας δεδομένων επιβάλλει διοικητικό πρόστιμο 85.000 ευρώ σε εκδοτικό όμιλο για κακές πρακτικές στην αποδοχή και ικανοποίηση αιτημάτων των υποκειμένων
ΓΕΩΡΓΙΟΣ ΖΕΚΟΣ
ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ
ΕΜΠΟΡΙΚΟ ΔΙΚΑΙΟ / ΔΙΚΑΙΟ ΒΙΟΜΗΧΑΝΙΚΉΣ ΚΑΙ ΠΝΕΥΜΑΤΙΚΉΣ ΙΔΙΟΚΤΗΣΙΑΣ ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΕΙΔΙΚΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ
ΙΩΑΝΝΗΣ ΙΓΓΛΕΖΑΚΗΣ
Επιμέλεια: Δημήτρης Βέρρας
Ενώπιον της φινλανδικής αρχής προστασίας δεδομένων (Tietosuojavaltuutetun toimisto) υπεβλήθησαν 11 καταγγελίες συνδρομητών/χρηστών κατά του εκδοτικού ομίλου Otavamedia Oy με αντικείμενο πλημμέλειες στη διαχείριση των αιτημάτων των άρθρων 15 επ. ΓΚΠΔ. Πέντε εξ αυτών αφορούσαν στην πρακτική της εταιρείας να υποχρεώνει τα υποκείμενα των δεδομένων στην υπογραφή και αποστολή ειδικού εντύπου, ως προϋπόθεση προκειμένου να εξετάσει τα αιτήματά τους.
Ερωτώμενη από τη φινλανδική αρχή ως προς την πρακτική αυτή, η εταιρεία επιβεβαίωσε πως, τόσο για το δικαίωμα πρόσβασης, όσο και για αυτό της διαγραφής των δεδομένων, οι αιτούντες (συνδρομητές-χρήστες) όφειλαν να εκτυπώσουν, συμπληρώσουν και αποστείλουν, ηλεκτρονικά ή μέσω ταχυδρομείου, ειδικά έντυπα.
Στα έντυπα αυτά έπρεπε υποχρεωτικά να δηλώνονται το ονοματεπώνυμο και η ταχυδρομική διεύθυνση του αιτούντος (καθώς η απάντηση αποστελλόταν ταχυδρομικώς), αλλά και να τίθεται η ιδιόχειρη υπογραφή του.
Σύμφωνα με την καταγγελλόμενη, η πρακτική αυτή, η οποία αποσκοπούσε στην εκπλήρωση της υποχρέωσης ταυτοποίησης του υποκειμένου, δεν προβλέπεται ρητώς, ούτε όμως και απαγορεύεται, αφού άλλωστε ο Γενικός Κανονισμός Προστασίας Δεδομένων δεν διευκρινίζει τους τρόπους και τα μέσα με τα οποία μπορεί ο υπεύθυνος επεξεργασίας να εξακριβώνει την ταυτότητα του αιτούντος.
Ειδικά ως προς την απαίτηση υπογραφής του εντύπου, η οποία και προβλημάτισε περισσότερο την αρχή, η εταιρεία ισχυρίστηκε πως η υπογραφή ενός εγγράφου συνιστά διαχρονικά τον πιο αξιόπιστο και διαδεδομένο τρόπο για την επιβεβαίωση της βούλησης και της ταυτότητας του αιτούντος. Παρά ταύτα, η καταγγελλόμενη δήλωσε έτοιμη να υιοθετήσει εναλλακτικό τρόπο ταυτοποίησης των υποκειμένων, χωρίς την προϋπόθεση αυτή.
Η κρίση της φινλανδικής αρχής:
Η αρχή έκρινε πως η πρακτική της συλλογής υπογραφών των αιτούντων παραβιάζει την αρχή της ελαχιστοποίησης του άρθρου 5 παρ.1γ ΓΚΠΔ, καθώς και τα άρθρα 12 παρ.2-6 και 25 παρ.2 ΓΚΠΔ.
Σύμφωνα με την απόφαση, σε περιπτώσεις σαν την εξεταζόμενη, ο υπεύθυνος επεξεργασίας έχει ήδη επιβεβαιώσει την ταυτότητα των υποκειμένων, είτε στο πλαίσιο σύναψης σύμβασης ή στο στάδιο λήψης συγκατάθεσης. Στις περιπτώσεις αυτές, τα προσωπικά δεδομένα που συλλέγονται για την εγγραφή ενός προσώπου μπορούν να χρησιμοποιούνται και για την ταυτοποίησή του. Για παράδειγμα, εάν η επεξεργασία δεδομένων πραγματοποιείται μέσω λογαριασμού χρήστη, η παροχή των username/password μπορεί να είναι επαρκής για την ταυτοποίηση του υποκειμένου. Η δυνατότητα του υπευθύνου επεξεργασίας να ζητά πρόσθετες πληροφορίες στο πλαίσιο της ταυτοποίησης δεν μπορεί να καταλήγει σε υπερβολικές απαιτήσεις και στη συλλογή πρόσθετων δεδομένων, τα οποία δεν είναι αναγκαία ή συναφή προς τον σκοπό της συσχέτισης προσώπου και δεδομένων.
Στην υπό εξέταση περίπτωση, η καταγγελλόμενη δεχόταν αιτήματα υποκειμένων ως εξής:
- για την άσκηση του δικαιώματος πρόσβασης του άρθρου 15 ΓΚΠΔ, το υποκείμενο μπορούσε είτε να εισέλθει στον λογαριασμό του ή να εκτυπώσει, συμπληρώσει και υπογράψει ειδικό έντυπο αιτήματος, το οποίο έπρεπε να αποστείλει ηλεκτρονικά ή ταχυδρομικά.
- για την άσκηση του δικαιώματος διαγραφής του άρθρου 17, η συμπλήρωση ειδικού εντύπου ήταν υποχρεωτική.
Σύμφωνα με το άρθρο 5 παρ.1γ ΓΚΠΔ, τα προσωπικά δεδομένα πρέπει να είναι κατάλληλα, συναφή και να περιορίζονται στο αναγκαίο για τους σκοπούς, για τους οποίους υποβάλλονται σε επεξεργασία. Το άρθρο 25 παρ.2 ΓΚΠΔ, το οποίο συνδέεται με την υποχρέωση αυτή, εξειδικεύει τις παραμέτρους τήρησης της αρχής ελαχιστοποίησης, με τη διάταξη να προβλέπει πως η υποχρέωση ισχύει για το εύρος των δεδομένων προσωπικού χαρακτήρα που συλλέγονται, τον βαθμό της επεξεργασίας τους, την περίοδο αποθήκευσης και την προσβασιμότητά τους. Εν προκειμένω, σύμφωνα με το άρθρο 5 παρ.1γ ΓΚΠΔ, ο υπεύθυνος επεξεργασίας δεν πρέπει να ζητά από το υποκείμενο περισσότερες πληροφορίες από αυτές που είναι αναγκαίες για τον σκοπό της ταυτοποίησής του.
Ο υπεύθυνος επεξεργασίας είναι ένας φινλανδικός εκδοτικός όμιλος, ο οποίος εκδίδει 22 περιοδικά και διαχειρίζεται περισσότερους από 15 ιστοτόπους, με τις υπηρεσίες του να παρέχονται σε πάνω από 3.6 εκατομμύρια Φινλανδούς μηνιαίως. Βάσει της ως άνω φύσης των δραστηριοτήτων του, ο υπεύθυνος επεξεργασίας δεν επεξεργάζεται, κατά κανόνα, προσωπικά δεδομένα ειδικών κατηγοριών, τα οποία θα μπορούσαν ενδεχομένως να δικαιολογήσουν την υιοθέτηση αυστηρότερων διαδικασιών για την ταυτοποίηση των υποκειμένων. Επίσης, ο υπεύθυνος επεξεργασίας δεν επεξεργάζεται, αφού αυτό δεν απαιτείται, τα δεδομένα των υπογραφών των συνδρομητών/χρηστών του. Κατά συνέπεια, τα δεδομένα αυτά συλλέγονται αποκλειστικά προς τον σκοπό της ταυτοποίησης των υποκειμένων, με αποτέλεσμα ο σκοπός αυτός να οδηγεί στη συλλογή πρόσθετων δεδομένων από αυτά που ήδη τηρούνται.
Κατά ταύτα, η συλλογή των υπογραφών προς τον σκοπό της ταυτοποίησης πρέπει να θεωρηθεί ως πρόσθετη πληροφορία, κατά το άρθρο 12 παρ.6 ΓΚΠΔ, την οποία όμως ο υπεύθυνος επεξεργασίας μπορεί να ζητά μόνον εφόσον έχει εύλογες αμφιβολίες σχετικά με την ταυτότητα του υποκειμένου.
Η καταγγελλόμενη ισχυρίζεται ότι, στην περίπτωση του δικαιώματος πρόσβασης του άρθρου 15 ΓΚΠΔ, παρέχει εναλλακτικό τρόπο άσκησης του δικαιώματος δια της εισόδου του υποκείμενου στον λογαριασμό χρήστη, από την έρευνα όμως προέκυψε πως με τη διαδικασία αυτή το υποκείμενο δεν έχει πρόσβαση παρά μόνο σε συγκεκριμένες πληροφορίες. Περαιτέρω, ακόμη και αν ο Κανονισμός αναγνωρίζει στον υπεύθυνο επεξεργασίας τη δυνατότητα επιλογής του καταλληλότερου τρόπου και μέσου για την υποβολή των αιτημάτων, αυτό δεν συνεπάγεται πως του δίνει τη δυνατότητα να απορρίπτει αιτήματα που υποβάλλονται με άλλο τρόπο. Όπως επίσης δεν σημαίνει πως ο υπεύθυνος επεξεργασίας μπορεί να θέτει όρους για την άσκηση των δικαιωμάτων κατά παράβαση της αρχής της ελαχιστοποίησης.
Εκτός από το να αναζητά τρόπους και μέσα για τον περιορισμό των κινδύνων από μια ενδεχόμενη παράνομη πρόσβαση τρίτων σε δεδομένα των υποκειμένων, ο υπεύθυνος επεξεργασίας οφείλει να λαμβάνει υπόψιν του και την υποχρέωση του άρθρου 12 παρ.2 ΓΚΠΔ να διευκολύνει τα υποκείμενα κατά την άσκηση των δικαιωμάτων τους. Λαμβάνοντας υπόψιν πως η εν λόγω επεξεργασία δεν περιλαμβάνει προσωπικά δεδομένα του άρθρου 9, αλλά και το ότι ο υπεύθυνος επεξεργασίας έχει ήδη στη διάθεσή του συστήματα και μέσα που επιτρέπουν την ηλεκτρονική επικοινωνία του με τους συνδρομητές/χρήστες του, δεν μπορεί να δικαιολογηθεί η απαίτηση για τη χρήση εντύπου με φυσική υπογραφή.
Η μη αναγκαία αυτή συλλογή των υπογραφών των υποκειμένων, κατά παράβαση της αρχής της ελαχιστοποίησης, όχι μόνο δεν επιτυγχάνει τον στόχο του περιορισμού των κινδύνων, αλλά ενδέχεται να συντελεί στη δημιουργία ακόμη μεγαλύτερου κινδύνου για τα υποκείμενα, ενώ παράλληλα δυσχεραίνει την άσκηση των δικαιωμάτων τους, αντί να τη διευκολύνει.
Υπό τις διαπιστώσεις αυτές, η φινλανδική αρχή επέβαλε στην καταγγελλόμενη διοικητικό πρόστιμο ύψους 85.000 ευρώ. Το πρόστιμο δεν επεβλήθη μόνο για την ως άνω περιγραφόμενη παραβίαση, αλλά και για τη μη ικανοποίηση των αιτημάτων που είχαν υποβληθεί μέσω email, λόγω προβλήματος στον server.
